Autenticazione per l'analisi su scala cloud in Azure
L'autenticazione è il processo che verifica l'identità di un utente o di un'applicazione. È preferibile un singolo provider di identità di origine, che si occupa della gestione e dell'autenticazione delle identità. Questo provider è noto come servizio directory. Consente di usare metodi per archiviare i dati della directory e renderli disponibili per gli utenti e gli amministratori della rete.
Qualsiasi soluzione data lake deve usare e integrarsi con un servizio directory esistente. Per la maggior parte delle organizzazioni, il servizio directory per tutti i servizi correlati all'identità è Active Directory. È il database primario e centralizzato per tutti gli account utente e del servizio.
Nel cloud, Microsoft Entra ID è un provider di identità centralizzato e l'origine preferita per la gestione delle identità. La delega dell'autenticazione e dell'autorizzazione a Microsoft Entra ID consente scenari come i criteri di accesso condizionale che richiedono che un utente si trova in una posizione specifica. Supporta l'autenticazione a più fattori per aumentare il livello di sicurezza degli accessi. I servizi dati devono essere configurati con l'integrazione di Microsoft Entra ID quando possibile.
Per i servizi dati che non supportano l'ID Microsoft Entra, è necessario eseguire l'autenticazione usando una chiave di accesso o un token. È consigliabile archiviare la chiave di accesso in un archivio di gestione delle chiavi, ad esempio Azure Key Vault.
Gli scenari di autenticazione per l'analisi su scala cloud sono:
- Autenticazione utente: gli utenti eseguono l'autenticazione tramite Microsoft Entra ID usando le loro credenziali.
- autenticazione da applicazione a servizio: le applicazioni eseguono l'autenticazione tramite entità servizio.
- 'autenticazione da servizio a servizio: le risorse di Azure eseguono l'autenticazione tramite identità gestite, gestite automaticamente da Azure.
Scenari di autenticazione
Autenticazione dell'utente
Gli utenti che si connettono a un servizio dati o a una risorsa devono presentare le credenziali. Questa credenziale dimostra che gli utenti sono quelli che sostengono di essere. Successivamente possono accedere al servizio o alla risorsa. L'autenticazione consente anche al servizio di conoscere l'identità degli utenti. Il servizio decide cosa può vedere e fare un utente dopo la verifica dell'identità.
Azure Data Lake Storage Gen2, database SQL di Azure, Azure Synapse Analytics e Azure Databricks supportano l'integrazione di Microsoft Entra ID. La modalità di autenticazione utente interattiva richiede agli utenti di specificare le credenziali in una finestra di dialogo.
Importante
Non inserire nel codice fisso delle credenziali di accesso in un'applicazione per l'autenticazione.
Autenticazione da servizio a servizio
Anche quando un servizio accede a un altro servizio senza interazione umana, deve presentare un'identità valida. Questa identità dimostra l'autenticità del servizio, consentendo al servizio a cui si accede di determinare le azioni consentite.
Per l'autenticazione da servizio a servizio, il metodo preferito per l'autenticazione dei servizi di Azure è identità gestite. Le identità gestite per le risorse di Azure consentono l'autenticazione a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra senza credenziali esplicite. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.
Le identità gestite sono entità servizio, che possono essere usate solo con le risorse di Azure. Ad esempio, un'identità gestita può essere creata direttamente per un'istanza di Azure Data Factory. Questa identità gestita, registrata con l'ID Microsoft Entra come oggetto, rappresenta l'istanza di Data Factory. Questa identità può quindi essere usata per eseguire l'autenticazione a qualsiasi servizio, ad esempio Data Lake Storage, senza credenziali nel codice. Azure gestisce le credenziali usate dall'istanza del servizio. L'identità può concedere l'autorizzazione alle risorse del servizio di Azure, ad esempio una cartella in Azure Data Lake Storage. Quando si elimina questa istanza di Data Factory, Azure pulisce l'identità in Microsoft Entra ID.
Vantaggi dell'uso delle identità gestite
Le identità gestite devono essere usate per autenticare un servizio di Azure in un altro servizio o in una risorsa di Azure. Offrono i vantaggi seguenti:
- Un'identità gestita rappresenta il servizio per cui viene creata. Non rappresenta un utente interattivo.
- Le credenziali di identità gestite vengono mantenute, gestite e archiviate in Microsoft Entra ID. L'utente non deve conservare alcuna password.
- Con le identità gestite, i servizi client non usano le password.
- L'identità gestita assegnata dal sistema viene eliminata quando viene eliminata l'istanza del servizio.
Questi vantaggi indicano che le credenziali sono protette meglio e che è meno probabile che la sicurezza venga compromessa.
Autenticazione da applicazione a servizio
Un altro scenario di accesso prevede un'applicazione, ad esempio un'applicazione per dispositivi mobili o Web, che accede a un servizio di Azure. L'applicazione deve presentare la propria identità, che deve quindi essere verificata.
Un'entità servizio di Azure è l'alternativa per le applicazioni e i servizi che non supportano le identità gestite per l'autenticazione alle risorse di Azure. Si tratta di un'identità creata in modo specifico per applicazioni, servizi ospitati e strumenti automatizzati per accedere alle risorse di Azure. I ruoli assegnati all'entità servizio controllano l'accesso. Per motivi di sicurezza, è consigliabile utilizzare i principali del servizio con strumenti o applicazioni automatizzati anziché consentire loro di effettuare l'accesso con un'identità utente. Per altre informazioni, vedere Oggetti applicazione ed entità servizio in Microsoft Entra ID.
Differenza tra identità gestita ed entità servizio
| Entità servizio | Identità gestita |
|---|---|
| Un'identità di sicurezza creata manualmente in Microsoft Entra ID per l'uso da parte di applicazioni, servizi e strumenti per accedere a risorse di Azure specifiche. | Un tipo speciale di entità servizio. È un'identità automatica che viene creata quando viene creato un servizio di Azure. |
| Usato da qualsiasi applicazione o servizio e non è associato a un servizio di Azure specifico. | Rappresenta l'istanza del servizio di Azure stessa. Non può essere usato per rappresentare altri servizi di Azure. |
| Ha un ciclo di vita indipendente. È necessario eliminarla in modo esplicito. | Viene eliminata automaticamente quando viene eliminata l'istanza del servizio di Azure. |
| Autenticazione basata su password o basata su certificato. | Per l'autenticazione non è necessario inserire alcuna password esplicita. |
Nota
Sia le identità gestite che le entità servizio vengono create e mantenute solo in Microsoft Entra ID.
Procedure consigliate per l'autenticazione nell'analisi su scala cloud
Nell'analisi su scala cloud, garantire procedure di autenticazione affidabili e sicure è fondamentale. Procedure consigliate per l'autenticazione in vari livelli, tra cui database, archiviazione e servizi di analisi. Usando Microsoft Entra ID, le organizzazioni possono migliorare la sicurezza con funzionalità come l'autenticazione a più fattori (MFA) e i criteri di accesso condizionale.
| Strato | Servizio | Consigli |
|---|---|---|
| Banche dati | Database SQL di Azure, SQL MI, Synapse, MySQL, PostgreSQL e così via. | Usare Microsoft Entra ID per l'autenticazione con database come PostgreSQL, Azure SQLe MySQL. |
| Immagazzinamento | Azure Data Lake Storage (ADLS) | Usare Microsoft Entra ID per autenticare le entità di sicurezza (sia utente, gruppo, entità di servizio o identità gestita) con ADLS utilizzando una chiave condivisa o una firma di accesso condiviso, in quanto consente una sicurezza avanzata tramite il supporto per l'autenticazione a più fattori (MFA) e i criteri di accesso condizionale. |
| Immagazzinamento | ADLS da Azure Databricks | Connettersi a ADLS utilizzando Unity Catalog invece dell'accesso diretto a livello di archiviazione, creando una credenziale di archiviazione utilizzando un'identità gestita e una posizione esterna . |
| Analisi | Azure Databricks | Usare SCIM per sincronizzare utenti e gruppi da Microsoft Entra ID. Per accedere alle risorse di Databricks usando le API REST, utilizzare OAuth con un principale del servizio Databricks. |
Importante
Consentire agli utenti di Azure Databricks di accedere direttamente a livello di archiviazione ad ADLS bypassa le autorizzazioni, le verifiche e le funzionalità di sicurezza di Unity Catalog, inclusi il controllo di accesso e il monitoraggio. Per proteggere e gestire completamente i dati, l'accesso ai dati archiviati in ADLS per gli utenti dell'area di lavoro di Azure Databricks deve essere gestito tramite Unity Catalog.
Passaggi successivi
autorizzazione per l'analisi su scala cloud in Azure