Identidade e controle de acesso

  • 9 minutos

Nesta unidade, você aprenderá a autenticar usuários e fornecer acesso aos compartilhamentos de arquivos do Azure. Os Arquivos do Azure dão suporte à autenticação baseada em identidade para clientes que acessam compartilhamentos de arquivos por SMB. Além disso, os usuários do SMB também podem se autenticar usando uma chave de conta de armazenamento. Os compartilhamentos de arquivo NFS dependem da autenticação no nível da rede e, portanto, só podem ser acessados por meio de redes restritas. O uso de um compartilhamento de arquivo NFS sempre exige algum nível de configuração de rede. O acesso ao compartilhamento de arquivos em APIs REST usa assinaturas de acesso compartilhado e chaves de conta de armazenamento para operações específicas de gerenciamento de dados.

  • Autenticação baseada em identidade: Os clientes podem usar o acesso baseado em identidade por meio do protocolo de autenticação Kerberos. Os serviços do Active Directory armazenam informações da conta do usuário, como nomes de usuário, senhas, informações de contato e assim por diante. Os Arquivos do Azure integram-se a esses serviços de diretório comuns para verificar os detalhes da conta de usuário e permitir uma autenticação bem-sucedida. Para SMB, a autenticação baseada em identidade é a opção mais segura e recomendada.

  • Chave da conta de armazenamento: um usuário com a chave de conta de armazenamento pode acessar os compartilhamentos de arquivo do Azure com permissões de superusuário por SMB e REST. Idealmente, somente os administradores de superusuário devem usar chaves de conta de armazenamento porque ignoram todas as restrições de acesso. Para compartilhamentos de arquivos usados por clientes corporativos, as chaves da conta de armazenamento não são mecanismos escalonáveis ou seguros para acesso em toda a organização e, portanto, não são recomendadas. A prática recomendada de segurança é evitar compartilhar chaves de conta de armazenamento e usar a autenticação baseada em identidade.

  • Assinatura de acesso compartilhado: os clientes que acessam por REST podem usar uma SAS (assinatura de acesso compartilhado) para se autenticar nos Arquivos do Azure. As assinaturas de acesso compartilhado são usadas em cenários específicos em que fornecedores de software independentes desenvolvem aplicativos de API REST e usam os Arquivos do Azure como uma solução de armazenamento. Elas também são usadas quando parceiros internos precisam de acesso pela REST para operações de gerenciamento de dados. Uma assinatura de acesso compartilhado é um URI que concede direitos de acesso restrito a recursos do Armazenamento do Azure. Você pode usar uma assinatura de acesso compartilhado para dar aos clientes acesso a determinados recursos da conta de armazenamento sem precisar conceder a eles acesso à chave da conta de armazenamento.

Autenticação baseada em identidade

Os Arquivos do Azure dão suporte à autenticação baseada em identidade para compartilhamentos de arquivos SMB usando o protocolo Kerberos. Quando uma identidade associada a um usuário ou aplicativo em execução em um cliente tenta acessar dados nos compartilhamentos de arquivo do Azure, a solicitação é enviada ao serviço de domínio para autenticar a identidade. Se a autenticação for bem-sucedida, ela retornará um token do Kerberos. O cliente envia uma solicitação que inclui o token do Kerberos e os compartilhamentos de arquivo do Azure usam esse token para autorizar a solicitação. Os compartilhamentos de arquivo do Azure recebem apenas o token do Kerberos, não as credenciais de acesso.

Os Arquivos do Azure dão suporte aos seguintes métodos de autenticação para compartilhamentos de arquivos SMB:

  • Active Directory Domain Services (AD DS) local: Habilitar a autenticação do AD DS para um compartilhamento de arquivos do Microsoft Azure permite que os usuários se autentiquem utilizando suas credenciais do AD DS local. O AD DS local deve ser sincronizado com o Microsoft Entra ID usando a sincronização do Microsoft Entra Connect. Somente os usuários híbridos existentes no AD DS local e no Microsoft Entra ID podem ser autenticados e autorizados a acessar o compartilhamento de arquivos do Azure. O cliente precisa configurar seus controladores de domínio e ingressar no domínio dos seus computadores ou máquinas virtuais (VMs). Os controladores de domínio podem ser hospedados no local ou em VMs, mas os clientes precisam ter uma linha de visão para os controladores de domínio, seja em uma rede local ou na mesma rede virtual.

  • Microsoft Entra Domain Services: Para a autenticação do Microsoft Entra Domain Services, os clientes devem habilitar o Domain Services e, em seguida, ingressar no domínio as VMs das quais desejam acessar os dados do arquivo. As VMs ingressadas no domínio devem residir na mesma rede virtual que o Domain Services. No entanto, os clientes não precisam criar a identidade no Microsoft Entra DS para representar a conta de armazenamento. O processo de habilitação cria a identidade em segundo plano. Além disso, todos os usuários que existem no Microsoft Entra ID podem ser autenticados e autorizados. O usuário pode estar somente na nuvem ou ser híbrido. A plataforma gerencia a sincronização do Microsoft Entra ID para o Domain Services sem exigir nenhuma configuração de usuário.

  • Autenticação Kerberos do Microsoft Entra para identidades de usuário híbrido: Os Arquivos do Azure dão suporte à autenticação Kerberos do Microsoft Entra (antiga autenticação Kerberos do Azure AD) para identidades de usuário híbrido, que são identidades do AD locais sincronizadas com a nuvem. Essa configuração usa o Microsoft Entra ID para emitir tíquetes do Kerberos para acessar o compartilhamento de arquivo por SMB. Isso significa que os usuários finais podem acessar os compartilhamentos de arquivos do Azure pela Internet sem exigir uma linha de visão para os controladores de domínio das VMs ingressadas no Microsoft Entra e no Microsoft Entra híbrido. Além disso, com essa funcionalidade, os clientes da Área de Trabalho Virtual do Azure podem criar um compartilhamento de arquivos do Azure para armazenar contêineres de perfil de usuário que as identidades de usuário híbrido podem acessar.

  • Autenticação do AD para clientes Linux: A autenticação para clientes Linux tem suporte via AD DS ou Microsoft Entra Domain Services.

Casos de uso comuns para autenticação baseada em identidade

Veja os seguintes cenários comuns para usar a autenticação baseada em identidade:

  • Migrar de servidores de arquivos locais para os Arquivos do Azure: Substituir servidores de arquivos locais é um caso de uso de transformação de TI comum para muitos clientes. Usar o AD DS local para habilitar uma migração contínua para arquivos do Azure não só fornece uma boa experiência do usuário, mas também permite que os usuários acessem o compartilhamento de arquivo e os dados usando as credenciais atuais por meio do ingresso de seus computadores no domínio.

  • Mover aplicativos empresariais para a nuvem: à medida que os clientes movem os aplicativos nativos locais para a nuvem, a autenticação baseada em identidade com os Arquivos do Azure acaba com a necessidade de alterar os seus mecanismos de autenticação para dar suporte a aplicativos de nuvem.

  • Backup e recuperação de desastre: os Arquivos do Azure podem atuar como o sistema de armazenamento de backup para servidores de arquivos locais. Configurar a autenticação adequada ajuda a impor controles de acesso durante cenários de recuperação de desastre.