Azure'da bulut ölçeğinde analiz için kimlik doğrulaması
Kimlik doğrulaması, kullanıcının veya uygulamanın kimliğini doğrulama işlemidir. Kimlik yönetimini ve kimlik doğrulamayı işleyen tek bir kaynak kimlik sağlayıcısı tercih edilir. Bu sağlayıcı dizin hizmeti olarak bilinir. Dizin verilerini depolamak ve bu verileri ağ kullanıcıları ve yöneticileri için kullanılabilir hale getirmek için yöntemler sağlar.
Herhangi bir data lake çözümü, mevcut bir dizin hizmetini kullanmalı ve bunlarla tümleştirilmelidir. Çoğu kuruluş için, kimlikle ilgili tüm hizmetlerin dizin hizmeti Active Directory'dir. Tüm hizmet ve kullanıcı hesapları için birincil ve merkezi veritabanıdır.
Bulutta Microsoft Entra Id merkezi bir kimlik sağlayıcısıdır ve kimlik yönetimi için tercih edilen kaynaktır. Microsoft Entra ID'ye kimlik doğrulaması ve yetkilendirme yetkisi vermek, kullanıcının belirli bir konumda olmasını gerektiren koşullu erişim ilkeleri gibi senaryolara olanak tanır. Erişim güvenliği düzeyini artırmak için çok faktörlü kimlik doğrulamasını destekler. Veri hizmetleri mümkün olduğunda Microsoft Entra ID tümleştirmesi ile yapılandırılmalıdır.
Microsoft Entra Id'yi desteklemeyen veri hizmetleri için bir erişim anahtarı veya belirteç kullanarak kimlik doğrulaması gerçekleştirmeniz gerekir. Erişim anahtarını Azure Key Vault gibi bir anahtar yönetim deposunda depolamanız gerekir.
Bulut ölçeğinde analiz için kimlik doğrulama senaryoları şunlardır:
- Kullanıcı kimlik doğrulaması: Kullanıcılar kimlik bilgilerini kullanarak Microsoft Entra Kimliği aracılığıyla kimlik doğrulaması yapar.
- Uygulamadan hizmete kimlik doğrulaması: Uygulamalar hizmet sorumlularını kullanarak kimlik doğrulaması yapar.
- Hizmet-hizmet kimlik doğrulaması: Azure kaynakları, Azure tarafından otomatik olarak yönetilen yönetilen kimlikleri kullanarak kimlik doğrulaması yapar.
Kimlik doğrulama senaryoları
Kullanıcı kimlik doğrulaması
Bir veri hizmetine veya kaynağa bağlanan kullanıcıların bir kimlik bilgisi sunması gerekir. Bu kimlik bilgisi, kullanıcıların iddia ettikleri kişi olduğunu kanıtlar. Daha sonra hizmete veya kaynağa erişebilirler. Kimlik doğrulaması, hizmetin kullanıcıların kimliğini bilmesini de sağlar. Hizmet, bir kullanıcının kimlik doğrulandıktan sonra ne görebileceğine ve ne yapacağına karar verir.
Azure Data Lake Storage 2. Nesil, Azure SQL Veritabanı, Azure Synapse Analytics ve Azure Databricks, Microsoft Entra ID tümleştirmesini destekler. Etkileşimli kullanıcı kimlik doğrulama modu, kullanıcıların bir iletişim kutusunda kimlik bilgilerini sağlamasını gerektirir.
Önemli
Kimlik doğrulaması amacıyla kullanıcı kimlik bilgilerini bir uygulamaya sabit kodlamayın.
Hizmetten hizmete kimlik doğrulaması
Bir hizmet başka bir hizmete insan etkileşimi olmadan eriştiğinde bile geçerli bir kimlik sunmalıdır. Bu kimlik, hizmetin orijinalliğini kanıtlayarak erişilen hizmetin izin verilen eylemleri belirlemesine olanak sağlar.
Hizmetler arası kimlik doğrulaması için, Azure hizmetlerinin kimliğini doğrulamak amacıyla tercih edilen yöntem yönetilen kimlikler. Azure kaynakları için yönetilen kimlikler, açık kimlik bilgileri olmadan Microsoft Entra kimlik doğrulamasını destekleyen tüm hizmetlerde kimlik doğrulamasına olanak sağlar. Daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler nelerdir?
Yönetilen kimlikler, yalnızca Azure kaynaklarıyla kullanılabilen hizmet sorumlularıdır. Örneğin, yönetilen kimlik doğrudan bir Azure Data Factory örneği için oluşturulabilir. Microsoft Entra Id ile nesne olarak kaydedilen bu yönetilen kimlik, Data Factory örneğini temsil eder. Bu kimlik daha sonra kodda herhangi bir kimlik bilgisi olmadan Data Lake Storage gibi herhangi bir hizmette kimlik doğrulaması yapmak için kullanılabilir. Azure, hizmet örneği tarafından kullanılan kimlik bilgilerini üstlenir. Kimlik, Azure Data Lake Storage'daki bir klasör gibi Azure hizmet kaynaklarına yetkilendirme verebilir. Bu Data Factory örneğini sildiğinizde Azure, Microsoft Entra Id içindeki kimliği temizler.
Yönetilen kimlikleri kullanmanın avantajları
Yönetilen kimlikler, bir Azure hizmetinin kimliğini başka bir Azure hizmetinde veya kaynağında doğrulamak için kullanılmalıdır. Aşağıdaki avantajları sağlar:
- Yönetilen kimlik, oluşturulduğu hizmeti temsil eder. Etkileşimli bir kullanıcıyı temsil etmez.
- Yönetilen kimlik kimlik bilgileri Korunur, yönetilir ve Microsoft Entra Id içinde depolanır. Bir kullanıcının saklayacak parolası yoktur.
- Yönetilen kimliklerde istemci hizmetleri parola kullanmaz.
- Hizmet örneği silindiğinde sistem tarafından atanan yönetilen kimlik silinir.
Bu avantajlar, kimlik bilgilerinin daha iyi korunduğu ve güvenlik güvenliğinin tehlikeye atılmış olma olasılığının daha düşük olduğu anlamına gelir.
Uygulamadan hizmete kimlik doğrulaması
Başka bir erişim senaryosu, mobil veya web uygulaması gibi bir uygulamanın Azure hizmetine erişmesini içerir. Uygulamanın kimliğini sunması ve ardından doğrulanması gerekir.
Azure hizmet sorumlusu, Azure kaynaklarda kimlik doğrulaması için yönetilen kimlikleri desteklemeyen uygulamalar ve hizmetler için alternatiftir. Azure kaynaklarına erişmek için özel olarak uygulamalar, barındırılan hizmetler ve otomatik araçlar için oluşturulmuş bir kimliktir. Hizmet sorumlusuna atanan roller erişimini kontrol eder. Güvenlik nedeniyle, hizmet sorumlularının kullanıcı kimliğiyle oturum açmalarına izin vermek yerine otomatik araçlar veya uygulamalarla kullanılması önerilir. Daha fazla bilgi için bkz . Microsoft Entra Id'de uygulama ve hizmet sorumlusu nesneleri.
Yönetilen kimlik ile hizmet sorumlusu arasındaki fark
| Hizmet sorumlusu | Yönetilen kimlik |
|---|---|
| Belirli Azure kaynaklarına erişmek için uygulamalar, hizmetler ve araçlar tarafından kullanılmak üzere Microsoft Entra Id'de el ile oluşturulan bir güvenlik kimliği. | Özel bir hizmet sorumlusu türü. Bir Azure hizmeti oluşturulduğunda oluşturulan otomatik bir kimliktir. |
| Herhangi bir uygulama veya hizmet tarafından kullanılır ve belirli bir Azure hizmetine bağlı değildir. | Azure hizmet örneğinin kendisini temsil eder. Diğer Azure hizmetlerini temsil etmek için kullanılamaz. |
| Bağımsız bir yaşam döngüsüne sahiptir. Bunu açıkça silmeniz gerekir. | Azure hizmet örneği silindiğinde otomatik olarak silinir. |
| Parola tabanlı veya sertifika tabanlı kimlik doğrulaması. | Kimlik doğrulaması için açık parola sağlanamaz. |
Not
Hem yönetilen kimlikler hem de hizmet sorumluları yalnızca Microsoft Entra Kimliği'nde oluşturulur ve korunur.
Bulut ölçeğinde analizde kimlik doğrulaması için en iyi yöntemler
Bulut ölçeğinde analizde güçlü ve güvenli kimlik doğrulama uygulamalarının sağlanması çok önemlidir. Veritabanları, depolama ve analiz hizmetleri gibi çeşitli katmanlarda kimlik doğrulaması için en iyi yöntemler. Kuruluşlar, Microsoft Entra Id kullanarak çok faktörlü kimlik doğrulaması (MFA) ve koşullu erişim ilkeleri gibi özelliklerle güvenliği geliştirebilir.
| Katman | Hizmet | Öneri |
|---|---|---|
| Veritaban -ları | Azure SQL DB, SQL MI, Synapse, MySQL, PostgreSQL vb. | PostgreSQL, Azure SQLve MySQLgibi veritabanlarıyla kimlik doğrulaması için Microsoft Entra Id kullanın. |
| Depolama | Azure Data Lake Storage (ADLS) | Çok faktörlü kimlik doğrulaması (MFA) ve koşullu erişim ilkeleri desteği aracılığıyla gelişmiş güvenlik sağladığından, paylaşılan anahtar veya SAS üzerinden ADLS ile güvenlik sorumluları (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik) için kimlik doğrulaması için Microsoft Entra Id kullanın. |
| Depolama | Azure Databricks'ten ADLS | Unity Kataloğu kullanarak ADLS |
| Analizler | Azure Databricks | SCIM kullanarak Microsoft Entra IDkullanıcı ve grupları |
Önemli
Azure Databricks kullanıcılarının ADLS'ye doğrudan depolama düzeyinde erişmesine olanak tanıyarak, Unity Kataloğu'nun izinlerini, denetimlerini ve güvenlik özelliklerini - erişim denetimi ve izleme dahil - atlar. Verilerin tam güvenliğini sağlamak ve verileri yönetmek için Azure Databricks çalışma alanı kullanıcıları için ADLS'de depolanan verilere erişim Unity Kataloğu aracılığıyla yönetilmelidir.
Sonraki adımlar
Azure'da bulut ölçeğinde analiz için