Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine OneLake-SAS (Shared Access Signature) ermöglicht den sicheren, kurzfristigen und delegierten Zugriff auf Ressourcen in OneLake. Mit einer OneLake-SAS können Sie genau steuern, wie ein Client auf Ihre Daten zugreifen kann. Zum Beispiel:
- Auf welche Ressourcen der Client zugreifen kann.
- Über welche Berechtigungen sie verfügen, um auf die Ressourcen zuzugreifen.
- Wie lange die SAS gültig ist
Jeder OneLake SAS (und Benutzerdelegierungsschlüssel) wird immer von einer Microsoft Entra-Identität unterstützt, hat eine maximale Lebensdauer von 1 Stunde und kann nur Zugriff auf Ordner und Dateien innerhalb eines Datenelements gewähren, z. B. ein Seehaus.
Funktionsweise von Shared Access Signatures
Eine SAS (Shared Access Signature, gemeinsam genutzte Zugriffssignatur) ist ein Token, das an die URI-Adresse einer OneLake-Ressource angefügt wird. Das Token enthält einen speziellen Satz von Abfrageparametern, die angeben, wie der Client auf die Ressource zugreifen kann. Einer der Abfrageparameter ist die Signatur. Sie besteht aus den SAS-Parametern und wird mit dem Schlüssel signiert, der zum Erstellen der SAS verwendet wurde. OneLake verwendet diese Signatur, um den Zugriff auf den Ordner oder die Datei in OneLake zu autorisieren. OneLake SAS verwendet dasselbe Format und die gleichen Eigenschaften wie azure Storage-benutzerdelegierte SAS, jedoch mit mehr Sicherheitseinschränkungen für die Lebensdauer und den Gültigkeitsbereich.
Eine OneLake-SAS wird mit einem Benutzerdelegierungsschlüssel (User Delegation Key, UDK) signiert, der durch eine Microsoft Entra-Anmeldeinformation unterstützt wird. Sie können einen Benutzerdelegierungsschlüssel mit dem Vorgang Get User Delegation Key (Benutzerdelegierungsschlüssel abrufen) anfordern. Anschließend verwenden Sie diesen Schlüssel (während er noch gültig ist), um die OneLake-SAS zu erstellen. Die Berechtigungen dieser Microsoft Entra-Anmeldeinformationen sowie die Berechtigungen, die der SAS explizit erteilt wurden, bestimmen den Zugriff des Clients auf die Ressource.
Autorisierung einer OneLake-SAS
Wenn ein Client oder eine Anwendung mit einer OneLake-SAS auf OneLake zugreift, wird die Anforderung mithilfe der Microsoft Entra-Anmeldeinformationen autorisiert, mit denen der UDK zum Erstellen der SAS angefordert wurde. Daher gelten alle OneLake-Berechtigungen, die dieser Microsoft Entra-Identität erteilt wurden, für die SAS, was bedeutet, dass eine SAS niemals die Berechtigungen des Benutzers überschreiten kann, der sie erstellt. Darüber hinaus gewähren Sie beim Erstellen einer SAS explizit Berechtigungen, sodass Sie noch mehr bereichsbezogene Berechtigungen für die SAS bereitstellen können. Zwischen der Microsoft Entra-Identität, den explizit erteilten Berechtigungen und der kurzen Lebensdauer folgt OneLake den bewährten Methoden für die Sicherheit, um delegierten Zugriff auf Ihre Daten bereitzustellen.
Wann man eine OneLake-SAS verwendet
OneLake SAS-Delegierte gewähren sicheren und temporären Zugriff auf OneLake, basierend auf einer Microsoft Entra-Identität. Anwendungen ohne native Microsoft Entra-Unterstützung können eine OneLake-SAS verwenden, um temporären Zugriff zum Laden von Daten ohne komplizierte Einrichtung und Integration zu erhalten.
OneLake SAS unterstützt auch Anwendungen, die als Proxys zwischen Benutzern und ihren Daten dienen. Beispielsweise agieren einige unabhängige Softwareanbieter (ISVs) als Vermittler zwischen den Benutzern und ihrem Fabric-Arbeitsbereich, wodurch zusätzliche Funktionen und möglicherweise ein anderes Authentifizierungsmodell bereitgestellt werden. Durch das Delegieren des Zugriffs mit einer OneLake-SAS können diese ISVs den Zugriff auf die zugrunde liegenden Daten verwalten und direkten Zugriff auf Daten gewähren, auch wenn ihre Benutzer nicht über Microsoft Entra-Identitäten verfügen.
Verwalten von OneLake SAS
Zwei Einstellungen in Ihrem Fabric-Mandanten verwalten die Verwendung von OneLake SAS.
Die erste Einstellung ist eine Einstellung auf Mandantenebene, verwenden Sie kurzlebige benutzerdelegierte SAS-Token, die die Generierung von Benutzerdelegierungsschlüsseln verwalten. Da Benutzerdelegierungsschlüssel auf Mandantenebene generiert werden, werden sie durch eine Mandanteneinstellung gesteuert. Diese Einstellung ist standardmäßig aktiviert, da diese Benutzerdelegierungsschlüssel über gleichwertige Berechtigungen für die Microsoft Entra-Identität verfügen, die sie anfordert, und immer kurzlebig sind.
Hinweis
Wenn Sie dieses Feature deaktivieren, wird verhindert, dass alle Arbeitsbereiche OneLake SAS verwenden, da alle Benutzer keine Benutzerdelegierungsschlüssel generieren können.
Die zweite Einstellung ist eine delegierte Arbeitsbereichseinstellung, Authentifizieren mit OneLake-benutzerdelegierten SAS-Token, die steuert, ob ein Arbeitsbereich OneLake SAS akzeptiert. Diese Einstellung ist standardmäßig deaktiviert. Ein Arbeitsbereichsadministrator kann diese Einstellung aktivieren, um die Authentifizierung mit OneLake SAS in ihrem Arbeitsbereich zuzulassen. Ein Mandantenadministrator kann diese Einstellung für alle Arbeitsbereiche über die Mandanteneinstellung aktivieren oder es den Arbeitsbereichsadministratoren überlassen, sie zu aktivieren.
Sie können auch die Erstellung von Benutzerdelegierungsschlüsseln im Microsoft Purview-Portal überwachen. Um alle in Ihrem Mandanten generierten Schlüssel anzuzeigen, suchen Sie nach dem Vorgangsnamen generateonelakeudk. Da es sich beim Erstellen einer SAS um einen clientseitigen Vorgang handelt, können Sie die Erstellung einer OneLake-SAS nicht überwachen oder einschränken, nur die Generierung eines UDK.
Bewährte Methoden für OneLake-SAS
- Verwenden Sie immer HTTPS, wenn Sie eine SAS erstellen oder verteilen, um sich vor Man-in-the-Middle-Angriffen zu schützen, die versuchen, die SAS abzufangen.
- Verfolgen Sie die Ablaufzeiten Ihres Schlüssels sowie Ihrer SAS- und Schlüssel-Tokens. OneLake-Benutzerdelegierungsschlüssel und SAS-Token haben eine maximale Lebensdauer von 1 Stunde. Wenn Sie versuchen, UDKs anzufordern oder SASs zu erstellen, deren Lebensdauer 1 Stunde überschreitet, schlägt die Anforderung fehl. Um zu verhindern, dass die SAS zum Verlängern der Lebensdauer von ablaufenden OAuth-Token verwendet wird, muss die Lebensdauer des Tokens auch länger sein als die Ablaufzeit des Benutzerdelegierungsschlüssels und der SAS.
- Achten Sie bei der Startzeit eines SAS-Tokens darauf. Das Festlegen der Startzeit für ein SAS als aktuelle Uhrzeit kann zu Fehlern für die ersten Minuten führen, da sich die Startzeiten zwischen Computern unterscheiden (Uhrneigung). Das Festlegen der Startzeit auf ein paar Minuten in der Vergangenheit trägt zum Schutz vor diesen Fehlern bei.
- Gewähren Sie der SAS die geringstmöglichen Berechtigungen. Die Bereitstellung der mindestens erforderlichen Berechtigungen für möglichst wenige Ressourcen ist eine bewährte Methode für die Sicherheit und verringert die Auswirkungen, wenn eine SAS kompromittiert wird.
- Überwachen sie die Generierung von Benutzerdelegierungsschlüsseln. Sie können die Erstellung von Benutzerdelegierungsschlüsseln im Microsoft Purview-Portal überwachen. Suchen Sie in Ihrem Mandanten nach dem Vorgangsnamen generateonelakeudk, um generierte Schlüssel anzuzeigen.
- Verstehen sie die Einschränkungen von OneLake SAS. Da OneLake SAS-Token nicht über Berechtigungen auf Arbeitsbereichsebene verfügen können, sind sie nicht mit einigen Azure Storage-Tools kompatibel, die berechtigungen auf Containerebene erwarten, um Daten wie Azure Storage-Explorer zu durchlaufen.
- Aktivieren Sie die OneLake-Diagnose , um die Verwendung von OneLake SAS nachzuverfolgen. Wenn ein OneLake SAS-Token für den Zugriff auf Daten verwendet wird, wird die Verwendung, einschließlich der Identität des delegierenden Benutzers und der IP-Adresse der Anwendung mit dem Token, von der OneLake-Diagnose protokolliert. Aktivieren Sie Diagnosen, um ein vollständiges Prüfprotokoll des OneLake SAS-Zugriffs auf Ihre Daten zu führen.