Azure Files Identity – based authentication

Již před rokem Microsoft uvolnil pro GA (General Availability) Azure Active Directory Domain Services (Azure AD DS) možnost ověřování identit pro službu Azure Files.

Zapnutím integrace s Azure AD DS můžete přistupovat k Azure Files share přes protokol SMB (Server Message Block) a využít tak pověření z Azure AD. Stanice, ze které přistupujete na Azure Files share, musí být členem domény. Můžete tedy využít nastavení standardních oprávnění pro přístup k NTFS (ACL).

Microsoft nyní rozšířil možnosti použití identit k ověřování přístupu k Azure Files share a uvolnil pro Preview možnost ověřování standardní on-premises službou Active Directory Domain Services (AD DS). Azure Files vynucuje autorizaci přístupů uživatelů na dvou úrovních – ke sdílené složce a k adresáři/souboru. Přiřazení oprávnění na úrovni sdílené složky je možné přiřadit uživatelům nebo skupinám v Azure AD, které můžete spravovat prostřednictvím typického modelu řízení přístupu na základě role (RBAC). Identity, které používáte pro přístup k souborům, musí být k dispozici v Azure AD. Z on-premises prostředí AD je tedy nutné identity synchronizovat do Azure AD.

Na úrovni adresářů/souborů podporuje Azure Files zachování, dědění a vynucování DACL (Discretionary Access Control List) systému Windows, stejně jako všechny souborové servery Windows. Pokud kopírujete data přes protokol SMB ze sdílené složky do Azure Files nebo naopak, můžete si zvolit ponechání Windows DACL.

Nic tedy již nebrání tomu, aby se souborové servery, tedy jejich data, přesunula do Azure Files se zachováním nastavení přístupů v on-premise prostředí. Podrobnější informace naleznete zde.

Pokud chcete centralizovat File shares v Azure Files, zachovat kompatibilitu s on-premise souborovým serverem a použít DFS-R (Distributed File System - Replication), můžete využít službu Azure File Sync.