Službový objekt v datovém skladu Fabric
platí pro:✅ Warehouse v Microsoft Fabric
Služební principal Azure (SPN) je bezpečnostní identita používaná aplikacemi nebo automatizačními nástroji pro přístup ke konkrétním prostředkům služby Azure. Na rozdíl od identit uživatelů jsou instanční objekty neinteraktivní identity založené na aplikacích, které je možné přiřadit přesná oprávnění, což je ideální pro automatizované procesy nebo služby na pozadí. Pomocí principálů služeb se můžete bezpečně připojit ke zdrojům dat, a tím minimalizovat riziko lidských chyb a zranitelnosti spojené s identitou. Další informace o služebních principech najdete v tématu Objekty aplikace a služební principy v Microsoft Entra ID.
Požadavky
Vytvoření služebního principála, přiřazení rolí a vytvoření tajemství pomocí Azure.
Ujistěte se, že správce tenanta může povolit Instanční objekty můžou používat rozhraní FABRIC API na portálu pro správu prostředků infrastruktury.
Ujistěte se, že uživatel s rolí pracovního prostoru Správce může udělit přístup pro SPN prostřednictvím funkce Spravovat přístup v pracovním prostoru.
Vytvořte a přistupujte ke skladům prostřednictvím rozhraní REST API pomocí SPN (Service Principal Name)
Uživatelé s rolí správce, člena nebo přispěvatele pracovního prostoru mohou pomocí služebních principalů vytvářet, aktualizovat, číst a odstraňovat položky skladu prostřednictvím rozhraní REST API služby Fabric . Díky tomu můžete automatizovat opakované úlohy, jako je zřizování nebo správa skladů, aniž byste museli spoléhat na přihlašovací údaje uživatele.
Pokud k vytvoření skladu použijete delegovaný účet nebo pevnou identitu (identitu vlastníka), použije tento přihlašovací údaj při přístupu k OneLake. To způsobí problém, když vlastník opustí organizaci, protože sklad přestane fungovat. Chcete-li tomu zabránit, vytvořte sklady pomocí SPN (hlavního názvu služby).
Fabric také vyžaduje, aby se uživatel přihlásil každých 30 dnů, aby se zajistilo, že je k dispozici platný token z bezpečnostních důvodů. V případě datového skladu se musí vlastník každých 30 dní přihlásit do systému Fabric. Toto lze automatizovat pomocí identifikace hlavního objektu služby (SPN) s rozhraním API List.
Sklady vytvořené hlavním názvem služby (SPN) pomocí rozhraní REST API se zobrazí v zobrazení seznamu pracovních prostorů na portálu Fabric s názvem hlavního názvu služby (SPN)
Připojte se ke klientským aplikacím pomocí hlavního názvu služby (SPN)
K skladům Fabric se můžete připojit pomocí servisních principálů s nástroji, jako je SQL Server Management Studio (SSMS) 19 nebo novější verze.
- Ověření: Microsoft Entra hlavní služba
- uživatelské jméno: ID klienta SPN (hlavní název služby vytvořený prostřednictvím Azure v části Požadavky)
- Heslo: Tajné (vytvořené prostřednictvím Azure v části Požadavky)
Oprávnění řídicí roviny
Názvy hlavní služby (SPN) mohou být uděleny přístup ke skladům pomocí rolí pracovního prostoru , Správa přístupu pracovního prostoru. Kromě toho lze sklady sdílet s názvem hlavní služby pomocí portálu Fabric a oprávnění k položce .
Oprávnění roviny dat
Jakmile jsou sklady poskytovány oprávnění řídicí roviny pro hlavní název služby (SPN) prostřednictvím rolí pracovního prostoru nebo oprávnění Položky, můžou správci pomocí příkazů T-SQL, jako je GRANT
, přiřadit ke konkrétním oprávnění roviny dat instančním objektům a řídit přesně to, ke kterým metadatům a datům a operacím má hlavní název služby přístup. Doporučuje se postupovat podle principu nejnižších oprávnění.
Například:
GRANT SELECT ON <table name> TO <service principal name>;
Po udělení oprávnění se hlavní názvy služeb můžou připojit k nástrojům klientských aplikací, jako je SSMS, a poskytnout tak vývojářům zabezpečený přístup ke spuštění příkazu COPY INTO (s úložištěm s povoleným firewallem a bez brány firewall) a také programově spouštět jakýkoli dotaz T-SQL podle plánu s kanály služby Data Factory.
Monitor
Když SPN spouští dotazy ve skladu, existují různé monitorovací nástroje, které poskytují přehled o uživateli nebo SPN, který dotaz spustil. Uživatele pro aktivitu dotazů můžete najít následujícími způsoby:
-
zobrazení dynamické správy (DMV): sloupec
login_name
vsys.dm_exec_sessions
. -
Query Insights:
login_name
sloupec v zobrazeníqueryinsights.exec_requests_history
. -
Aktivita dotazu: Sloupec
submitter
v aktivitě dotazu ve Fabric. - aplikace Metriky kapacity: Využití výpočetních prostředků pro operace skladu prováděné SPN se zobrazí jako ID klienta ve sloupci Uživatel v podrobné tabulce operací na pozadí.
Další informace najdete v tématu Monitorování Fabric Data Warehouse.
Rozhraní API pro převzetí
Vlastnictví skladů lze změnit z hlavního názvu služby (SPN) na uživatele a z uživatele na hlavní název služby (SPN).
Převzetí vlastnictví ze SPN nebo uživatelského účtu na jiného uživatele: Viz Změna vlastnictví Fabric Warehouse.
Převzetí z SPN nebo uživatele na SPN: Použijte POST požadavek v rozhraní REST API.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Omezení
Omezení aplikačních identit s datovým skladem Microsoft Fabric:
- Výchozí sémantické modely nejsou podporovány pro sklady vytvořené pomocí SPN, a v důsledku toho nebudou fungovat některé funkce, jako je výpis tabulek v zobrazení datové sady a vytváření sestavy z výchozí datové sady.
- Instanční objekt pro koncové body analýzy SQL se v současné době nepodporuje.
- Přihlašovací údaje služebního principálu nebo Entra ID momentálně nejsou podporovány pro chybové soubory v rámci COPY INTO.
- Principály služeb nejsou podporovány pro rozhraní GIT API. Podpora SPN existuje pouze pro rozhraní API kanálů nasazení .
Související obsah
- položky – Vytvoření skladu – rozhraní REST API (Warehouse)
- podpora instančního objektu ve službě Data Factory