Sdílet prostřednictvím


Službový objekt v datovém skladu Fabric

platí pro:✅ Warehouse v Microsoft Fabric

Služební principal Azure (SPN) je bezpečnostní identita používaná aplikacemi nebo automatizačními nástroji pro přístup ke konkrétním prostředkům služby Azure. Na rozdíl od identit uživatelů jsou instanční objekty neinteraktivní identity založené na aplikacích, které je možné přiřadit přesná oprávnění, což je ideální pro automatizované procesy nebo služby na pozadí. Pomocí principálů služeb se můžete bezpečně připojit ke zdrojům dat, a tím minimalizovat riziko lidských chyb a zranitelnosti spojené s identitou. Další informace o služebních principech najdete v tématu Objekty aplikace a služební principy v Microsoft Entra ID.

Požadavky

  1. Vytvoření služebního principála, přiřazení rolí a vytvoření tajemství pomocí Azure.

  2. Ujistěte se, že správce tenanta může povolit Instanční objekty můžou používat rozhraní FABRIC API na portálu pro správu prostředků infrastruktury.

  3. Ujistěte se, že uživatel s rolí pracovního prostoru Správce může udělit přístup pro SPN prostřednictvím funkce Spravovat přístup v pracovním prostoru.

    snímek obrazovky z portálu Fabric v okně pro správu přístupu

Vytvořte a přistupujte ke skladům prostřednictvím rozhraní REST API pomocí SPN (Service Principal Name)

Uživatelé s rolí správce, člena nebo přispěvatele pracovního prostoru mohou pomocí služebních principalů vytvářet, aktualizovat, číst a odstraňovat položky skladu prostřednictvím rozhraní REST API služby Fabric . Díky tomu můžete automatizovat opakované úlohy, jako je zřizování nebo správa skladů, aniž byste museli spoléhat na přihlašovací údaje uživatele.

Pokud k vytvoření skladu použijete delegovaný účet nebo pevnou identitu (identitu vlastníka), použije tento přihlašovací údaj při přístupu k OneLake. To způsobí problém, když vlastník opustí organizaci, protože sklad přestane fungovat. Chcete-li tomu zabránit, vytvořte sklady pomocí SPN (hlavního názvu služby).

Fabric také vyžaduje, aby se uživatel přihlásil každých 30 dnů, aby se zajistilo, že je k dispozici platný token z bezpečnostních důvodů. V případě datového skladu se musí vlastník každých 30 dní přihlásit do systému Fabric. Toto lze automatizovat pomocí identifikace hlavního objektu služby (SPN) s rozhraním API List.

snímek obrazovky s voláním POST rozhraní API fabric pomocí hlavního názvu služby (SPN).

Sklady vytvořené hlavním názvem služby (SPN) pomocí rozhraní REST API se zobrazí v zobrazení seznamu pracovních prostorů na portálu Fabric s názvem hlavního názvu služby (SPN) vlastníka. Na následujícím obrázku je snímek obrazovky z pracovního prostoru na portálu Fabric. Testovací aplikace Fabric Public API je SPN, který vytvořil marketingový sklad společnosti Contoso.

snímek obrazovky z portálu Fabric s seznamem položek pracovního prostoru. Zobrazí se sklad. Jeho vlastník není osobní účet, ale SPN.

Připojte se ke klientským aplikacím pomocí hlavního názvu služby (SPN)

K skladům Fabric se můžete připojit pomocí servisních principálů s nástroji, jako je SQL Server Management Studio (SSMS) 19 nebo novější verze.

  • Ověření: Microsoft Entra hlavní služba
  • uživatelské jméno: ID klienta SPN (hlavní název služby vytvořený prostřednictvím Azure v části Požadavky)
  • Heslo: Tajné (vytvořené prostřednictvím Azure v části Požadavky)

snímek obrazovky s přihlášením do Fabric pomocí hlavního názvu služby (SPN) v prostředí SQL Server Management Studio (SSMS).

Oprávnění řídicí roviny

Názvy hlavní služby (SPN) mohou být uděleny přístup ke skladům pomocí rolí pracovního prostoru , Správa přístupu pracovního prostoru. Kromě toho lze sklady sdílet s názvem hlavní služby pomocí portálu Fabric a oprávnění k položce .

Oprávnění roviny dat

Jakmile jsou sklady poskytovány oprávnění řídicí roviny pro hlavní název služby (SPN) prostřednictvím rolí pracovního prostoru nebo oprávnění Položky, můžou správci pomocí příkazů T-SQL, jako je GRANT, přiřadit ke konkrétním oprávnění roviny dat instančním objektům a řídit přesně to, ke kterým metadatům a datům a operacím má hlavní název služby přístup. Doporučuje se postupovat podle principu nejnižších oprávnění.

Například:

GRANT SELECT ON <table name> TO <service principal name>;

Po udělení oprávnění se hlavní názvy služeb můžou připojit k nástrojům klientských aplikací, jako je SSMS, a poskytnout tak vývojářům zabezpečený přístup ke spuštění příkazu COPY INTO (s úložištěm s povoleným firewallem a bez brány firewall) a také programově spouštět jakýkoli dotaz T-SQL podle plánu s kanály služby Data Factory.

Snímek obrazovky s dotazem a výsledkem v SQL Server Management Studio (SSMS), kde uživatel získal přístup k objektu Azure Storage pomocí hlavního názvu služby (SPN).

Monitor

Když SPN spouští dotazy ve skladu, existují různé monitorovací nástroje, které poskytují přehled o uživateli nebo SPN, který dotaz spustil. Uživatele pro aktivitu dotazů můžete najít následujícími způsoby:

  • zobrazení dynamické správy (DMV): sloupec login_name v sys.dm_exec_sessions.
  • Query Insights: login_name sloupec v zobrazení queryinsights.exec_requests_history.
  • Aktivita dotazu: Sloupec submitter v aktivitě dotazu ve Fabric.
  • aplikace Metriky kapacity: Využití výpočetních prostředků pro operace skladu prováděné SPN se zobrazí jako ID klienta ve sloupci Uživatel v podrobné tabulce operací na pozadí.

Další informace najdete v tématu Monitorování Fabric Data Warehouse.

Rozhraní API pro převzetí

Vlastnictví skladů lze změnit z hlavního názvu služby (SPN) na uživatele a z uživatele na hlavní název služby (SPN).

  • Převzetí vlastnictví ze SPN nebo uživatelského účtu na jiného uživatele: Viz Změna vlastnictví Fabric Warehouse.

  • Převzetí z SPN nebo uživatele na SPN: Použijte POST požadavek v rozhraní REST API.

    POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
    

Omezení

Omezení aplikačních identit s datovým skladem Microsoft Fabric:

  • Výchozí sémantické modely nejsou podporovány pro sklady vytvořené pomocí SPN, a v důsledku toho nebudou fungovat některé funkce, jako je výpis tabulek v zobrazení datové sady a vytváření sestavy z výchozí datové sady.
  • Instanční objekt pro koncové body analýzy SQL se v současné době nepodporuje.
  • Přihlašovací údaje služebního principálu nebo Entra ID momentálně nejsou podporovány pro chybové soubory v rámci COPY INTO.
  • Principály služeb nejsou podporovány pro rozhraní GIT API. Podpora SPN existuje pouze pro rozhraní API kanálů nasazení .