Přehled ověřování
Úlohy infrastruktury spoléhají na integraci s ID Microsoft Entra pro ověřování a autorizaci.
Všechny interakce mezi úlohami a jinými komponentami Infrastruktury nebo Azure musí být doprovázeny správnou podporou ověřování pro přijaté nebo odeslané žádosti. Tokeny odesílané se musí generovat správně a přijaté tokeny musí být také ověřeny správně.
Než začnete pracovat s úlohami Fabric, doporučujeme, abyste se seznámili s platformou Microsoft Identity Platform . Doporučuje se také projít osvědčené postupy a doporučení platformy Microsoft Identity Platform.
Toky
Z front-endu úloh na back-end úlohy
Příkladem takové komunikace je jakékoli rozhraní API roviny dat. Tato komunikace se provádí pomocí tokenu předmětu (delegovaný token).
Informace o tom, jak získat token v úloze FE, najdete v rozhraní API pro ověřování. Kromě toho se ujistěte, že v přehledu ověřování a autorizace back-endu projdete ověřením tokenu.
Z back-endu Fabric k back-endu úloh
Příkladem takové komunikace je vytvoření položky úlohy. Tato komunikace se provádí pomocí tokenu SubjectAndApp, což je speciální token, který obsahuje token aplikace a sloučený token subjektu (další informace o tomto tokenu najdete v přehledu ověřování a autorizace back-endu).
Aby tato komunikace fungovala, musí uživatel používající tuto komunikaci udělit souhlas s aplikací Microsoft Entra.
Z back-endu úloh do back-endu Fabric
To se provádí pomocí tokenu SubjectAndApp pro rozhraní API pro řízení úloh (například ResolveItemPermissions) nebo s tokenem Subject (pro jiná rozhraní API infrastruktury).
Z back-endu úloh k externím službám
Příkladem takové komunikace je zápis do souboru Lakehouse. To se provádí pomocí tokenu Předmět nebo tokenu aplikace v závislosti na rozhraní API.
Pokud plánujete komunikovat se službami pomocí tokenu Předmět, ujistěte se, že jste obeznámeni s toky.
Informace o nastavení prostředí pro práci s ověřováním najdete v kurzu ověřování.
Ověřování javascriptového rozhraní API
Front-end fabric nabízí javascriptové rozhraní API pro úlohy Fabric k získání tokenu pro svou aplikaci v Microsoft Entra ID. Než začnete pracovat s rozhraním JavaScript API pro ověřování, projděte si dokumentaci k rozhraní JavaScript API pro ověřování.
Souhlasí
Pokud chcete zjistit, proč jsou vyžadovány souhlasy, zkontrolujte souhlas uživatele a správce v Microsoft Entra ID.
Jak fungují souhlasy v úlohách Infrastruktury?
Pokud chcete udělit souhlas pro konkrétní aplikaci, Fabric FE vytvoří instanci MSAL nakonfigurovanou s ID aplikace úlohy a požádá o token pro zadaný obor (additionalScopesToConsent – viz AcquireAccessTokenParams).
Při žádosti o token s aplikací úloh pro konkrétní obor zobrazí ID Microsoft Entra souhlas pro případ, že chybí, a pak přesměruje automaticky otevírané okno na identifikátor URI přesměrování nakonfigurovaný v aplikaci.
Identifikátor URI přesměrování je obvykle ve stejné doméně jako stránka, která požadovala token, aby stránka měla přístup k místní nabídce a zavře ji.
V našem případě není ve stejné doméně, protože Fabric požaduje token a identifikátor URI přesměrování úlohy není v doméně Fabric, takže při otevření dialogového okna pro vyjádření souhlasu je potřeba po přesměrování zavřít ručně – nepoužíváme kód vrácený v identifikátoru redirectUri, a proto ho jenom automaticky zaklidíme (když Microsoft Entra ID přesměruje automaticky otevírané okno na identifikátor URI přesměrování, zavře).
Kód/konfigurace identifikátoru URI přesměrování uvidíte v souboru index.ts. Tento soubor najdete v ukázce Microsoft-Fabric-workload-development-sample pod front-endovou složkou.
Tady je příklad automaticky otevíraného okna souhlasu pro naši aplikaci "moje aplikace úloh" a její závislosti (úložiště a Power BI), které jsme nakonfigurovali při přechodu na nastavení ověřování:
