Tjenesteprincipal i Fabric Data Warehouse

gælder for:✅ Warehouse i Microsoft Fabric

En Azure-tjenesteprincipal (SPN) er en sikkerhedsidentitet, der bruges af programmer eller automatiseringsværktøjer til at få adgang til bestemte Azure-ressourcer. I modsætning til brugeridentiteter er tjenesteprincipaler ikke-interaktive, programbaserede identiteter, der kan tildeles præcise tilladelser, hvilket gør dem perfekte til automatiserede processer eller baggrundstjenester. Ved hjælp af tjenesteprincipaler kan du oprette forbindelse til dine datakilder sikkert, samtidig med at du minimerer risikoen for menneskelige fejl og identitetsbaserede sikkerhedsrisici. Hvis du vil vide mere om tjenesteprincipaler, skal du se Objekter for program og tjenesteprincipal i Microsoft Entra ID.

Forudsætninger

1. Opret en tjenesteprincipal, tildel roller, og opret hemmelighed ved hjælp af Azure.

2. Sørg for, at lejeradministratoren kan aktivere Tjenesteprincipaler kan bruge Fabric API'er på Fabric-administrationsportalen.

3. Sørg for, at en bruger med rollen Administrator arbejdsområde kan give adgang til et SPN via Administrer adgang i arbejdsområdet.

   

Opret og få adgang til lagre via REST API'er ved hjælp af SPN

Brugere med rollen administrator, medlem eller bidragyder arbejdsområde kan bruge tjenesteprincipaler til godkendelse til at oprette, opdatere, læse og slette lagerelementer via Fabric REST API'er. Dette giver dig mulighed for at automatisere gentagne opgaver, f.eks. klargøring eller administration af lagre uden at være afhængig af brugerlegitimationsoplysninger.

Hvis du bruger en uddelegeret konto eller en fast identitet (ejerens identitet) til at oprette lageret, bruger lageret disse legitimationsoplysninger, mens der opnås adgang til OneLake. Dette skaber et problem, når ejeren forlader organisationen, fordi lageret holder op med at fungere. Hvis du vil undgå dette, skal du oprette lagre ved hjælp af et SPN.

Fabric kræver også, at brugeren logger på hver 30. dag for at sikre, at der leveres et gyldigt token af sikkerhedsmæssige årsager. For et data warehouse skal ejeren logge på Fabric hver 30. dag. Dette kan automatiseres ved hjælp af et SPN med API'en List.

Lagre, der er oprettet af et SPN ved hjælp af REST API'er, vises i listevisningen Arbejdsområde på Fabric-portalen med navnet Ejer som SPN. På følgende billede er et skærmbillede fra arbejdsområdet på Fabric-portalen "Fabric Public API-testapp" det SPN, der oprettede Contoso Marketing Warehouse.

Opret forbindelse til klientprogrammer ved hjælp af SPN

Du kan oprette forbindelse til Fabric-lagre ved hjælp af tjenesteprincipaler med værktøjer som SQL Server Management Studio (SSMS) 19 eller nyere versioner.

• godkendelse: Microsoft Entra Service Principal
• Brugernavn: Klient-id for SPN (oprettet via Azure i afsnittet Forudsætninger)
• adgangskode: Hemmelighed (oprettet via Azure i afsnittet Forudsætninger)

Tilladelser til kontrolflade

SPN'er kan tildeles adgang til lagre ved hjælp af arbejdsområderoller, via Administrer adgang i arbejdsområdet. Derudover kan lagre deles med et SPN via Fabric-portalen via elementtilladelser.

Tilladelser til dataplan

Når der er givet kontrolplantilladelser til et SPN via arbejdsområderoller eller elementtilladelser, kan administratorer bruge T-SQL-kommandoer som f.eks. GRANT til at tildele specifikke dataplantilladelser, til tjenesteprincipaler, til præcist at styre, hvilke metadata/data og handlinger et SPN har adgang til. Det anbefales at følge princippet om mindst mulige rettigheder.

For eksempel:

GRANT SELECT ON <table name> TO <service principal name>;

Når tilladelserne er tildelt, kan SPN'er oprette forbindelse til klientprogramværktøjer som F.eks. SSMS og dermed give udviklere sikker adgang til at køre COPY INTO (med og uden firewallaktiveret lager) og også til at køre T-SQL-forespørgsler programmeringsmæssigt efter en tidsplan med Data Factory-pipelines.

Skærm

Når et SPN kører forespørgsler på lageret, er der forskellige overvågningsværktøjer, der giver indsigt i den bruger eller det SPN, der kørte forespørgslen. Du kan finde brugeren til forespørgselsaktivitet på følgende måder:

• DMV'er (Dynamic management views): login_name kolonne i sys.dm_exec_sessions.
• query insights: login_name kolonne i queryinsights.exec_requests_history visning.
• Forespørgselsaktivitet: submitter kolonne i Fabric-forespørgselsaktivitet.
• appen Capacity metrics: Beregningsforbrug for lagerhandlinger udført af SPN vises som klient-id'et under kolonnen Bruger i detaljeadgangstabellen til baggrundshandlinger.

Du kan få flere oplysninger i Monitor Fabric Data Warehouse.

Overtagelses-API

Ejerskabet af lagre kan ændres fra et SPN til en bruger og fra en bruger til et SPN.

• Overtag fra SPN eller bruger til bruger: Se Skift ejerskab af Fabric Warehouse.

• Overtagelse fra SPN eller bruger til SPN: Brug et POST-kald på REST API.

  POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
  

Begrænsninger

Begrænsninger for tjenesteprincipaler med Microsoft Fabric Data Warehouse:

• Standard semantiske modeller understøttes ikke for SPN-oprettede lagre, og derfor fungerer funktioner som visning af tabeller i datasætvisning, oprettelse af rapport fra standarddatasættet ikke.
• Tjenesteprincipalen for SQL Analytics-slutpunkter understøttes ikke i øjeblikket.
• Legitimationsoplysningerne for tjenesteprincipalen eller ettra-id understøttes i øjeblikket ikke for COPY INTO-fejlfiler.
• Tjenesteprincipaler understøttes ikke for GIT-API'er. SPN-understøttelse findes kun for api'er for udrulningspipeline.

Relateret indhold

• varer – Opret lager – REST API(Warehouse)
• understøttelse af tjenesteprincipal i Data Factory-