Godkendelsesoversigt
Fabric-arbejdsbelastninger er afhængige af integration med Microsoft Entra ID til godkendelse og godkendelse.
Alle interaktioner mellem arbejdsbelastninger og andre Fabric- eller Azure-komponenter skal ledsages af korrekt godkendelsessupport for modtagne eller sendte anmodninger. Tokens, der sendes ud, skal genereres korrekt, og modtagne tokens skal også valideres korrekt.
Det anbefales, at du bliver fortrolig med Microsoft-identitetsplatform, før du begynder at arbejde med Fabric-arbejdsbelastninger. Det anbefales også at gennemgå Microsoft-identitetsplatform bedste fremgangsmåder og anbefalinger.
Flow
Fra frontend for arbejdsbelastning til backend for arbejdsbelastning
Et eksempel på en sådan kommunikation er en hvilken som helst API til dataplan. Denne meddelelse udføres med et emnetoken (delegeret token).
Du kan få oplysninger om, hvordan du henter et token i arbejdsbelastnings-FE, ved at læse Godkendelses-API. Derudover skal du sørge for at gennemgå tokenvalidering i oversigten over Backend-godkendelse og -godkendelse.
Fra Fabric-backend til arbejdsbelastningsbackend
Et eksempel på en sådan kommunikation er Opret arbejdsbelastningselement. Denne kommunikation udføres med et SubjectAndApp-token, som er et særligt token, der omfatter et apptoken og et emnetoken kombineret (se Oversigt over Backend-godkendelse og godkendelse for at få mere at vide om dette token).
Hvis denne kommunikation skal fungere, skal den bruger, der bruger denne meddelelse, give samtykke til Microsoft Entra-programmet.
Fra backend af arbejdsbelastning til Fabric-backend
Dette gøres med et SubjectAndApp-token for API'er til styring af arbejdsbelastninger (f.eks. ResolveItemPermissions) eller med et emnetoken (for andre Fabric API'er).
Fra backend for arbejdsbelastning til eksterne tjenester
Et eksempel på en sådan kommunikation er at skrive til en Lakehouse-fil. Dette gøres med emnetoken eller et apptoken, afhængigt af API'en.
Hvis du planlægger at kommunikere med tjenester ved hjælp af et emnetoken, skal du sørge for, at du er fortrolig med På vegne af flow.
Se Selvstudium om godkendelse for at konfigurere dit miljø til at arbejde med godkendelse.
JavaScript-API til godkendelse
Fabric front-end tilbyder en JavaScript-API til Fabric-arbejdsbelastninger for at hente et token til deres program i Microsoft Entra ID. Før du arbejder med JavaScript-API'en til godkendelse, skal du kontrollere, at du gennemgår dokumentationen til JavaScript API til godkendelse.
Samtykker
Hvis du vil forstå, hvorfor der kræves samtykke, skal du gennemse Bruger- og administratorsamtykke i Microsoft Entra-id.
Hvordan fungerer samtykker i Fabric-arbejdsbelastninger?
Hvis du vil give samtykke til et bestemt program, opretter Fabric FE en MSAL-forekomst , der er konfigureret med arbejdsbelastningens program-id, og anmoder om et token for det angivne område (additionalScopesToConsent – se AcquireAccessTokenParams).
Når du beder om et token med arbejdsbelastningsprogrammet for et bestemt område, viser Microsoft Entra-id et pop op-samtykke, hvis det mangler, og omdirigerer derefter pop op-vinduet til den omdirigerings-URI, der er konfigureret i programmet.
Omdirigerings-URI'en er typisk i det samme domæne som den side, der anmodede om tokenet, så siden kan få adgang til pop op-vinduet og lukke den.
I vores tilfælde er den ikke i det samme domæne, da Fabric anmoder om tokenet, og omdirigerings-URI'en for arbejdsbelastningen ikke er i Fabric-domænet, så når dialogboksen for samtykke åbnes, skal den lukkes manuelt efter omdirigering – vi bruger ikke den kode, der returneres i redirectURI'en, og derfor skal vi bare automatisk lukke den (når Microsoft Entra ID omdirigerer pop op-vinduet til omdirigerings-URI'en, lukkes).
Du kan se koden/konfigurationen af omdirigerings-URI'en i filen index.ts. Denne fil findes i eksempel på Microsoft-Fabric-arbejdsbelastning-udvikling under front end-mappen.
Her er et eksempel på et pop op-vindue med samtykke til vores app "min arbejdsbelastningsapp" og dens afhængigheder (lager og Power BI), som vi konfigurerede, da vi gik over godkendelseskonfigurationen:
