Entidad de servicio en el almacenamiento de datos de Fabric
se aplica a:✅ Warehouse en Microsoft Fabric
Una entidad de servicio (SPN) de Azure es una identidad de seguridad que usan las aplicaciones o las herramientas de automatización para acceder a recursos específicos de Azure. A diferencia de las identidades de usuario, las entidades de servicio son identidades no interactivas basadas en aplicaciones que se pueden asignar permisos precisos, lo que las convierte en perfectas para procesos automatizados o servicios en segundo plano. Mediante el uso de entidades de servicio, puede conectarse a los orígenes de datos de forma segura, minimizando los riesgos de errores humanos y vulnerabilidades relacionadas con la identidad. Para obtener más información sobre las entidades de servicio, consulte Objetos de aplicación y entidades de servicio en Microsoft Entra ID.
Prerrequisitos
Creación de una entidad de servicio, asignación de roles y creación de un secreto mediante Azure.
Asegúrese de que el administrador del inquilino pueda habilitar . Las entidades de servicio pueden usar las API de Fabric en el portal de administración de Fabric.
Asegúrese de que un usuario con el rol de administrador del área de trabajo puede conceder acceso a un SPN a través de Administrar el acceso dentro del área de trabajo.
Creación y acceso a almacenes a través de las API REST mediante SPN
Los usuarios con roles de administrador, miembro o colaborador del área de trabajo pueden utilizar entidades de servicio para autenticar la creación, actualización, lectura y eliminación de elementos del almacén a través de las API de REST de Fabric. Esto le permite automatizar tareas repetitivas, como el aprovisionamiento o la administración de almacenes sin depender de las credenciales de usuario.
Si usa una cuenta delegada o una identidad fija (identidad del propietario) para crear el almacenamiento, el almacén usará esa credencial al acceder a OneLake. Esto crea un problema cuando el propietario abandona la organización, ya que el almacén dejará de funcionar. Para evitar esto, cree almacenes mediante un SPN.
Fabric también requiere que el usuario inicie sesión cada 30 días para asegurarse de que se proporciona un token válido por motivos de seguridad. Para un almacenamiento de datos, el propietario debe iniciar sesión en Fabric cada 30 días. Esto se puede automatizar mediante un SPN con la API de List.
Los almacenes creados por un SPN mediante las API de REST se mostrarán en la vista de lista Área de trabajo del portal de Fabric, con el nombre Propietario como SPN. En la imagen siguiente, una captura de pantalla del área de trabajo del portal de Fabric, "Aplicación de prueba de API pública de Fabric" es el SPN que creó el almacén de marketing de Contoso.
Conexión a aplicaciones cliente mediante SPN
Puede conectarse a almacenes de Fabric mediante entidades de servicio con herramientas como SQL Server Management Studio (SSMS) 19 o versiones posteriores.
- Autenticación: Entidad de servicio de Microsoft Entra
- nombre de usuario: identificador de cliente de SPN (creado a través de Azure en la sección Requisitos previos)
- contraseña: secreto (creado a través de Azure en la sección Requisitos previos)
Permisos del plano de control
A los SPN se les puede conceder acceso a los almacenes usando roles de área de trabajo a través de Administrar acceso en el área de trabajo. Además, los almacenes pueden compartirse con un SPN a través del portal de Fabric mediante Permisos de elementos.
Permisos del plano de datos
Una vez que se proporcionan permisos de plano de control a un SPN a través de roles de área de trabajo o permisos de elemento, los administradores pueden usar comandos de T-SQL como GRANT para asignar permisos de plano de datos específicos a las entidades de servicio para controlar exactamente a qué metadatos, datos y operaciones tiene acceso un SPN. Se recomienda seguir el principio de privilegios mínimos.
Por ejemplo:
GRANT SELECT ON <table name> TO <service principal name>;
Una vez concedidos los permisos, los SPN pueden conectarse a herramientas de aplicaciones cliente como SSMS, lo que proporciona acceso seguro para que los desarrolladores ejecuten COPY INTO (con y sin almacenamiento habilitado para firewall) y también para ejecutar cualquier consulta de T-SQL de manera programada con canalizaciones de Data Factory.
Supervisión
Cuando un SPN ejecuta consultas en el almacenamiento, hay varias herramientas de supervisión que proporcionan visibilidad del usuario o el SPN que ejecutó la consulta. Puede encontrar al usuario para la actividad de consulta de las maneras siguientes:
- Vistas de administración dinámica (DMVs):columna
login_nameensys.dm_exec_sessions. - Información de consulta: columna
login_nameen la vistaqueryinsights.exec_requests_history. - Actividad de consulta: columna
submitteren la actividad de consulta de Fabric. - Aplicación de métricas de capacidad: el uso computacional para las operaciones de almacén realizadas por SPN aparece como el ID de cliente en la columna Usuario de la tabla de análisis detallado en segundo plano.
Para obtener más información, consulte Supervisar el almacén de datos de Fabric.
API de adquisición
La propiedad de los almacenes se puede cambiar de un SPN a un usuario y de un usuario a un SPN.
Adquisición de SPN o de usuario a usuario: Consulte Cambio de propiedad del almacén de Fabric.
Transferencia desde SPN o usuario hacia SPN: use una llamada POST en la API de REST.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Limitaciones
Limitaciones de las entidades de servicio con el almacén de datos de Microsoft Fabric:
- Los modelos semánticos predeterminados no se admiten para los almacenes creados por SPN y, como resultado, las características como enumerar tablas en la vista del conjunto de datos, la creación de informes a partir del conjunto de datos predeterminado no funcionará.
- La entidad de servicio para los puntos de conexión del análisis de SQL no se admite actualmente.
- Actualmente no se admiten las credenciales de la entidad de servicio o de Entra ID para los archivos de error COPY INTO.
- Las entidades de servicio no se admiten para las API de GIT. La compatibilidad con SPN solo existe para API de canalización de implementación.