Información general sobre las directrices de autenticación de cargas de trabajo de Microsoft Fabric
En este artículo se proporcionan instrucciones sobre cómo trabajar con la autenticación al compilar cargas de trabajo de Microsoft Fabric. Incluye información sobre cómo trabajar con tokens y consentimientos.
Antes de empezar, asegúrese de que está familiarizado con los conceptos de Visión general de la autenticación y Configuración de autenticación.
API del plano de datos y del plano de control
La API del plano de datos es la API que expone el backend de la carga de trabajo. El front-end de carga de trabajo puede llamarlos directamente. En el caso de las API del plano de datos, el back-end de carga de trabajo puede decidir qué API exponer.
Las APIs del plano de control son APIs que pasan a través de Fabric. El proceso comienza con el front-end de carga de trabajo, que llama a una API de JavaScript, y termina con la llamada de Fabric al back-end de carga de trabajo. Un ejemplo de este tipo de API es Crear elemento.
Para las API del plano de control, la carga de trabajo debe seguir los contratos definidos en el back-end de carga de trabajo e implementar esas API.
Exponer una pestaña de API en la aplicación del entorno de trabajo en Microsoft Entra ID
En la pestaña Exponer una API, debe agregar ámbitos para las API del plano de control y ámbitos para las API del plano de datos.
Los ámbitos agregados para las API del plano de control deben autorizar previamente la aplicación Fabric Client for Workloads con el id. de aplicación
d2450708-699c-41e3-8077-b0c8341509aa
. Esos ámbitos se incluyen en el token que recibe el backend de la carga de trabajo cuando Fabric lo llama.Debe agregar al menos un ámbito a la API del plano de control para que el flujo funcione correctamente.
Los ámbitos agregados para las API del plano de datos deben autorizar previamente Microsoft Power BI con el id. de aplicación
871c010f-5e61-4fb1-83ac-98610a7e9110
. Se incluyen en el token que devuelve la API de JavaScript deacquireAccessToken
.En el caso de las API del plano de datos, puede usar esta pestaña para administrar permisos pormenorizados para cada API que exponga la carga de trabajo. Lo ideal es agregar un conjunto de ámbitos para cada API que expone el back-end de carga de trabajo y validar que el token recibido incluya esos ámbitos cuando se llama a esas API desde el cliente. Por ejemplo:
- La carga de trabajo expone dos API al cliente,
ReadData
yWriteData
. - La carga de trabajo expone dos ámbitos de planos de datos,
data.read
ydata.write
. - En la API de
ReadData
, la carga de trabajo valida que el ámbito dedata.read
se incluya en el token antes de continuar con el flujo. Lo mismo se aplica aWriteData
.
- La carga de trabajo expone dos API al cliente,
Pestaña Permisos de API en la aplicación de carga de trabajo en Microsoft Entra ID
En la pestaña Permisos de API, debe agregar todos los ámbitos para los que la carga de trabajo necesite intercambiar un token. Un ámbito obligatorio que se debe agregar es Fabric.Extend
en el servicio Power BI. Es posible que las solicitudes a Fabric fallen sin este ámbito.
Trabajar con tokens y consentimientos
Cuando se trabaja con las API del plano de datos, el front-end de carga de trabajo debe adquirir un token para las llamadas al back-end de carga de trabajo.
En las secciones siguientes se describe cómo el front-end de carga de trabajo debe usar la API de JavaScript , y los flujos de representación (OBO) ,, a fin de adquirir tokens para la carga de trabajo y servicios externos, y para trabajar con consentimientos.
Paso 1: Adquirir un token
La carga de trabajo comienza por pedir un token mediante la API de JavaScript sin proporcionar ningún parámetro. Esta llamada puede dar lugar a dos situaciones:
El usuario ve una ventana de consentimiento con todas las dependencias estáticas (lo que está configurado en la pestaña Permisos de API) configuradas por la carga de trabajo. Esta situación se produce si el usuario no forma parte del inquilino principal de la aplicación y el usuario no dio su consentimiento a Microsoft Graph para esta aplicación antes.
El usuario no ve una ventana de consentimiento. Este escenario se produce si el usuario ha dado su consentimiento al menos una vez para Microsoft Graph en esta aplicación, o si el usuario forma parte del cliente principal de la aplicación.
En ambos casos, a la carga de trabajo no debe importarle si el usuario dio su consentimiento completo para todas las dependencias o no (y no puede saberlo en este momento). El token recibido tiene la audiencia del backend de carga de trabajo y se puede usar para llamar directamente al backend de carga de trabajo desde el frontend de carga de trabajo.
Paso 2: Intentar acceder a servicios externos
Es posible que la carga de trabajo necesite acceder a servicios que requieren autenticación. Para ese acceso, debe realizar el flujo de OBO, donde intercambia el token que recibió de su cliente o de Fabric hacia otro servicio. El intercambio de tokens podría producir un error como resultado de la falta de consentimiento o de alguna directiva de Acceso condicional de Microsoft Entra configurada en el recurso para el que la carga de trabajo intenta intercambiar el token.
Para solucionar este problema, es responsabilidad de la carga de trabajo propagar el error al cliente al trabajar con llamadas directas entre el front-end y el back-end. También es responsabilidad de la carga de trabajo propagar el error al cliente al trabajar con llamadas desde Fabric mediante la propagación de errores descrita en Comunicación de carga de trabajo.
Una vez que la carga de trabajo propaga el error, puede llamar a la API de JavaScript de acquireAccessToken
para resolver el problema de consentimiento o de la directiva de acceso condicional y intentar nuevamente la operación.
Para ver los errores de la API del plano de datos, consulte Control de la autenticación multifactor, el acceso condicional y el consentimiento incremental. Para ver los errores de la API del plano de control, consulte Comunicación de carga de trabajo.
Escenarios de ejemplo
Echemos un vistazo a una carga de trabajo que necesita acceder a tres API de Fabric:
Listar áreas de trabajo:
GET https://api.fabric.microsoft.com/v1/workspaces
Creación de un almacén:
POST https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/warehouses
Escribir en un archivo de lakehouse:
PUT https://onelake.dfs.fabric.microsoft.com/{filePath}?resource=file
Para poder trabajar con esas API, el back-end de carga de trabajo debe intercambiar tokens para los ámbitos siguientes:
- Para enumerar áreas de trabajo:
https://analysis.windows.net/powerbi/api/Workspace.Read.All
ohttps://analysis.windows.net/powerbi/api/Workspace.ReadWrite.All
- Para crear un almacén:
https://analysis.windows.net/powerbi/api/Warehouse.ReadWrite.All
ohttps://analysis.windows.net/powerbi/api/Item.ReadWrite.All
- Para escribir en un archivo de almacén de lago:
https://storage.azure.com/user_impersonation
Nota:
Puede encontrar los alcances necesarios para cada API de Fabric en este artículo de referencia .
Los ámbitos mencionados anteriormente deben configurarse en la aplicación de carga de trabajo en Permisos de API.
Echemos un vistazo a ejemplos de escenarios que la carga de trabajo podría encontrar.
Ejemplo 1
Supongamos que el back-end de carga de trabajo tiene una API de plano de datos que obtiene las áreas de trabajo del usuario y las devuelve al cliente:
El front-end de carga de trabajo solicita un token mediante la API de JavaScript.
El front-end de carga de trabajo llama a la API de back-end de carga de trabajo para obtener las áreas de trabajo del usuario y adjuntar el token en la solicitud.
El back-end de carga de trabajo valida el token e intenta intercambiarlo para el ámbito necesario (supongamos
https://analysis.windows.net/powerbi/api/Workspace.Read.All
).La carga de trabajo no puede intercambiar el token del recurso especificado porque el usuario no consiente que la aplicación acceda a este recurso (consulte Códigos de error de AADSTS).
El back-end de carga de trabajo propaga el error al front-end de carga de trabajo especificando que necesita consentimiento para ese recurso. El front-end de carga de trabajo llama a la API de JavaScript de
acquireAccessToken
y proporcionaadditionalScopesToConsent
:workloadClient.auth.acquireAccessToken({additionalScopesToConsent: ["https://analysis.windows.net/powerbi/api/Workspace.Read.All"]})
Como alternativa, la carga de trabajo puede decidir pedir consentimiento para todas sus dependencias estáticas configuradas en su aplicación para que llame a la API de JavaScript y proporcione
promptFullConsent
:workloadClient.auth.acquireAccessToken({promptFullConsent: true})
.
Esta llamada solicita una ventana de consentimiento independientemente de si el usuario dado su consentimiento a algunas de las dependencias o no. Después de eso, la interfaz de carga de trabajo puede reintentar la operación.
Nota:
Si el intercambio de tokens sigue produciendo un error de consentimiento, significa que el usuario no concedió el consentimiento. La carga de trabajo debe controlar estos escenarios; por ejemplo, notificando al usuario que esta API requiere consentimiento y no funcionará sin él.
Ejemplo 2
Supongamos que el sistema backend de carga de trabajo necesita acceder a OneLake en la API de Crear Elemento (llamada desde Fabric a la carga de trabajo):
El frontend de la carga de trabajo llama a la API de JavaScript Create Item.
El backend de carga de trabajo recibe una llamada de "Fabric" y extrae el token delegado y lo valida.
La carga de trabajo intenta intercambiar el token por
https://storage.azure.com/user_impersonation
, pero falla porque el administrador del tenant de la autenticación multifactor, configurada según las necesidades del usuario, es necesaria para acceder a Azure Storage (consulte códigos de error AADSTS).La carga de trabajo propaga el error junto con las afirmaciones devueltas en el error de Microsoft Entra ID al cliente utilizando la propagación de errores descrita en Comunicación de carga de trabajo.
El frontend de la carga de trabajo llama a la API de JavaScript de
acquireAccessToken
y proporciona reclamaciones comoclaimsForConditionalAccessPolicy
, dondeclaims
hace referencia a las reclamaciones propagadas desde el backend de la carga de trabajo.workloadClient.auth.acquireAccessToken({claimsForConditionalAccessPolicy: claims})
Luego de eso, la carga de trabajo puede reintentar la operación.
Control de errores al solicitar consentimientos
A veces, el usuario no puede conceder consentimiento debido a varios errores. Después de una solicitud de consentimiento, la respuesta se devuelve al URI de redirección. En nuestro ejemplo, este código es responsable de controlar la respuesta. (Puede encontrarlo en el archivo index.ts).
const redirectUriPath = '/close';
const url = new URL(window.location.href);
if (url.pathname?.startsWith(redirectUriPath)) {
// Handle errors, Please refer to https://learn.microsoft.com/entra/identity-platform/reference-error-codes
if (url?.hash?.includes("error")) {
// Handle missing service principal error
if (url.hash.includes("AADSTS650052")) {
printFormattedAADErrorMessage(url?.hash);
// handle user declined the consent error
} else if (url.hash.includes("AADSTS65004")) {
printFormattedAADErrorMessage(url?.hash);
}
}
// Always close the window
window.close();
}
El front-end de carga de trabajo puede extraer el código de error de la dirección URL y controlarlo en consecuencia.
Nota:
En ambos escenarios (error y éxito), la carga de trabajo debe cerrar siempre la ventana inmediatamente, sin demoras.