Palvelun päänimi Fabric-tietovarastossa

koskee seuraavia:✅ Warehouse Microsoft Fabricissa

Azure-palvelun päänimi (SPN) on suojausidentiteetti, jota sovellukset tai automaatiotyökalut käyttävät tiettyjen Azure-resurssien käyttämiseen. Toisin kuin käyttäjätiedot, palvelun päänimet ovat ei-vuorovaikutteisia, sovelluspohjaisia käyttäjätietoja, joille voidaan määrittää tarkat käyttöoikeudet. Tämä tekee niistä täydellisiä automaattisia prosesseja tai taustapalveluja varten. Palvelujen päänimien avulla voit muodostaa yhteyden tietolähteisiin turvallisesti ja minimoida samalla inhimillisten virheiden ja käyttäjätietopohjaisten haavoittuvuuksien riskit. Lisätietoja palvelun päänimistä on artikkelissa Sovelluksen ja palvelun päänimen objektit Microsoft Entra ID -.

Edellytykset

1. Palvelun päänimen luominen, roolien määrittäminen ja salaisen koodin luominen Azure:n avulla.

2. Varmista, että vuokraajan järjestelmänvalvoja voi ottaa käyttöön Palvelun päänimet voivat käyttää Fabric-ohjelmointirajapintoja Fabric Admin -portaalissa.

3. Varmista, että käyttäjä, jolla on järjestelmänvalvojan työtilaroolin voi myöntää spn:lle käyttöoikeuden Käyttöoikeuksien hallinta kautta työtilassa.

   

Luo ja käytä varastoja REST-ohjelmointirajapintojen kautta palvelun päänimen avulla

Käyttäjät, joilla on järjestelmänvalvojan, jäsenen tai osallistujan työtilaroolin, voivat käyttää palvelun päänimiä todentamiseen luodakseen, päivittääkseen, lukeakseen ja poistaakseen Varasto-kohteita Fabric REST -ohjelmointirajapintojenkautta. Näin voit automatisoida toistuvia tehtäviä, kuten varastojen valmistelua tai hallintaa, käyttämättä käyttäjän tunnistetietoja.

Jos luot varaston käyttämällä delegoitua tiliä tai kiinteitä käyttäjätietoja (omistajan käyttäjätiedot), varasto käyttää kyseistä tunnistetietoa käyttäessään OneLakea. Tämä aiheuttaa ongelman, kun omistaja poistuu organisaatiosta, koska varasto lakkaa toimimasta. Voit välttää tämän luomalla varastoja käyttämällä palvelun päänimeä.

Fabric edellyttää myös, että käyttäjä kirjautuvat sisään 30 päivän välein sen varmistamiseksi, että voimassa oleva tunnus annetaan turvallisuussyistä. Tietovarastoa varten omistajan on kirjauduttava Fabriciin 30 päivän välein. Tämä voidaan automatisoida käyttämällä palvelun päänimeä ja List -ohjelmointirajapintaa.

SPN:n REST-ohjelmointirajapintoja käyttämällä luomat varastot näytetään Fabric-portaalin Työtila-luettelonäkymässä, jolloin Owner palvelun päänimenä. Seuraavassa kuvassa Näyttökuva Fabric-portaalin työtilasta "Fabric Public API Test app" on palvelun päänimi, joka loi Contoso Marketing Warehousen.

Asiakassovelluksiin yhdistäminen PALVELUN PÄÄNIMEN avulla

Voit muodostaa yhteyden Fabric-varastoihin käyttämällä palvelun päänimiä työkaluilla, kuten SQL Server Management Studio (SSMS) 19 tai uudemmalla versiolla.

• todentamisen: Microsoft Entra -palvelun päänimi
• User name: SPN:n asiakastunnus (luotu Azuren kautta edellytyksenä olevassa osassa)
• Password: Secret (luotu Azuren kautta Edellytykset-osassa)

Hallitse tason käyttöoikeuksia

Palvelun päänimelle voidaan myöntää käyttöoikeus varastoihin käyttämällä työtilarooleja, jotka, kautta Käytön hallinta työtilassa. Lisäksi varastot voidaan jakaa palvelun päänimen kanssa Fabric-portaalin kautta Kohteen käyttöoikeudet -kautta.

Tietotason käyttöoikeudet

Kun varastoille on annettu tason käyttöoikeudet palvelun päänimeen työtilaroolien tai nimike-käyttöoikeuksien kautta, järjestelmänvalvojat voivat määrittää T-SQL-komennoilla, kuten GRANT, tiettyjä tietotason käyttöoikeuksia palvelun päänimille, jotta he voivat hallita tarkasti, mihin metatietoihin tai tietoihin ja toimintoihin SPN:llä on käyttöoikeus. Tätä suositellaan vähiten etuoikeutta koskevan periaatteen noudattamiseksi.

Esimerkiksi:

GRANT SELECT ON <table name> TO <service principal name>;

Kun käyttöoikeudet on myönnetty, SPN:t voivat muodostaa yhteyden asiakassovellustyökaluihin, kuten SSMS:ään, jolloin kehittäjät voivat suorittaa COPY INTO -palvelun suojatun käytön (palomuurin käytössä olevalla tallennustilalla ja ilman sitä) ja suorittaa minkä tahansa T-SQL-kyselyn ohjelmallisesti aikataulun mukaisesti Data Factory -jaksoissa.

Monitori

Kun palvelun päänimi suorittaa kyselyjä varastossa, käytettävissä on useita valvontatyökaluja, jotka antavat näkyvyyden kyselyn suorittamattomalle käyttäjälle tai palvelun päänimelle. Löydät käyttäjän kyselytoimintoja varten seuraavilla tavoilla:

• Dynaamiset hallintanäkymät (DMV) -: login_name sarake sys.dm_exec_sessions.
• Query Insights: login_name sarake queryinsights.exec_requests_history näkymässä.
• Kyselyaktiviteetin: submitter -sarake Fabric-kyselytoiminnassa.
• Capacity Metrics -sovelluksen: PALVELUN PÄÄNIMEN suorittamien varastotoimintojen käsittelykäyttö näkyy asiakastunnuksena Käyttäjä -sarakkeessa Taustatoiminnot-porautumistaulukossa.

Katso lisätietoja artikkelista Monitor Fabric Data Warehouse.

Haltuunoton ohjelmointirajapinta

Varastojen omistajuus voidaan muuttaa palvelun päänimestä käyttäjäksi ja käyttäjästä palvelun päänimeksi.

• Palvelun päänimen tai käyttäjän haltuunotto: katso Fabric Warehouseomistajuuden muuttaminen.

• Haltuunotto SPN:stä tai käyttäjästä PALVELUN PÄÄNIMEen: Käytä POST-kutsua REST-ohjelmointirajapinnassa.

  POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
  

Rajoitukset

Microsoft Fabric Data Warehouse -palvelun päänimien rajoitukset:

• Semanttisia oletusmalleja ei tueta SPN:n luomia varastoja varten, minkä vuoksi ominaisuudet, kuten taulukoiden luettelointi tietojoukkonäkymässä ja raportin luominen oletustietojoukosta, eivät toimi.
• SQL-analytiikan päätepisteiden palvelun päänimeä ei tällä hetkellä tueta.
• Palvelun päänimen tai Entra-tunnuksen tunnistetietoja ei tällä hetkellä tueta KOPIOIMINEN virhetiedostoihin -toiminnossa.
• Palvelun päänimiä ei tueta GIT-ohjelmointirajapinnoille. Palvelun päänimen tuki on olemassa vain käyttöönottoputken ohjelmointirajapinnoille.

Aiheeseen liittyvä sisältö

• Items – Create Warehouse – REST API (Warehouse)
• Data Factory palvelun päänimen tuki