Mikä on OneLaken jaetun käytön allekirjoitus (SAS)? (esikatselu)
OneLaken jaetun käyttöoikeuden allekirjoitus (SAS) tarjoaa suojatun, lyhyen ja delegoidun pääsyn OneLake-resurssiin. OneLake SAS:n avulla voit hallita sitä, miten asiakas voi käyttää tietojasi. Esimerkkejä:
- Mitä resursseja asiakas voi käyttää.
- Mitä oikeuksia heillä on resursseihin?
- Kuinka kauan SAS on pätevä.
Jokaisella OneLake SAS:lla (ja käyttäjän delegointiavaimella) on aina Microsoft Entra -tunnus, sen enimmäispituus on 1 tunti ja se voi myöntää käyttöoikeuden vain tietokohteen, kuten Lakehousen, sisältämiin kansioihin ja tiedostoihin.
Miten jaetun käytön allekirjoitus toimii?
Jaetun käytön allekirjoitus on tunnus, joka liitetään OneLake-resurssin URI-tunnukseen. Tunnus sisältää erityisen joukon kyselyparametreja, jotka ilmaisevat, miten asiakas voi käyttää resurssia. Yksi kyselyparametreista on allekirjoitus. Se on muodostettu SAS:n parametreista ja allekirjoitettu avaimella, jota käytettiin SAS:n luomiseen. OneLake käyttää tätä allekirjoitusta valtuuttaakseen käyttöoikeuden OneLaken kansioon tai tiedostoon. OneLake SASs käyttää samaa muotoa ja ominaisuuksia kuin Azure-tallennus käyttäjän delegoima SAS, mutta lisää suojausrajoituksia niiden voimassaoloa ja vaikutusaluetta varten.
OneLake SAS on kirjautunut käyttäjän delegointiavaimella (UDK), jota tuetaan Microsoft Entra -tunnistetiedoilla. Voit pyytää käyttäjän delegointiavainta Hae käyttäjän delegointiavain -toiminnolla. Sen jälkeen voit käyttää tätä avainta (vaikka se on vielä kelvollinen) OneLake SAS:n luomiseen. Kyseisen Microsoft Entra -tilin käyttöoikeudet sekä erikseen SAS:lle myönnetyt käyttöoikeudet määrittävät asiakkaan käyttöoikeuden resurssiin.
OneLake SAS:n valtuuttaminen
Kun asiakas tai sovellus käyttää OneLakea OneLakeN SAS:lla, pyyntö valtuutetaan käyttämällä Microsoft Entra -tunnistetietoja, jotka pyysivät SAS:n luonnissa käytettyä UDK:ta. Tämän vuoksi kaikki Microsoft Entra -käyttäjätietoihin myönnetyt OneLake-käyttöoikeudet koskevat SAS:a, mikä tarkoittaa, että SAS ei voi koskaan ylittää sen luovan käyttäjän käyttöoikeuksia. Lisäksi luodessasi SAS:a myönnät erikseen käyttöoikeudet, jolloin voit antaa entistä enemmän käyttöoikeuksia SAS:lle. Microsoft Entra -käyttäjätietojen, nimenomaisesti myönnettyjen käyttöoikeuksien ja lyhyen elinkaaren välillä OneLake noudattaa suojauksen parhaita käytäntöjä tietojen delegoidun käytön tarjoamiseksi.
Milloin kannattaa käyttää OneLake SAS:a?
OneLake SASs delegoi Suojatun ja tilapäisen OneLake-käyttöoikeuden Microsoft Entra -käyttäjätietojen tukemana. Sovellukset, joilla ei ole alkuperäistä Microsoft Entra -tukea, voivat käyttää OneLake SAS:ta tietojen lataamiseen väliaikaisesti ilman monimutkaista määritys- ja integrointityötä.
OneLake SASs tukee myös sovelluksia, jotka toimivat käyttäjien ja heidän tietojensa välityspalveluina. Esimerkiksi jotkut riippumattomat ohjelmistotoimittajat suoritetaan käyttäjien ja heidän Fabric-työtilansa välillä, jolloin ne tarjoavat lisätoimintoja ja mahdollisesti eri todennusmallin. Siirtämällä käyttöoikeudet OneLake SAS:lla nämä isv-ohjelmistotoimittajat voivat hallita pohjana olevien tietojen käyttöoikeuksia ja tarjota suoran pääsyn tietoihin, vaikka niiden käyttäjillä ei olisi Microsoft Entra -käyttäjätietoja.
OneLake SAS:n hallinta
Kaksi Fabric-vuokraajasi asetusta hallitsevat OneLake SASs:n käyttöä. Ensimmäinen on vuokraajatason asetus Käytä lyhytikäisiä käyttäjän delegoimia SAS-tunnuksia, joilla hallitaan käyttäjien delegointiavainten muodostamista. Koska käyttäjän delegointiavaimet luodaan vuokraajatasolla, niitä hallitaan vuokraaja-asetuksella. Tämä asetus on oletusarvoisesti käytössä, koska näillä käyttäjän delegointiavaimilla on vastaavat oikeudet niitä pyytäviin Microsoft Entra -käyttäjätietoihin ja ne ovat aina lyhytikäisiä.
Muistiinpano
Tämän ominaisuuden poistaminen käytöstä estää kaikkia työtiloja käyttämästä OneLake-palvelutasosopimuksia, koska kaikki käyttäjät eivät voi luoda käyttäjän delegointiavaimia.
Toinen asetus on delegoitu työtila-asetus Todentaminen OneLake-käyttäjän delegoiduilla SAS-tunnuksilla, joka määrittää, hyväksyykö työtila OneLake SAS:n. Tämä asetus on oletusarvoisesti poissa käytöstä, ja sen voi ottaa käyttöön työtilan järjestelmänvalvoja, joka haluaa sallia OneLake SAS -todennuksen työtilassaan. Vuokraajan järjestelmänvalvoja voi ottaa tämän asetuksen käyttöön kaikissa työtiloissa vuokraaja-asetuksen kautta tai jättää sen työtilan järjestelmänvalvojille käyttöön.
Voit valvoa myös käyttäjien delegointiavaimien luomista Microsoft Purview -yhteensopivuusportaalin kautta. Voit hakea toiminnon nimeä generateonelakeudk , jos haluat tarkastella kaikkia vuokraajassasi luotuja avaimia. Koska SAS:n luominen on asiakaspuolen toiminto, et voi valvoa tai rajoittaa OneLake SAS:n luomista, vain UDK:n sukupolvea.
OneLake SAS:n parhaat käytännöt
- Käytä aina HTTPS:ää SAS:n luomiseen tai jakamiseen, jotta voit suojautua lähihyökkäyksiltä, joiden tarkoituksena on kaapata SAS.
- Seuraa tunnustasi, avaintasi ja SAS-tunnuksen vanhentumisaikoja. OneLake-käyttäjävaltuutettujen avaimien ja SAS-avaimien enimmäisikä on 1 tunti. Jos yritetään pyytää UDK:ta tai rakentaa SAS, jonka elinikä on yli 1 tunti, pyyntö epäonnistuu. Jotta SAS:n käyttö ei pidentäisi OAuth-tunnusten voimassaoloa, tunnuksen elinkaaren on oltava myös pidempi kuin käyttäjän delegointiavaimen ja SAS:n vanhentumisaika.
- Ole varovainen SAS:n aloitusajan kanssa. SAS:n alkamisajan määrittäminen nykyiseksi ajaksi voi aiheuttaa virheitä ensimmäisten minuuttien ajan, koska koneiden välillä on erilaisia alkamisaikoja (kellon vinous). Alkamisajan määrittäminen muutamaksi minuutiksi aiemmin auttaa suojaamaan näiltä virheiltä.
- Myönnä SAS:lle mahdollisimman vähän oikeuksia. Tarvitaan mahdollisimman vähän oikeuksia mahdollisimman pienimpiin resursseihin, mikä on suojauksen paras käytäntö, ja se vähentää vaikutusta, jos SAS vaarantuu.
- Valvo käyttäjien delegointiavainten luontia. Voit valvoa käyttäjien delegointiavaimien luomista Microsoft Purview -yhteensopivuusportaalissa. Hae toiminnon nimi 'generateonelakeudk', jotta voit tarkastella vuokraajassa luotuja avaimia.
- Tutustu OneLake SASs -rajoituksiin. Koska OneLake-palvelutasosopimuksilla ei voi olla työtilatason käyttöoikeuksia, ne eivät ole yhteensopivia joidenkin Azure-tallennus työkalujen kanssa, joiden odotetaan kuljettavan tietoja säilötason käyttöoikeuksilla, kuten Azure-tallennus Explorerilla.