Principal del servizio nel Data Warehouse di Fabric
si applica a:✅ Warehouse in Microsoft Fabric
Un principale del servizio di Azure (SPN) è un'identità di sicurezza usata dalle applicazioni o dagli strumenti di automazione per accedere a risorse Azure specifiche. A differenza delle identità utente, le entità servizio sono identità non interattive e basate su applicazioni a cui è possibile assegnare autorizzazioni precise, rendendole perfette per processi automatizzati o servizi in background. Usando i principali del servizio, è possibile connettersi alle origini dati in modo sicuro riducendo al minimo i rischi di errori umani e vulnerabilità legate all'identità. Per ulteriori informazioni sui principali del servizio, vedere gli oggetti applicazione e i principali del servizio in Microsoft Entra ID.
Prerequisiti
Creare un principale del servizio, assegnare ruoli e creare un segreto usando Azure.
Assicurarsi che l'amministratore del tenant possa abilitare in modo che i principali del servizio possano usare le API di Fabric nel portale di amministrazione di Fabric.
Assicurarsi che un utente con ruolo di amministratore nell'area di lavoro possa concedere l'accesso per un SPN tramite Gestire l'accesso nell'area di lavoro.
Creare e accedere ai magazzini tramite le API REST utilizzando SPN
Gli utenti con ruolo amministratore, membro o collaboratore ruolo dell'area di lavoro possono usare i principali del servizio per l'autenticazione per creare, aggiornare, leggere ed eliminare elementi del Warehouse tramite Fabric API REST. In questo modo è possibile automatizzare attività ripetitive, ad esempio il provisioning o la gestione dei warehouse senza basarsi sulle credenziali utente.
Se si usa un account delegato o un'identità fissa (identità del proprietario) per creare il magazzino, il magazzino userà tale credenziale durante l'accesso a OneLake. Ciò crea un problema quando il proprietario lascia l'organizzazione, perché il magazzino smetterà di funzionare. Per evitare questo, creare magazzini utilizzando un SPN.
Fabric richiede anche all'utente di accedere ogni 30 giorni per assicurarsi che venga fornito un token valido per motivi di sicurezza. Per un data warehouse, il proprietario deve accedere a Fabric ogni 30 giorni. Questa operazione può essere automatizzata usando un SPN con l'API della lista .
I warehouse creati da un NOME SPN usando le API REST verranno visualizzati nella visualizzazione Elenco aree di lavoro nel portale di Fabric, con il nome proprietario
Connettersi alle applicazioni client tramite SPN
È possibile connettersi ai magazzini di Fabric utilizzando i principi di servizio con strumenti come SQL Server Management Studio (SSMS) 19 o versioni successive.
- Autenticazione: Microsoft Entra Service Principal
- Nome utente: ID client di SPN (creato tramite Azure nella sezione Prerequisiti)
- password: segreto (creato tramite Azure nella sezione Prerequisiti)
Autorizzazioni del piano di controllo
È possibile concedere agli SPN l'accesso ai magazzini utilizzando i ruoli dell'area di lavoro attraverso Gestione degli accessi nell'area di lavoro. Inoltre, i magazzini possono essere condivisi con un SPN attraverso il portale di Fabric utilizzando le Autorizzazioni per gli elementi.
Autorizzazioni del piano dati
Dopo che ai magazzini vengono fornite autorizzazioni del piano di controllo a un nome SPN attraverso i ruoli dell'area di lavoro o le autorizzazioni degli elementi, gli amministratori possono usare comandi T-SQL come GRANT per assegnare autorizzazioni specifiche del piano dati come e alle entità di servizio, per controllare con precisione a quali metadati/dati e operazioni ha accesso uno SPN. È consigliabile seguire il principio dei privilegi minimi.
Per esempio:
GRANT SELECT ON <table name> TO <service principal name>;
Dopo aver concesso le autorizzazioni, gli SPN possono connettersi agli strumenti dell'applicazione client come SSMS, fornendo così accesso sicuro agli sviluppatori per eseguire COPY INTO (con o senza firewall abilitato per lo storage) e anche per eseguire qualsiasi query T-SQL in modo programmato con le pipeline di Data Factory .
Monitor
Quando un SPN esegue query nel warehouse, sono disponibili vari strumenti di monitoraggio che offrono visibilità sull'utente o sul SPN che ha eseguito la query. È possibile trovare l'utente per l'attività di query nei modi seguenti:
-
viste di gestione dinamica (DMV): colonna
login_nameinsys.dm_exec_sessions. -
query Insights: colonna
login_namenella vistaqueryinsights.exec_requests_history. -
attività di query: colonna
submitternell'attività di query di Fabric. - app Capacity metrics: l'utilizzo di calcolo per le operazioni di magazzino eseguite dal nome SPN viene visualizzato come ID client nella colonna User nella tabella di analisi dettagliata delle operazioni in background.
Per ulteriori informazioni, consultare Monitor Fabric Data Warehouse.
API acquisizione
La proprietà dei magazzini può essere modificata da un SPN a un utente e da un utente a un SPN.
Acquisizione da SPN o da utente a utente: consultare Modificare la proprietà di Fabric Warehouse.
Acquisizione da SPN o utente a SPN: utilizzare una chiamata POST tramite l'API REST.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Limitazioni
Limitazioni dei principali di servizio con Microsoft Fabric Data Warehouse
- I modelli semantici predefiniti non sono supportati per i warehouse creati da SPN e, di conseguenza, le funzionalità come l'elenco delle tabelle nella visualizzazione set di dati, la creazione di report dal set di dati predefinito non funzionerà.
- Il principal di servizio per gli endpoint di analisi SQL non è attualmente supportato.
- Le credenziali dell'entità servizio o Entra ID non sono attualmente supportate per i file di errore COPY INTO.
- I principali del servizio non sono supportati per le API GIT . Il supporto SPN esiste solo per le API della pipeline di distribuzione .