Panoramica dell'autenticazione
I carichi di lavoro di Fabric si affidano all’integrazione con Entra ID di Microsoft per l'autenticazione e l’autorizzazione.
Tutte le interazioni tra carichi di lavoro e altri componenti di Fabric o Azure devono essere accompagnate dal supporto di autenticazione appropriato per le richieste ricevute o inviate. I token inviati devono essere generati correttamente e anche i token ricevuti devono essere convalidati correttamente.
Prima di iniziare a usare i carichi di lavoro di Fabric, è consigliabile acquisire familiarità con Microsoft Identity Platform. È anche consigliabile dare una lettura alle Procedure raccomandate e consigli per usare Microsoft Identity Platform.
Flussi
Dal front-end del carico di lavoro al back-end del carico di lavoro
Un esempio di tale comunicazione è qualsiasi API del piano dati. Questa comunicazione viene eseguita con un token soggetto (token delegato).
Per informazioni su come acquisire un token nel carico di lavoro FE, vedere API di autenticazione. Assicurarsi inoltre di esaminare come si convalidano i token nella Panoramica dell'autenticazione e dell'autorizzazione back-end.
Dal back-end dell'infrastruttura al back-end del carico di lavoro
Un esempio di tale comunicazione è Creare un elemento del carico di lavoro. Questa comunicazione viene eseguita con un token SubjectAndApp, che è un token speciale che include un token dell'app e un token soggetto combinato (vedere la panoramica dell'autenticazione e dell'autorizzazione back-end per altre informazioni su questo token).
Per consentire il funzionamento di questa comunicazione, l'utente che utilizza questa comunicazione deve fornire il consenso all'applicazione Microsoft Entra.
Dal back-end del carico di lavoro al back-end dell'infrastruttura
Questa operazione viene eseguita con un SubjectAndApp per le API di controllo del carico di lavoro (ad esempio ResolveItemPermissions) o con un token Soggetto (per altre API fabric).
Dal back-end del carico di lavoro ai servizi esterni
Un esempio di tale comunicazione è la scrittura in un file Lakehouse. Questa operazione viene eseguita con il token Soggetto o un token dell'app, a seconda dell'API.
Se si prevede di comunicare con i servizi usando un token Soggetto, assicurarsi di avere familiarità con la documentazione On behalf of flows (Per conto dei flussi).
Vedere l'esercitazione autenticazione per configurare l'ambiente in modo che funzioni con l'autenticazione.
API JavaScript di autenticazione
Il front-end di Fabric offre un'API JavaScript per i carichi di lavoro di Fabric per acquisire un token per l'applicazione in Microsoft Entra ID. Prima di usare l'API JavaScript di autenticazione, assicurarsi di passare alla documentazione dell'API JavaScript per l'autenticazione.
Consensi
Per comprendere perché sono necessari i consensi, rivedere Consensi utente e amministratore in Microsoft Entra ID.
Come funzionano i consensi nei carichi di lavoro di Fabric?
Per concedere un consenso per un'applicazione specifica, Fabric FE crea un'istanza MSAL configurata con l'ID applicazione del carico di lavoro e richiede un token per l'ambito fornito (additionalScopesToConsent - vedere AcquireAccessTokenParams).
Quando si richiede un token con l'applicazione del carico di lavoro per un ambito specifico, Microsoft Entra ID mostra un consenso popup nel caso in cui non sia presente e quindi reindirizza la finestra popup all'URI di reindirizzamento configurato nell'applicazione.
In genere, l'URI di reindirizzamento si trova nello stesso dominio della pagina che ha richiesto il token, in modo che la pagina possa accedere al popup e chiuderla.
In questo caso, non si trova nello stesso dominio perché Fabric richiede il token e l'URI di reindirizzamento del carico di lavoro non si trova nel dominio Fabric, quindi quando viene aperta la finestra di dialogo di consenso, deve essere chiusa manualmente dopo il reindirizzamento. Non viene usato il codice restituito nell'URI di reindirizzamento e quindi lo si chiude automaticamente (quando Microsoft Entra ID reindirizza il popup all'URI di reindirizzamento, si chiude).
È possibile visualizzare il codice o la configurazione dell'URI di reindirizzamento nel file index.ts. Questo file è disponibile nell'esempio Microsoft-Fabric-workload-development-sample, nella cartella front-end.
Ecco un esempio di popup di consenso per la "app del carico di lavoro personale" e le relative dipendenze (archiviazione e Power BI) configurate durante la configurazione dell'autenticazione:
