Tjenestekontohaver i Fabric Data Warehouse

gjelder for:✅ Warehouse i Microsoft Fabric

En Azure-tjenestekontohaver (SPN) er en sikkerhetsidentitet som brukes av programmer eller automatiseringsverktøy for å få tilgang til bestemte Azure-ressurser. I motsetning til brukeridentiteter er tjenestekontohavere ikke-interaktive, programbaserte identiteter som kan tilordnes nøyaktige tillatelser, noe som gjør dem perfekte for automatiserte prosesser eller bakgrunnstjenester. Ved hjelp av tjenestekontohavere kan du koble til datakildene dine på en sikker måte, samtidig som du minimerer risikoen for menneskelige feil og identitetsbaserte sårbarheter. Hvis du vil ha mer informasjon om tjenestekontohavere, kan du se application and service principal objects in Microsoft Entra ID.

Forutsetninger

1. Opprette en tjenestekontohaver, tilordne roller og opprette hemmeligheter ved hjelp av Azure.

2. Sørg for at leieradministratoren kan aktivere Tjenestekontohavere kan bruke Fabric API-er i fabric admin portal.

3. Sørg for at en bruker med rollen administrator arbeidsområde kan gi tilgang til en SPN gjennom Administrere tilgang i arbeidsområdet.

   

Opprette og få tilgang til lagre gjennom REST-API-er ved hjelp av SPN

Brukere med administrator, medlem eller bidragsyter arbeidsområderolle kan bruke tjenestekontohavere for godkjenning til å opprette, oppdatere, lese og slette lagerelementer via Fabric REST-API-er. Dette gjør at du kan automatisere gjentakende oppgaver som klargjøring eller administrasjon av lagre uten å stole på brukerlegitimasjon.

Hvis du bruker en delegert konto eller fast identitet (eierens identitet) til å opprette lageret, bruker lageret denne legitimasjonen mens du åpner OneLake. Dette skaper et problem når eieren forlater organisasjonen, fordi lageret slutter å fungere. Hvis du vil unngå dette, oppretter du lagre ved hjelp av en SPN.

Fabric krever også at brukeren logger på hver 30. dag for å sikre at et gyldig token er angitt av sikkerhetsgrunner. For et datalager må eieren logge på Fabric hver 30. dag. Dette kan automatiseres ved hjelp av en SPN med List API.

Lagre som opprettes av en SPN ved hjelp av REST-API-er, vises i listevisningen for arbeidsområdet i Stoff-portalen, med navnet eier som SPN. I bildet nedenfor er et skjermbilde fra arbeidsområdet i Fabric-portalen, «Fabric Public API test app» SPN-en som opprettet Contoso Marketing Warehouse.

Koble til klientprogrammer ved hjelp av SPN

Du kan koble til Fabric-lagre ved hjelp av tjenestekontohavere med verktøy som SQL Server Management Studio (SSMS) 19 eller nyere versjoner.

• godkjenning: Microsoft Entra Service Principal
• brukernavn: Klient-ID for SPN (opprettet via Azure i forutsetningsinndelingen)
• passord: Hemmelig (opprettet via Azure i forutsetningsdelen)

Kontrollflytillatelser

SPN-er kan gis tilgang til lagre ved hjelp av arbeidsområderoller gjennom Administrere tilgang i arbeidsområdet. I tillegg kan lagre deles med en SPN gjennom Stoff-portalen via Elementtillatelser.

Tillatelser for dataplan

Når lagre er gitt kontrollplantillatelser til en SPN gjennom arbeidsområderoller eller elementtillatelser, kan administratorer bruke T-SQL-kommandoer som GRANT til å tilordne bestemte dataplantillatelser til tjenestekontohavere, for å kontrollere nøyaktig hvilke metadata/data og operasjoner en SPN har tilgang til. Dette anbefales å følge prinsippet om minst mulig rettighet.

For eksempel:

GRANT SELECT ON <table name> TO <service principal name>;

Når tillatelser er gitt, kan SPN-er koble til klientprogramverktøy som SSMS, og dermed gi sikker tilgang for utviklere til å kjøre COPY INTO (med og uten brannmuraktivert lagring), og også kjøre en T-SQL-spørring programmatisk etter en tidsplan med Data Factory-datasamlebånd.

Monitor

Når en SPN kjører spørringer på lageret, finnes det ulike overvåkingsverktøy som gir synlighet til brukeren eller SPN-en som kjørte spørringen. Du finner brukeren for spørringsaktivitet på følgende måter:

• dynamiske administrasjonsvisninger (DMV-er): login_name kolonne i sys.dm_exec_sessions.
• spørringsinnsikter: login_name kolonne i queryinsights.exec_requests_history visning.
• spørringsaktivitet: submitter kolonne i stoffspørringsaktivitet.
• app for måledata for kapasitet: Databehandlingsbruk for lageroperasjoner utført av SPN vises som klient-ID-en under kolonnen Bruker i bakgrunnsoperasjoner drille gjennom tabellen.

Hvis du vil ha mer informasjon, kan du se Monitor Fabric Data warehouse.

Overtakelses-API

Eierskap av lagre kan endres fra en SPN til bruker, og fra en bruker til en SPN.

• Overtakelse fra SPN eller bruker til bruker: Se Endre eierskap for Fabric Warehouse.

• Overtakelse fra SPN eller bruker til SPN: Bruk et POST-kall på REST-API.

  POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
  

Begrensninger

Begrensninger for tjenestekontohavere med Microsoft Fabric Data Warehouse:

• Standard semantiske modeller støttes ikke for SPN-opprettede lagre, og som et resultat fungerer ikke funksjoner som å vise tabeller i datasettvisning. Oppretting av rapport fra standard datasett vil derfor ikke fungere.
• Tjenestekontohaver for SQL Analytics-endepunkter støttes for øyeblikket ikke.
• Tjenestekontohaver eller entra-ID-legitimasjon støttes for øyeblikket ikke for COPY INTO-feilfiler.
• Tjenestekontohavere støttes ikke for GIT-API-er. SPN-støtte finnes bare for API-er for utrullingssamlebånd.

Relatert innhold

• Elementer – Opprett lager - REST-API (Lager)
• støtte for tjenestekontohaver i Data Factory