Oversikt over godkjenning
Stoffarbeidsbelastninger er avhengige av integrering med Microsoft Entra ID for godkjenning og autorisasjon.
Alle interaksjoner mellom arbeidsbelastninger og andre Fabric- eller Azure-komponenter må ledsages av riktig godkjenningsstøtte for forespørsler mottatt eller sendt. Tokener som sendes ut, må genereres riktig, og tokener som mottas, må også valideres riktig.
Det anbefales at du blir kjent med Microsofts identitetsplattform før du begynner å arbeide med Fabric-arbeidsbelastninger. Det anbefales også å gå gjennom Microsofts identitetsplattform anbefalte fremgangsmåter og anbefalinger.
Flyter
Fra arbeidsbelastning frontet til arbeidsbelastning backend
Et eksempel på slik kommunikasjon er et hvilket som helst dataplan-API. Denne kommunikasjonen gjøres med et emnetoken (delegert token).
Hvis du vil ha informasjon om hvordan du skaffer et token i arbeidsbelastningen FE, kan du lese API-en for godkjenning. I tillegg må du kontrollere at du går over tokenvalidering i backend-godkjenningen og godkjenningsoversikten.
Fra Fabric backend til arbeidsbelastning backend
Et eksempel på slik kommunikasjon er Opprett arbeidsbelastningselement. Denne kommunikasjonen gjøres med et SubjectAndApp-token, som er et spesielt token som inkluderer et apptoken og et emnetoken kombinert (se serverdelgodkjenning og godkjenningsoversikt for å lære mer om dette tokenet).
For at denne kommunikasjonen skal fungere, må brukeren som bruker denne kommunikasjonen, gi samtykke til Microsoft Entra-programmet.
Fra arbeidsbelastning backend til Fabric backend
Dette gjøres med et SubjectAndApp-token for API-er for arbeidsbelastningskontroll (for eksempel ResolveItemPermissions) eller med et emnetoken (for andre Stoff-API-er).
Fra arbeidsbelastningsstøtte til eksterne tjenester
Et eksempel på slik kommunikasjon er å skrive til en Lakehouse-fil. Dette gjøres med emnetoken eller et apptoken, avhengig av API-en.
Hvis du planlegger å kommunisere med tjenester ved hjelp av et emnetoken, må du kontrollere at du er kjent med På vegne av flyter.
Se opplæringen om godkjenning for å konfigurere miljøet til å fungere med godkjenning.
JavaScript-API for godkjenning
Fabric front-end tilbyr en JavaScript API for Fabric arbeidsbelastninger for å skaffe et token for deres program i Microsoft Entra ID. Før du arbeider med JavaScript-API-en for godkjenning, må du kontrollere at du går gjennom javascript-API-dokumentasjonen for godkjenning.
Samtykker
Hvis du vil forstå hvorfor samtykker kreves, kan du se gjennom bruker- og administratorsamtykke i Microsoft Entra ID.
Hvordan fungerer samtykker i stoffarbeidsbelastninger?
For å gi et samtykke til et bestemt program oppretter Fabric FE en MSAL-forekomst som er konfigurert med arbeidsbelastningens program-ID og ber om et token for det angitte omfanget (additionalScopesToConsent – se AcquireAccessTokenParams).
Når du ber om et token med arbeidsbelastningsprogrammet for et bestemt omfang, viser Microsoft Entra ID et popup-samtykke i tilfelle det mangler, og deretter omdirigerer du popup-vinduet til omadresserings-URI-en som er konfigurert i programmet.
Vanligvis er omadresserings-URI-en i samme domene som siden som ba om tokenet, slik at siden kan få tilgang til hurtigmenyen og lukke den.
I vårt tilfelle er det ikke i samme domene siden Fabric ber om tokenet og omadresserings-URI-en for arbeidsbelastningen ikke er i Fabric-domenet, så når dialogboksen for samtykke åpnes, må den lukkes manuelt etter omdirigering – vi bruker ikke koden som returneres i omadresserings-URIen, og derfor setter vi bare automatisk opp (når Microsoft Entra ID omdirigerer popup-en til omadresserings-URI-en, den lukkes).
Du kan se koden/konfigurasjonen av omadresserings-URIen i filen index.ts. Denne filen finnes i eksempelet microsoft-fabric-workload-development-sample, under frontmappen.
Her er et eksempel på et hurtigmeny for samtykke for appen «min arbeidsbelastningsapp» og avhengighetene (lagring og Power BI) som vi konfigurerte når vi gikk gjennom godkjenningsoppsettet:
