Overzicht van verificatie
Infrastructuurworkloads zijn afhankelijk van integratie met Microsoft Entra-id voor verificatie en autorisatie.
Alle interacties tussen workloads en andere Fabric- of Azure-onderdelen moeten vergezeld gaan van de juiste verificatieondersteuning voor ontvangen of verzonden aanvragen. Tokens die worden verzonden, moeten correct worden gegenereerd en tokens die worden ontvangen, moeten ook correct worden gevalideerd.
Het is raadzaam om vertrouwd te raken met het Microsoft Identity Platform voordat u begint met het werken met Fabric-workloads. Het wordt ook aanbevolen om de best practices en aanbevelingen van het Microsoft Identity Platform te doorlopen.
Stromen
Van de front-end van de workload naar de back-end van de workload
Een voorbeeld van dergelijke communicatie is een API voor het gegevensvlak. Deze communicatie wordt uitgevoerd met een onderwerptoken (gedelegeerd token).
Lees verificatie-API voor informatie over het verkrijgen van een token in de workload FE. Zorg er bovendien voor dat u de tokenvalidatie doorloopt in het overzicht van back-endverificatie en autorisatie.
Van infrastructuurback-end naar back-end van workload
Een voorbeeld van een dergelijke communicatie is een workloaditem maken. Deze communicatie wordt uitgevoerd met een SubjectAndApp-token, een speciaal token dat een app-token en een onderwerptoken bevat gecombineerd (zie het overzicht van back-endverificatie en autorisatie voor meer informatie over dit token).
De gebruiker die deze communicatie gebruikt, moet toestemming geven voor de Microsoft Entra-toepassing om deze communicatie te laten werken.
Van back-end van workload naar infrastructuurback-end
Dit wordt gedaan met een SubjectAndApp-token voor workloadbeheer-API's (bijvoorbeeld ResolveItemPermissions) of met een onderwerptoken (voor andere Fabric-API's).
Van back-end van workload naar externe services
Een voorbeeld van een dergelijke communicatie is het schrijven naar een Lakehouse-bestand. Dit wordt gedaan met een onderwerptoken of een app-token, afhankelijk van de API.
Als u van plan bent om te communiceren met services met behulp van een onderwerptoken, moet u ervoor zorgen dat u bekend bent met namens stromen.
Raadpleeg de zelfstudie Verificatie om uw omgeving in te stellen voor gebruik met verificatie.
JavaScript-API voor verificatie
Front-end fabric biedt een JavaScript-API voor Fabric-workloads om een token te verkrijgen voor hun toepassing in Microsoft Entra ID. Voordat u met de JavaScript-API voor verificatie werkt, moet u de documentatie over de JavaScript-API voor verificatie doorlopen.
Toestemmingen
Als u wilt weten waarom toestemmingen vereist zijn, controleert u de toestemming van de gebruiker en beheerder in Microsoft Entra-id.
Hoe werken toestemmingen in Fabric-workloads?
Als u een toestemming wilt verlenen voor een specifieke toepassing, maakt Fabric FE een MSAL-exemplaar dat is geconfigureerd met de toepassings-id van de workload en vraagt om een token voor het opgegeven bereik (additionalScopesToConsent - zie AcquireAccessTokenParams).
Wanneer u wordt gevraagd om een token met de workloadtoepassing voor een specifiek bereik, geeft Microsoft Entra ID een pop-uptoestemming weer voor het geval deze ontbreekt en stuurt u het pop-upvenster om naar de omleidings-URI die in de toepassing is geconfigureerd.
Normaal gesproken bevindt de omleidings-URI zich in hetzelfde domein als de pagina die het token heeft aangevraagd, zodat de pagina toegang heeft tot de pop-up en sluit deze.
In ons geval bevindt het zich niet in hetzelfde domein, omdat Fabric het token aanvraagt en de omleidings-URI van de workload zich niet in het fabric-domein bevindt, dus wanneer het toestemmingsdialoogvenster wordt geopend, moet het handmatig worden gesloten na omleiding. We gebruiken de code die wordt geretourneerd in de omleidings-URI niet. Daarom sluiten we deze gewoon automatisch in (wanneer de pop-up-id van Microsoft Entra de pop-up omleidt naar de omleidings-URI, het wordt gesloten).
U ziet de code/configuratie van de omleidings-URI in het bestand index.ts. Dit bestand vindt u in het microsoft-Fabric-workload-development-sample, onder de front-endmap.
Hier volgt een voorbeeld van een pop-up van toestemming voor onze app 'mijn workload-app' en de bijbehorende afhankelijkheden (opslag en Power BI) die we hebben geconfigureerd bij het instellen van de verificatie: