Verificatie-instellingen
In dit artikel leert u hoe u kunt werken met verificatie in Microsoft Fabric.
Als u een aangepaste workload in Fabric wilt verifiëren, moet u eerst drie onderdelen instellen:
Notitie
Als u de verificatie-instellingen wilt configureren die in dit artikel worden beschreven, moet u de rol Globale beheerder hebben.
Azure Storage-inrichting
Het verificatievoorbeeld dat in dit artikel wordt gebruikt, laat zien hoe u gegevens opslaat in en leest uit een Lakehouse-architectuur. Hiervoor moeten tokens worden gegenereerd voor de Azure Storage-service in stromen namens (OBO). Als u tokens wilt genereren, moet u toestemming geven voor het gebruik van Azure Storage met uw toepassing. Als u toestemming wilt geven, moet Azure Storage eerst worden ingericht in de tenant.
Ga als volgt te werk om te controleren of Azure Storage is ingericht in de tenant:
Meld u aan bij het Azure-portaal.
Ga naar Microsoft Entra ID>Enterprise-toepassingen.
Selecteer in de zoekfilters het toepassingstype = Alle toepassingen. De toepassings-id begint met
e406a681-f3d4-42a8-90b6-c2b029497af1.
Als de Azure Storage-toepassing wordt weergegeven in de zoekresultaten, is de opslag al ingericht en kunt u doorgaan met de volgende stap. Anders moet een globale beheerder de toepassing configureren.
Als u Azure Storage wilt inrichten, opent u Windows PowerShell als beheerder en voert u het volgende script uit:
Install-Module az
Import-Module az
Connect-AzureAD
New-AzureADServicePrincipal -AppId e406a681-f3d4-42a8-90b6-c2b029497af1
Uw toepassing handmatig configureren in Microsoft Entra-id
Als u een workload wilt verifiëren, moet de workloadtoepassing zijn geregistreerd in De Microsoft Entra-id. Als u geen toepassing hebt geregistreerd, maakt u een nieuwe toepassing. Voer vervolgens de volgende stappen uit.
Pas de volgende configuraties toe op uw toepassing:
- Maak van de toepassing een multitenant-app.
- Voor ontwikkeltoepassingen configureert u de omleidings-URI zoals
http://localhost:60006/closemet het beveiligd-WACHTWOORDVERIFICATIE-platform (Single Page Application). Deze configuratie is vereist ter ondersteuning van Microsoft-toestemming. U kunt andere omleidings-URI's toevoegen.
Notitie
- De omleidings-URI moet een URI zijn waarmee de pagina wordt gesloten wanneer u naar de URI gaat. De URI
http://localhost:60006/closeis al geconfigureerd in het front-endvoorbeeld. U kunt de omleidings-URI wijzigen in Frontend/src/index.ts. Als u de URI wijzigt, moet u ervoor zorgen dat deze overeenkomt met de URI die is geconfigureerd voor uw toepassing. - U kunt de omleidings-URI configureren nadat u de toepassing hebt gemaakt. Als u de omleidings-URI-instellingen wilt wijzigen, gaat u naar Verificatie>beheren.
- De omleidings-URL moet een HTML-pagina retourneren die alleen naar JavaScript
windows.close()wordt aangeroepen.
Wijzig de URI van de toepassings-id voor uw toepassing. Ga naar >en bewerk de waarde voor de URI van de toepassings-id voor uw app.
Voor een scenario voor ontwikkelaarsmodus moet de URI van de toepassings-id beginnen met
api://localdevinstance/<Workload publisher's tenant ID in lowercase (the tenant ID of the user used in Fabric to run the sample)>/<Name of your workload>en een optioneel subpad aan het einde waarmee wordt begonnen/(zie de voorbeelden verderop in deze sectie).URI-parameters voor toepassings-id:
- De naam van de werkbelasting moet exact zijn zoals opgegeven in het manifest.
- De id-URI kan niet eindigen met een slash (
/). - Het einde van de id-URI kan een optioneel subpad bevatten dat wordt geïdentificeerd door een tekenreeks van maximaal 36 tekens. Het mag alleen Nederlandse kleine letters en hoofdletters, cijfers en streepjes bevatten.
Tip
Hulp krijgen bij het vinden van uw Microsoft Entra-tenant-id.
Als de tenant-id van de uitgever bijvoorbeeld is
aaaabbbb-0000-cccc-1111-dddd2222eeeeen de naam van de werkbelasting isFabric.WorkloadSample, dan:De volgende URI's zijn geldig:
api://localdevinstance/aaaabbbb-0000-cccc-1111-dddd2222eeee/Fabric.WorkloadSampleapi://localdevinstance/aaaabbbb-0000-cccc-1111-dddd2222eeee/Fabric.WorkloadSample/abc
De volgende URI's zijn niet geldig:
api://localdevinstance/aaaabbbb-0000-cccc-1111-dddd2222eeee/Fabric.WorkloadSample/af/api://localdevinstance/aaaabbbb-0000-cccc-1111-dddd2222eeee/Fabric.WorkloadSample/af/a- Een id-URI die niet begint met
api://localdevinstance/aaaabbbb-0000-cccc-1111-dddd2222eeee/Fabric.WorkloadSample
Een bereik voor CRUD-API's en -taken toevoegen
Als u wilt werken met CRUD-API's (Create, Read, Update en Delete) voor workloaditems en voor het uitvoeren van andere bewerkingen met taken, voegt u een bereik toe. Voeg bovendien twee toegewezen Fabric-toepassingen toe aan de vooraf geverifieerde toepassingen voor dat bereik om aan te geven dat uw API (het bereik dat u hebt gemaakt) fabric vertrouwt.
Een bereik toevoegen:
Selecteer Onder Een API beschikbaar maken de optie Een bereik toevoegen. Geef het bereik
FabricWorkloadControleen naam en voer de vereiste gegevens in.Selecteer onder Geautoriseerde clienttoepassingen de optie Een clienttoepassing toevoegen. Voeg (de Fabric-client voor een workloadtoepassing) toe
d2450708-699c-41e3-8077-b0c8341509aaen selecteer uw bereik.
Bereiken voor de gegevensvlak-API toevoegen
Andere bereiken moeten worden geregistreerd om groepen bewerkingen weer te geven die worden weergegeven door de gegevensvlak-API.
In het voorbeeld van de back-end bieden we vier voorbeelden. U ziet de voorbeelden in Backend/src/Constants/scopes.cs.
De bereiken zijn:
-
Item1.Read.All: voor het lezen van workloaditems -
Item1.ReadWrite.All: voor het lezen/schrijven van workloaditems -
FabricLakehouse.Read.All: Voor het lezen van Lakehouse-bestanden -
FabricLakehouse.ReadWrite.All: Voor het lezen/schrijven van Lakehouse-bestanden
Verificatie 871c010f-5e61-4fb1-83ac-98610a7e9110 vooraf (de Fabric-clienttoepassing) voor deze bereiken.
U vindt de toepassings-id's van deze apps onder Microsoft Power BI en Power BI-service in toepassings-id's van veelgebruikte Microsoft-toepassingen.
Hier ziet u hoe de sectie Een API beschikbaar maken eruit moet zien in uw toepassing. In dit voorbeeld is api://localdevinstance/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/Fabric.WorkloadSamplede id-URI .
Een geheim genereren voor uw toepassing
Selecteer onder Certificaten en geheimen het tabblad Geheimen en voeg een geheim toe. Voer een naam in die u wilt gebruiken en sla deze op. Gebruik dit geheim wanneer u het back-endvoorbeeld configureert.
Een optionele claim voor idtyp toevoegen
Selecteer onder Tokenconfiguratie de optie Optionele claim toevoegen. Voor tokentype selecteert u Access en selecteert u idtyp.
API-machtigingen toevoegen
Voeg onder API-machtigingen de machtigingen toe die u nodig hebt voor uw toepassing. Voor het back-endvoorbeeld voegt u Azure Storage-user_impersonation (voor OneLake-API's) en Power BI Service Workspace.Read.all toe (voor workloadbeheer-API's):
Zie De aangevraagde machtigingen van een app bijwerken in Microsoft Entra ID voor meer informatie over API-machtigingen.
Uw toepassing instellen voor gebruik met verificatietoken v1
Controleer onder Manifest of accessTokenAcceptedVersion deze is ingesteld null op of op 1.
Uw toepassing configureren in Microsoft Entra-id met behulp van een script
Voor een gestroomlijnde installatie van uw toepassing in Microsoft Entra ID kunt u een geautomatiseerd PowerShell-script gebruiken (optioneel).
- Installeer de Azure CLI: installeer de Azure CLI voor Windows om te beginnen.
- Voer het script CreateDevAADApp.ps1 uit: Voer het script CreateDevAADApp uit. U wordt gevraagd u aan te melden met behulp van de referenties van het gebruikersaccount waaronder u de toepassing wilt maken.
- Geef de vereiste gegevens op: voer de naam in die u voor uw toepassing wilt gebruiken, de naam van de workload (voorafgegaan door Org.) en uw tenant-id.
Wanneer het script wordt uitgevoerd, worden alle details geretourneerd die nodig zijn om uw workload te configureren. Het biedt ook een directe URL naar uw toepassing en een URL voor beheerderstoestemming voor autorisatie van toepassingen voor de hele tenant.
Voorbeeld van gebruik
Als u een toepassing met de naam myWorkloadApp wilt maken met de workloadnaam Org.Myworkload voor de opgegeven tenant, voert u de volgende opdracht uit in PowerShell:
powershell .\CreateDevAADApp.ps1 -applicationName "myWorkloadApp" -workloadName "Org.Myworkload" -tenantId "bbbbcccc-1111-dddd-2222-eeee3333ffff"
In dit voorbeeld ziet u hoe u het script CreateDevAADApp.ps1 gebruikt met opdrachtregelargumenten om het installatieproces van de toepassing te automatiseren. De opgegeven tenant-id is alleen een voorbeeld. Vervang de voorbeeldtenant-id door uw werkelijke tenant-id.
Uw workload (back-end) configureren
Ga in het back-endvoorbeeld naar het src/appsettings.json-bestand in de opslagplaats en configureer de instellingen:
-
PublisherTenantId: De tenant-id van de uitgever. -
ClientId: Uw toepassings-id (u vindt deze in het overzicht van De Microsoft Entra-id). -
ClientSecret: het geheim dat u hebt gemaakt toen u de Microsoft Entra-app hebt geconfigureerd. -
Audience: de id-URI die u hebt geconfigureerd in de Microsoft Entra-app.
-
Configureer het workloadManifest.xml-bestand . Ga in de opslagplaats naar het bestand src/Packages/manifest/files/WorkloadManifest.xml. Configureer
AADApponder , configureerAppIdenredirectUriResourceId(de id-URI).
<AADApp>
<AppId>YourApplicationId</AppId>
<RedirectUri>YourRedirectUri</RedirectUri>
<ResourceId>YourResourceId</ResourceId>
</AADApp>
Het lokale manifest van de workload configureren
Notitie
Deze stap is alleen van toepassing in een scenario voor ontwikkelaarsmodus.
Nadat u uw toepassing hebt geconfigureerd, werkt u de volgende configuraties bij in het configuratiebestand .env.dev dat zich in de map Front-end bevindt:
"DEV_AAD_CONFIG_AUDIENCE": "", // The ID URI configured in your application for a developer scenario
"DEV_AAD_CONFIG_REDIRECT_URI": "http://localhost:60006/close", // Or the path you configured in index.ts
"DEV_AAD_CONFIG_APPID": "" // Your app ID
Gerelateerde inhoud
- Meer informatie over het werken met verificatie in workloads.