Główny serwis w magazynie danych Fabric

Dotyczy:✅ Warehouse w usłudze Microsoft Fabric

Główna tożsamość usługowa platformy Azure (SPN) to tożsamość zabezpieczeń używana przez aplikacje lub narzędzia automatyzacji do uzyskiwania dostępu do określonych zasobów platformy Azure. W przeciwieństwie do tożsamości użytkowników jednostki usługi to tożsamości nieinterakcyjne, oparte na aplikacjach, które mogą mieć przypisane dokładne uprawnienia, co czyni je idealnymi dla zautomatyzowanych procesów lub usług w tle. Korzystając z podmiotów usługi, można bezpiecznie łączyć się ze źródłami danych, jednocześnie minimalizując ryzyko wystąpienia błędów ludzkich i podatności związanych z tożsamościami. Aby dowiedzieć się więcej na temat aplikacji i głównych jednostek usług w programie Microsoft Entra ID, zobacz Application and service principal objects in Microsoft Entra ID.

Warunki wstępne

1. Utwórz tożsamość usługi, przypisz role i utwórz tajny klucz przy użyciu usługi Azure.

2. Upewnij się, że administrator dzierżawy może włączyć jednostki usługi mogą używać interfejsów API sieci szkieletowej w portalu administracyjnym sieci szkieletowej.

3. Upewnij się, że użytkownik z rolą administratora obszaru roboczego może udzielić dostępu SPN za pośrednictwem Zarządzania dostępem w obszarze roboczym.

   

Twórz magazyny i uzyskuj do nich dostęp za pośrednictwem interfejsów API REST, korzystając z SPN

Użytkownicy z rolą obszaru roboczego administratora, członka lub współautora mogą używać głów usługowych do uwierzytelniania w celu tworzenia, aktualizowania, odczytywania i usuwania elementów Warehouse za pośrednictwem sieci szkieletowej Fabric REST APIs. Dzięki temu można zautomatyzować powtarzające się zadania, takie jak aprowizowanie magazynów lub zarządzanie nimi bez polegania na poświadczeniach użytkownika.

Jeśli do utworzenia magazynu jest używane delegowane konto lub stała tożsamość (tożsamość właściciela), magazyn użyje tego poświadczenia podczas uzyskiwania dostępu do usługi OneLake. Spowoduje to problem, gdy właściciel opuści organizację, ponieważ magazyn przestanie działać. Aby tego uniknąć, utwórz magazyny przy użyciu SPN.

Platforma wymaga od użytkownika zalogowania się co 30 dni, aby zapewnić prawidłowy token ze względów bezpieczeństwa. W przypadku magazynu danych właściciel musi zalogować się do usługi Fabric co 30 dni. Można to zautomatyzować używając SPN z interfejsem API List.

Magazyny utworzone przez nazwę SPN przy użyciu interfejsów API REST będą wyświetlane w widoku listy Obszar roboczy w portalu sieci szkieletowej z nazwą właściciela nazwą SPN. Na poniższej ilustracji znajduje się zrzut ekranu z obszaru roboczego w portalu Fabric, gdzie "Fabric Public API test app" to SPN, który utworzył hurtownię marketingową Contoso.

Łączenie z aplikacjami klienckimi za pomocą SPN

Możesz połączyć się z magazynami Fabric, używając kont usługowych w narzędziach takich jak SQL Server Management Studio (SSMS) w wersji 19 lub nowszej.

• Uwierzytelnianie: Microsoft Entra Service Principal
• nazwa użytkownika: identyfikator klienta SPN (utworzony przez Azure w sekcji Wymagania wstępne)
• hasło: wpis tajny (utworzony za pośrednictwem platformy Azure w sekcji Wymagania wstępne)

Uprawnienia płaszczyzny sterowania

SPN mogą uzyskać dostęp do magazynów, korzystając z ról przestrzeni roboczej za pośrednictwem funkcji zarządzania dostępem w przestrzeni roboczej. Ponadto magazyny mogą być współużytkowane z SPN za pośrednictwem portalu Fabric za pomocą uprawnienia elementu.

Uprawnienia płaszczyzny danych

Gdy magazyny uzyskają uprawnienia płaszczyzny kontrolnej do jednostki usługi za pomocą ról obszaru roboczego lub uprawnień elementu, administratorzy mogą używać poleceń języka T-SQL, takich jak GRANT, do przypisywania określonych uprawnień płaszczyzny danych do jednostek usługi, aby dokładnie kontrolować, do których metadanych/danych i operacji jednostka usługi (SPN) ma dostęp. Zaleca się stosowanie zasady najmniejszych uprawnień.

Na przykład:

GRANT SELECT ON <table name> TO <service principal name>;

Po udzieleniu uprawnień SPN może łączyć się z narzędziami aplikacji klienckich, takimi jak SSMS, dzięki czemu deweloperzy mają bezpieczny dostęp do uruchamiania funkcji COPY INTO (z włączoną i bez włączonej zapory sieciowej), a także uruchamiać programowo zapytania T-SQL według harmonogramu przy użyciu potoków usługi Data Factory.

Monitor

Kiedy SPN uruchamia zapytania w magazynie danych, dostępne są różne narzędzia monitorujące, które zapewniają wgląd w użytkownika lub SPN, który uruchomił zapytanie. Możesz znaleźć użytkownika na potrzeby działania zapytań na następujące sposoby:

• dynamiczne widoki zarządzania (DMV): kolumna login_name w sys.dm_exec_sessions.
• Query Insights: kolumna login_name w "widoku" queryinsights.exec_requests_history.
• działanie zapytania: kolumna submitter w aktywności zapytania Fabric.
• aplikacja do pomiaru pojemności: użycie obliczeniowe dla operacji magazynu wykonywanych przez SPN jest wyświetlane jako identyfikator klienta w kolumnie Użytkownik w tabeli analizy operacji w tle.

Aby uzyskać więcej informacji, zobacz Monitor Fabric Data Warehouse.

Przejęcie API

Własność magazynów można zmienić z SPN na użytkownika i z użytkownika na SPN.

• Przejęcie z SPN lub od użytkownika do użytkownika: zobacz zmień własność magazynu Fabric.

• Przejęcie z SPN lub użytkownika do SPN: użyj wywołania POST na REST API.

  POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
  

Ograniczenia

Ograniczenia głównych usług w Microsoft Fabric Data Warehouse:

• Domyślne modele semantyczne nie są obsługiwane w przypadku magazynów utworzonych przez spN i w związku z tym funkcje, takie jak wyświetlanie listy tabel w widoku zestawu danych, tworzenie raportu na podstawie domyślnego zestawu danych nie będzie działać.
• Zasada usługi dla punktów końcowych analizy SQL nie jest obecnie obsługiwana.
• Poświadczenia jednostki usługi lub uwierzytelnienia Entra ID nie są obecnie obsługiwane w przypadku plików błędów COPY INTO.
• Podmioty usługi nie są obsługiwane w przypadku interfejsów API GIT . Obsługa SPN istnieje tylko w przypadku interfejsów API potoku wdrażania .

Powiązana zawartość

• Elementy — tworzenie magazynu — interfejs API REST (warehouse)
• obsługa jednostki usługi w usłudze Data Factory