Обзор проверки подлинности
Рабочие нагрузки Fabric используют интеграцию с идентификатором Microsoft Entra для проверки подлинности и авторизации.
Все взаимодействия между рабочими нагрузками и другими компонентами Fabric или Azure должны сопровождаться надлежащей поддержкой проверки подлинности для полученных или отправленных запросов. Маркеры, отправляемые, должны быть созданы должным образом, а полученные маркеры должны быть проверены должным образом.
Рекомендуется ознакомиться с платформа удостоверений Майкрософт перед началом работы с рабочими нагрузками Fabric. Рекомендуется также пройти платформа удостоверений Майкрософт рекомендации и рекомендации.
Потоки
Внешний интерфейс рабочей нагрузки на серверную часть рабочей нагрузки
Примером такого взаимодействия является любой API плоскости данных. Это взаимодействие выполняется с маркером темы (делегированным маркером).
Дополнительные сведения о том, как получить маркер в рабочей нагрузке FE, ознакомьтесь с API проверки подлинности. Кроме того, убедитесь, что вы проходите проверку маркеров в обзоре проверки подлинности и авторизации серверной части.
Серверная часть Fabric до серверной части рабочей нагрузки
Примером такого взаимодействия является создание элемента рабочей нагрузки. Это взаимодействие выполняется с маркером SubjectAndApp, который является специальным маркером, который включает маркер приложения и объединенный маркер субъекта (см . общие сведения о проверке подлинности и авторизации серверной части, чтобы узнать больше об этом маркере).
Для работы этого взаимодействия пользователь, использующий это взаимодействие, должен дать согласие приложению Microsoft Entra.
Из серверной части рабочей нагрузки в серверную часть Fabric
Это делается с маркером SubjectAndApp для API управления рабочей нагрузкой (например, ResolveItemPermissions) или маркером темы (для других API Fabric).
От серверной части рабочей нагрузки до внешних служб
Примером такого взаимодействия является запись в файл Lakehouse. Это делается с маркером субъекта или маркером приложения в зависимости от API.
Если вы планируете взаимодействовать со службами с помощью маркера темы, убедитесь, что вы знакомы с потоками от имени.
Ознакомьтесь с руководством по проверке подлинности, чтобы настроить среду для работы с проверкой подлинности.
API JavaScript для проверки подлинности
Интерфейс fabric предлагает API JavaScript для рабочих нагрузок Fabric для получения маркера для приложения в идентификаторе Microsoft Entra. Прежде чем работать с API JavaScript для проверки подлинности, ознакомьтесь с документацией по API JavaScript для проверки подлинности.
Соглашается
Чтобы понять, почему необходимы согласия, просмотрите согласие пользователя и администратора в идентификаторе Microsoft Entra ID.
Как работают разрешения в рабочих нагрузках Fabric?
Чтобы предоставить согласие для конкретного приложения, Fabric FE создает экземпляр MSAL , настроенный с идентификатором приложения рабочей нагрузки, и запрашивает маркер для указанной области (дополнительные данныеScopesToConsent — см. раздел AcquireAccessTokenParams).
При запросе маркера с приложением рабочей нагрузки для определенной области идентификатор Microsoft Entra отображает всплывающее согласие в случае отсутствия, а затем перенаправляет всплывающее окно в URI перенаправления, настроенный в приложении.
Как правило, URI перенаправления находится в том же домене, что и страница, запрашивающая маркер, чтобы страница может получить доступ к всплывающему оккупу и закрыть его.
В нашем случае это не в том же домене, так как Структура запрашивает маркер, и URI перенаправления рабочей нагрузки не находится в домене Fabric, поэтому при открытии диалогового окна согласия его необходимо закрыть вручную после перенаправления . Мы не используем код, возвращенный в перенаправлении, и поэтому мы просто автоклозируем его (когда идентификатор Microsoft Entra ID перенаправляет всплывающее окно в URI перенаправления, он закрывается).
Код или конфигурация URI перенаправления можно просмотреть в index.ts файла. Этот файл можно найти в примере Microsoft-Fabric-workload-development-в папке front-end.
Ниже приведен пример всплывающего окна согласия для приложения "мое приложение рабочей нагрузки" и его зависимостей (хранилища и Power BI), настроенных при настройке проверки подлинности:
