บริการหลักในคลังข้อมูล Fabric
นําไปใช้กับ:✅ Warehouse ใน Microsoft Fabric
บริการหลัก (SPN) ของ Azure คือข้อมูลประจําตัวด้านความปลอดภัยที่ใช้โดยแอปพลิเคชันหรือเครื่องมืออัตโนมัติเพื่อเข้าถึงทรัพยากร Azure เฉพาะ บริการหลักเป็นข้อมูลประจําตัวที่ไม่ใช่แบบโต้ตอบ และอิงตามแอปพลิเคชันที่สามารถกําหนดสิทธิ์ที่แม่นยํา ทําให้เหมาะสําหรับกระบวนการอัตโนมัติหรือบริการเบื้องหลัง ซึ่งไม่เหมือนกับข้อมูลประจําตัวผู้ใช้ คุณสามารถเชื่อมต่อกับแหล่งข้อมูลของคุณได้อย่างปลอดภัยในขณะที่ลดความเสี่ยงของข้อผิดพลาดของมนุษย์และช่องโหว่ตามข้อมูลประจําตัวได้โดยใช้บริการหลัก เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับบริการหลัก ให้ดูที่ แอปพลิเคชันและออบเจ็กต์บริการหลักใน Microsoft Entra ID
ข้อกําหนดเบื้องต้น
ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบผู้เช่าสามารถเปิดใช้งาน บริการหลักสามารถใช้ Fabric API ในพอร์ทัล Fabric Admin ได้
ตรวจสอบให้แน่ใจว่าผู้ใช้ที่มีบทบาทพื้นที่ทํางาน
ของผู้ดูแลระบบ สามารถให้สิทธิ์การเข้าถึง SPN ผ่าน จัดการ การเข้าถึงในพื้นที่ทํางานได้
สร้างและเข้าถึงคลังสินค้าผ่าน REST API โดยใช้ SPN
ผู้ใช้ที่มีบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุน บทบาทพื้นที่ทํางาน สามารถใช้บริการหลักเพื่อรับรองความถูกต้องเพื่อสร้าง อัปเดต อ่าน และลบรายการ Warehouse ผ่านทาง Fabric REST APIได้ ซึ่งช่วยให้คุณสามารถทํางานซ้ํา ๆ ได้โดยอัตโนมัติ เช่น การเตรียมใช้งานหรือการจัดการคลังสินค้าโดยไม่ต้องใช้ข้อมูลประจําตัวผู้ใช้
ถ้าคุณใช้บัญชีที่ได้รับมอบสิทธิ์หรือข้อมูลประจําตัวคงที่ (ข้อมูลประจําตัวของเจ้าของ) เพื่อสร้างคลังสินค้า คลังสินค้าจะใช้ข้อมูลประจําตัวนั้นในขณะเข้าถึง OneLake สิ่งนี้สร้างปัญหาเมื่อเจ้าของออกจากองค์กรเนื่องจากคลังสินค้าจะหยุดทํางาน เพื่อหลีกเลี่ยงปัญหานี้ ให้สร้างคลังสินค้าโดยใช้ SPN
Fabric ยังต้องให้ผู้ใช้ลงชื่อเข้าใช้ทุก 30 วันเพื่อให้แน่ใจว่ามีโทเค็นที่ถูกต้องเพื่อเหตุผลด้านความปลอดภัย สําหรับคลังข้อมูล เจ้าของจําเป็นต้องลงชื่อเข้าใช้ Fabric ทุกๆ 30 วัน ซึ่งสามารถทําให้เป็นอัตโนมัติได้โดยใช้ SPN ที่มี List API
คลังสินค้าที่สร้างขึ้นโดย SPN โดยใช้ REST API จะแสดงในมุมมองรายการ พื้นที่ทํางาน ในพอร์ทัล Fabric โดยใช้ชื่อ เจ้าของ
เชื่อมต่อกับแอปพลิเคชันไคลเอ็นต์โดยใช้ SPN
คุณสามารถเชื่อมต่อกับ Fabric Warehouse ได้โดยใช้บริการหลักพร้อมด้วยเครื่องมือ เช่น SQL Server Management Studio (SSMS) 19 หรือเวอร์ชันที่สูงกว่า
- รับรองความถูกต้อง
: บริการหลัก Microsoft Entra - ชื่อผู้ใช้: ID ไคลเอ็นต์ของ SPN (สร้างขึ้นผ่าน Azure ในส่วนข้อกําหนดเบื้องต้น)
- รหัสผ่าน : ข้อมูลลับ (สร้างขึ้นผ่าน Azure ในส่วนข้อกําหนดเบื้องต้น)
ควบคุมการอนุญาตของเครื่องบิน
SPN สามารถให้สิทธิ์การเข้าถึงคลังสินค้าโดยใช้บทบาทพื้นที่ทํางาน ผ่าน จัดการ การเข้าถึงในพื้นที่ทํางาน นอกจากนี้คลังสินค้าสามารถแชร์กับ SPN ผ่านพอร์ทัล Fabric ผ่าน การอนุญาตรายการ
สิทธิ์ของแผนข้อมูล
เมื่อคลังสินค้าได้รับสิทธิ์ในการวางแผนการควบคุมสําหรับ SPN ผ่านบทบาทพื้นที่ทํางานหรือสิทธิ์รายการ ผู้ดูแลระบบสามารถใช้คําสั่ง T-SQL เช่น GRANT
เพื่อกําหนดสิทธิ์แผนข้อมูล เฉพาะ บริการหลัก เพื่อควบคุมอย่างแม่นยําว่าเมตาดาต้า/ข้อมูลและการดําเนินการใดที่ SPN มีสิทธิ์เข้าถึง แนะนําให้ปฏิบัติตามหลักการของสิทธิ์พิเศษน้อยที่สุด
เช่น:
GRANT SELECT ON <table name> TO <service principal name>;
เมื่อได้รับอนุญาตแล้ว SPN สามารถเชื่อมต่อกับเครื่องมือแอปพลิเคชันไคลเอ็นต์เช่น SSMS ดังนั้นจึงให้การเข้าถึงที่ปลอดภัยสําหรับนักพัฒนาเพื่อเรียกใช้ COPY INTO (โดยมีและไม่มีการจัดเก็บที่เปิดใช้งานไฟร์วอลล์) และยังเรียกใช้คิวรี T-SQL ทางโปรแกรมตามกําหนดการด้วย Data Factory pipelines
จอภาพ
เมื่อ SPN เรียกใช้คิวรีในคลังสินค้า มีเครื่องมือการตรวจสอบต่าง ๆ ที่สามารถมองเห็นผู้ใช้หรือ SPN ที่เรียกใช้คิวรีได้ คุณสามารถค้นหาผู้ใช้สําหรับกิจกรรมการคิวรีด้วยวิธีต่อไปนี้:
-
มุมมองการจัดการแบบไดนามิก (DMV) : คอลัมน์
login_name
ในsys.dm_exec_sessions
-
ข้อมูลเชิงลึกของคิวรี : คอลัมน์
login_name
ในมุมมองqueryinsights.exec_requests_history
-
กิจกรรมคิวรี : คอลัมน์
submitter
ในกิจกรรมคิวรี Fabric แอปเมตริกความจุ : คํานวณการใช้งานสําหรับการดําเนินการของคลังสินค้าที่ดําเนินการโดย SPN ปรากฏเป็น ID ไคลเอ็นต์ ภายใต้คอลัมน์ ผู้ใช้ในตารางการดูรายละเอียดแบบเจาะลึกการดําเนินการแบบเบื้องหลัง
สําหรับข้อมูลเพิ่มเติม โปรดดู ตรวจสอบคลังข้อมูล Fabric
API การครอบครอง
สามารถเปลี่ยนความเป็นเจ้าของคลังสินค้าจาก SPN เป็นผู้ใช้ และจากผู้ใช้เป็น SPN ได้
เข้าครอบครองจาก SPN หรือผู้ใช้ไปยังผู้ใช้: ดู เปลี่ยนความเป็นเจ้าของ Fabric Warehouse
เข้าควบคุมจาก SPN หรือผู้ใช้ไปยัง SPN: ใช้การเรียก POST บน REST API
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
ขีด จำกัด
ข้อจํากัดของบริการหลักด้วยคลังข้อมูล Microsoft Fabric:
- แบบจําลองความหมายเริ่มต้นไม่ได้รับการสนับสนุนสําหรับคลังสินค้าที่สร้างขึ้นของ SPN และเป็นผลให้คุณลักษณะเช่นการแสดงรายการตารางในมุมมองชุดข้อมูล การสร้างรายงานจากชุดข้อมูลเริ่มต้นจะไม่ทํางาน
- บริการหลักสําหรับจุดสิ้นสุดการวิเคราะห์ SQL ยังไม่ได้รับการสนับสนุนในขณะนี้
- โครงร่างสําคัญของบริการหรือข้อมูลประจําตัวของ Id Entra ในขณะนี้ยังไม่รองรับสําหรับการคัดลอกลงในไฟล์ข้อผิดพลาด
- โครงร่างสําคัญของบริการไม่ได้รับการสนับสนุนสําหรับ GIT API มีการสนับสนุน SPN เฉพาะสําหรับ APIs ไปป์ไลน์การปรับใช้เท่านั้น