แชร์ผ่าน


บริการหลักในคลังข้อมูล Fabric

นําไปใช้กับ:✅ Warehouse ใน Microsoft Fabric

บริการหลัก (SPN) ของ Azure คือข้อมูลประจําตัวด้านความปลอดภัยที่ใช้โดยแอปพลิเคชันหรือเครื่องมืออัตโนมัติเพื่อเข้าถึงทรัพยากร Azure เฉพาะ บริการหลักเป็นข้อมูลประจําตัวที่ไม่ใช่แบบโต้ตอบ และอิงตามแอปพลิเคชันที่สามารถกําหนดสิทธิ์ที่แม่นยํา ทําให้เหมาะสําหรับกระบวนการอัตโนมัติหรือบริการเบื้องหลัง ซึ่งไม่เหมือนกับข้อมูลประจําตัวผู้ใช้ คุณสามารถเชื่อมต่อกับแหล่งข้อมูลของคุณได้อย่างปลอดภัยในขณะที่ลดความเสี่ยงของข้อผิดพลาดของมนุษย์และช่องโหว่ตามข้อมูลประจําตัวได้โดยใช้บริการหลัก เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับบริการหลัก ให้ดูที่ แอปพลิเคชันและออบเจ็กต์บริการหลักใน Microsoft Entra ID

ข้อกําหนดเบื้องต้น

  1. สร้างบริการหลัก กําหนดบทบาท และสร้างความลับโดยใช้ Azure

  2. ตรวจสอบให้แน่ใจว่าผู้ดูแลระบบผู้เช่าสามารถเปิดใช้งาน บริการหลักสามารถใช้ Fabric API ในพอร์ทัล Fabric Admin ได้

  3. ตรวจสอบให้แน่ใจว่าผู้ใช้ที่มีบทบาทพื้นที่ทํางาน ของผู้ดูแลระบบ สามารถให้สิทธิ์การเข้าถึง SPN ผ่าน จัดการ การเข้าถึงในพื้นที่ทํางานได้

    สกรีนช็อตจากพอร์ทัล Fabric ของหน้าต่างจัดการการเข้าถึงป็อปอัพ

สร้างและเข้าถึงคลังสินค้าผ่าน REST API โดยใช้ SPN

ผู้ใช้ที่มีบทบาทผู้ดูแลระบบ สมาชิก หรือผู้สนับสนุน บทบาทพื้นที่ทํางาน สามารถใช้บริการหลักเพื่อรับรองความถูกต้องเพื่อสร้าง อัปเดต อ่าน และลบรายการ Warehouse ผ่านทาง Fabric REST APIได้ ซึ่งช่วยให้คุณสามารถทํางานซ้ํา ๆ ได้โดยอัตโนมัติ เช่น การเตรียมใช้งานหรือการจัดการคลังสินค้าโดยไม่ต้องใช้ข้อมูลประจําตัวผู้ใช้

ถ้าคุณใช้บัญชีที่ได้รับมอบสิทธิ์หรือข้อมูลประจําตัวคงที่ (ข้อมูลประจําตัวของเจ้าของ) เพื่อสร้างคลังสินค้า คลังสินค้าจะใช้ข้อมูลประจําตัวนั้นในขณะเข้าถึง OneLake สิ่งนี้สร้างปัญหาเมื่อเจ้าของออกจากองค์กรเนื่องจากคลังสินค้าจะหยุดทํางาน เพื่อหลีกเลี่ยงปัญหานี้ ให้สร้างคลังสินค้าโดยใช้ SPN

Fabric ยังต้องให้ผู้ใช้ลงชื่อเข้าใช้ทุก 30 วันเพื่อให้แน่ใจว่ามีโทเค็นที่ถูกต้องเพื่อเหตุผลด้านความปลอดภัย สําหรับคลังข้อมูล เจ้าของจําเป็นต้องลงชื่อเข้าใช้ Fabric ทุกๆ 30 วัน ซึ่งสามารถทําให้เป็นอัตโนมัติได้โดยใช้ SPN ที่มี List API

สกรีนช็อตของการเรียกใช้ Fabric API POST โดยใช้ SPN

คลังสินค้าที่สร้างขึ้นโดย SPN โดยใช้ REST API จะแสดงในมุมมองรายการ พื้นที่ทํางาน ในพอร์ทัล Fabric โดยใช้ชื่อ เจ้าของ เป็น SPN ในรูปต่อไปนี้ สกรีนช็อตจากพื้นที่ทํางานในพอร์ทัล Fabric "Fabric Public API test app" คือ SPN ที่สร้าง Contoso Marketing Warehouse

สกรีนช็อต จากพอร์ทัล Fabric ของรายการรายการพื้นที่ทํางาน คลังสินค้าจะแสดงขึ้น เจ้าของไม่ใช่บัญชีส่วนบุคคล แต่เป็น SPN

เชื่อมต่อกับแอปพลิเคชันไคลเอ็นต์โดยใช้ SPN

คุณสามารถเชื่อมต่อกับ Fabric Warehouse ได้โดยใช้บริการหลักพร้อมด้วยเครื่องมือ เช่น SQL Server Management Studio (SSMS) 19 หรือเวอร์ชันที่สูงกว่า

  • รับรองความถูกต้อง : บริการหลัก Microsoft Entra
  • ชื่อผู้ใช้: ID ไคลเอ็นต์ของ SPN (สร้างขึ้นผ่าน Azure ในส่วนข้อกําหนดเบื้องต้น)
  • รหัสผ่าน : ข้อมูลลับ (สร้างขึ้นผ่าน Azure ในส่วนข้อกําหนดเบื้องต้น)

สกรีนช็อตของการลงชื่อเข้าใช้ Fabric ด้วย SPN ใน SQL Server Management Studio (SSMS)

ควบคุมการอนุญาตของเครื่องบิน

SPN สามารถให้สิทธิ์การเข้าถึงคลังสินค้าโดยใช้บทบาทพื้นที่ทํางาน ผ่าน จัดการ การเข้าถึงในพื้นที่ทํางาน นอกจากนี้คลังสินค้าสามารถแชร์กับ SPN ผ่านพอร์ทัล Fabric ผ่าน การอนุญาตรายการ

สิทธิ์ของแผนข้อมูล

เมื่อคลังสินค้าได้รับสิทธิ์ในการวางแผนการควบคุมสําหรับ SPN ผ่านบทบาทพื้นที่ทํางานหรือสิทธิ์รายการ ผู้ดูแลระบบสามารถใช้คําสั่ง T-SQL เช่น GRANT เพื่อกําหนดสิทธิ์แผนข้อมูล เฉพาะ บริการหลัก เพื่อควบคุมอย่างแม่นยําว่าเมตาดาต้า/ข้อมูลและการดําเนินการใดที่ SPN มีสิทธิ์เข้าถึง แนะนําให้ปฏิบัติตามหลักการของสิทธิ์พิเศษน้อยที่สุด

เช่น:

GRANT SELECT ON <table name> TO <service principal name>;

เมื่อได้รับอนุญาตแล้ว SPN สามารถเชื่อมต่อกับเครื่องมือแอปพลิเคชันไคลเอ็นต์เช่น SSMS ดังนั้นจึงให้การเข้าถึงที่ปลอดภัยสําหรับนักพัฒนาเพื่อเรียกใช้ COPY INTO (โดยมีและไม่มีการจัดเก็บที่เปิดใช้งานไฟร์วอลล์) และยังเรียกใช้คิวรี T-SQL ทางโปรแกรมตามกําหนดการด้วย Data Factory pipelines

สกรีนช็อตของคิวรีและผลลัพธ์ใน SQL Server Management Studio (SSMS) ซึ่งผู้ใช้ได้เข้าถึงวัตถุ Azure Storage โดยใช้ SPN

จอภาพ

เมื่อ SPN เรียกใช้คิวรีในคลังสินค้า มีเครื่องมือการตรวจสอบต่าง ๆ ที่สามารถมองเห็นผู้ใช้หรือ SPN ที่เรียกใช้คิวรีได้ คุณสามารถค้นหาผู้ใช้สําหรับกิจกรรมการคิวรีด้วยวิธีต่อไปนี้:

  • มุมมองการจัดการแบบไดนามิก (DMV) : คอลัมน์ login_name ใน sys.dm_exec_sessions
  • ข้อมูลเชิงลึกของคิวรี : คอลัมน์ login_name ในมุมมอง queryinsights.exec_requests_history
  • กิจกรรมคิวรี : คอลัมน์ submitter ในกิจกรรมคิวรี Fabric
  • แอปเมตริกความจุ: คํานวณการใช้งานสําหรับการดําเนินการของคลังสินค้าที่ดําเนินการโดย SPN ปรากฏเป็น ID ไคลเอ็นต์ ภายใต้คอลัมน์ ผู้ใช้ ในตารางการดูรายละเอียดแบบเจาะลึกการดําเนินการแบบเบื้องหลัง

สําหรับข้อมูลเพิ่มเติม โปรดดู ตรวจสอบคลังข้อมูล Fabric

API การครอบครอง

สามารถเปลี่ยนความเป็นเจ้าของคลังสินค้าจาก SPN เป็นผู้ใช้ และจากผู้ใช้เป็น SPN ได้

  • เข้าครอบครองจาก SPN หรือผู้ใช้ไปยังผู้ใช้: ดู เปลี่ยนความเป็นเจ้าของ Fabric Warehouse

  • เข้าควบคุมจาก SPN หรือผู้ใช้ไปยัง SPN: ใช้การเรียก POST บน REST API

    POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
    

ขีด จำกัด

ข้อจํากัดของบริการหลักด้วยคลังข้อมูล Microsoft Fabric:

  • แบบจําลองความหมายเริ่มต้นไม่ได้รับการสนับสนุนสําหรับคลังสินค้าที่สร้างขึ้นของ SPN และเป็นผลให้คุณลักษณะเช่นการแสดงรายการตารางในมุมมองชุดข้อมูล การสร้างรายงานจากชุดข้อมูลเริ่มต้นจะไม่ทํางาน
  • บริการหลักสําหรับจุดสิ้นสุดการวิเคราะห์ SQL ยังไม่ได้รับการสนับสนุนในขณะนี้
  • โครงร่างสําคัญของบริการหรือข้อมูลประจําตัวของ Id Entra ในขณะนี้ยังไม่รองรับสําหรับการคัดลอกลงในไฟล์ข้อผิดพลาด
  • โครงร่างสําคัญของบริการไม่ได้รับการสนับสนุนสําหรับ GIT API มีการสนับสนุน SPN เฉพาะสําหรับ APIs ไปป์ไลน์การปรับใช้เท่านั้น