Szolgáltatási Főnök a Fabric Data Warehouse-ban
A következőkre vonatkozik:✅ Warehouse a Microsoft Fabricben
Az Azure-szolgáltatásnév (SPN) egy olyan biztonsági identitás, amelyet az alkalmazások vagy az automatizálási eszközök használnak adott Azure-erőforrások eléréséhez. A felhasználói identitásoktól eltérően a szolgáltatásnevek nem interaktív, alkalmazásalapú identitások, amelyek pontos engedélyekhez rendelhetők, így tökéletesek automatizált folyamatokhoz vagy háttérszolgáltatásokhoz. A szolgáltatásnevek használatával biztonságosan csatlakozhat az adatforrásokhoz, miközben minimalizálhatja az emberi hibák és az identitásalapú biztonsági rések kockázatát. További információért a szolgáltatásfőnökökről lásd: Microsoft Entra ID alkalmazás- és szolgáltatásfőnök-objektumai.
Előfeltételek
Szolgáltatásnév létrehozása, szerepkörök hozzárendelése és titkos kód létrehozása az Azurehasználatával.
Győződjön meg arról, hogy a bérlői rendszergazda engedélyezheti szolgáltatásnevek használhatják a Fabric API-kat a Háló felügyeleti portálján.
Győződjön meg arról, hogy a rendszergazdai
munkaterületi szerepkörrel rendelkező felhasználók biztosíthatnak hozzáférést az egyszerű szolgáltatásnévhez a munkaterület hozzáférésikeresztül. 
Raktárak létrehozása és elérése REST API-k használatával SPN használatával
Felhasználók, akik adminisztrátori, tagi vagy közreműködői munkaterületi szerepkörrel rendelkeznek, szolgáltatási fiókok használatával hozhatnak létre, frissíthetnek, olvashatnak és törölhetnek raktárelemeket a Fabric REST APIsegítségével. Ez lehetővé teszi, hogy felhasználói hitelesítő adatok használata nélkül automatizálja az ismétlődő feladatokat, például a raktárak kiépítését vagy kezelését.
Ha delegált fiókot vagy rögzített identitást (tulajdonosi identitást) használ a raktár létrehozásához, a raktár ezt a hitelesítő adatot fogja használni a OneLake elérésekor. Ez problémát okoz, amikor a tulajdonos elhagyja a szervezetet, mert a raktár leáll. Ennek elkerülése érdekében hozzon létre raktárakat spN használatával.
A Fabric azt is megköveteli, hogy a felhasználó 30 naponta jelentkezzen be, hogy biztonsági okokból érvényes jogkivonatot biztosítson. Adattárház esetén a tulajdonosnak 30 naponta be kell jelentkeznie a Hálóba. Ez SPN segítségével automatizálható a List API-val.
A REST API-k használatával egy SPN által létrehozott raktárak a Fabric portál Munkaterületlistájának nézetében jelennek meg, a Tulajdonos neveként az SPN szerepel. Az alábbi képen a Fabric portál munkaterületének képernyőképe látható. A "Fabric Public API tesztalkalmazás" az a szolgáltatásazonosító, amely a Contoso Marketing Warehouse létrehozásáért felelős.
Csatlakozás ügyfélalkalmazásokhoz SPN használatával
A Fabric-raktárakhoz szolgáltatási fiókok használatával csatlakozhat olyan eszközökkel, mint az SQL Server Management Studio (SSMS) 19 vagy annál újabb verziók.
- Hitelesítési: Microsoft Entra szolgáltatásnév
- felhasználónév: Az SPN ügyfélazonosítója (az Azure-on keresztül jött létre az Előfeltétel szakaszban)
- Jelszó: Titkos kód (az Előfeltétel szakaszban az Azure-on keresztül jön létre)
Vezérlősík engedélyei
Az SPN-k munkaterületi szerepkörökkel a Hozzáférés kezelése a munkaterületen keresztül kaphatnak hozzáférést a raktárakhoz. Emellett a raktárak megoszthatók egy SPN-nel a Fabric portálon keresztül az Elemengedélyeksegítségével.
Adatsík engedélyei
Ha a raktárak a munkaterületi szerepkörök vagy elemengedélyek révén vezérlősík-engedélyeket kapnak egy szolgáltatásnévhez (SPN), az adminisztrátorok T-SQL-parancsokkal, például GRANT, rendelhetnek hozzá adott adatsík-engedélyeket a szolgáltatásnevekhez (SPN), hogy pontosan szabályozni tudják, hogy az SPN mely metaadatokhoz/adatokhoz és műveletekhez férhet hozzá. Ajánlott követni a minimális jogosultság elvét.
Például:
GRANT SELECT ON <table name> TO <service principal name>;
Az engedélyek megadása után az SPN-ek csatlakozhatnak az ügyfélalkalmazási eszközökhöz, például az SSMS-hez, ezáltal biztonságos hozzáférést biztosítva a fejlesztőknek a COPY INTO futtatásához (tűzfallal engedélyezett vagy nem engedélyezett tárolóval), valamint bármely T-SQL-lekérdezés programozott módon, ütemezetten való futtatásához a Data Factory-folyamatok segítségével.
Monitor
Amikor egy SPN lekérdezéseket futtat az adatbázisban, különböző monitorozó eszközök adnak lehetőséget annak láthatóságához, hogy melyik felhasználó vagy SPN futtatta a lekérdezést. A lekérdezési tevékenységhez tartozó felhasználót a következő módokon találja meg:
-
dinamikus felügyeleti nézetek (DMV-k):
login_nameoszlop a(z)sys.dm_exec_sessions-ban/ből. -
Query Insights:
login_nameoszlopqueryinsights.exec_requests_historynézetben. -
Lekérdezési tevékenység:
submitteroszlop a Fabric lekérdezési tevékenységben. - Kapacitásmetrika alkalmazás: Az SPN által végrehajtott raktári műveletek feldolgozási használata ügyfélazonosítóként jelenik meg a Felhasználó oszlopban a Háttérműveletek részletezési táblájában.
További információért lásd: A Háló-adattárház monitorozása.
Felvásárlási API
A raktárak tulajdonjoga Szolgáltatásnév Azonosítóról felhasználóra, vagy felhasználóról Szolgáltatásnév Azonosítóra módosítható.
Átvétel SPN-ről vagy felhasználóról felhasználóra: Lásd Fabric Warehouse tulajdonjogának módosítása.
Átvétel spn-ről vagy felhasználóról SPN-be: POST-hívás használata a REST API-n.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Korlátozások
A Microsoft Fabric Data Warehouse szolgáltatási főszemélyeinek korlátozásai:
- Az egyszerű szolgáltatásnévvel létrehozott raktárak esetében nem támogatottak az alapértelmezett szemantikai modellek, ezért az olyan funkciók, mint például a táblák adathalmaz nézetben való listázása, az alapértelmezett adathalmazból származó jelentés létrehozása nem fognak működni.
- Az SQL-elemzési végpontok szolgáltatási főképviselője jelenleg nem támogatott.
- A szolgáltatásfő vagy az Entra ID hitelesítő adatai jelenleg nem támogatottak a COPY INTO művelet hibafájljai esetében.
- Szolgáltatási princípiumok nem támogatottak a GIT API-khoz. Az SPN támogatás csak a telepítési csővezeték API-khozáll rendelkezésre.