Споделяне чрез

Използване на управлявани самоличности за Azure с вашето хранилище за езеро данни в Azure

  • Статия

Azure Data Lake Storage Предоставя многопластов модел на сигурност. Този модел ви позволява да защитите и контролирате нивото на достъп до вашите акаунти за съхранение, което вашите приложения и корпоративни среди изискват, въз основа на типа и подмножеството на използваните мрежи или ресурси. Когато мрежовите правила са конфигурирани, само приложения, които изискват данни през посочения набор от мрежи или чрез посочения набор от ресурси на Azure, имат достъп до акаунт за съхранение. Можете да ограничите достъпа до вашия акаунт за съхранение до заявки, произхождащи от определени IP адреси, IP диапазони, подмрежи във виртуална мрежа на Azure (VNet) или екземпляри на ресурси на някои услуги на Azure.

Управляваните самоличности за Azure, известни преди като Managed Service Identity (MSI), помагат при управлението на тайни. Microsoft Dataverse клиентите, използващи възможностите на Azure, създават управлявана самоличност (част от създаването на корпоративни правила), която може да се използва за една или повече Dataverse среди. Тази управлявана самоличност, която ще бъде осигурена във вашия клиент, след това се използва за Dataverse достъп до вашето езеро от данни на Azure.

С управляваните самоличности достъпът до вашия акаунт за съхранение е ограничен до заявки, произхождащи от средата, свързана Dataverse с вашия клиент. Когато Dataverse се свързва с хранилище от ваше име, то включва допълнителна контекстна информация, за да докаже, че заявката произхожда от защитена, надеждна среда. Това позволява на хранилището да предостави Dataverse достъп до вашия акаунт за съхранение. Управляваните самоличности се използват за подписване на контекстната информация, за да се установи доверие. Това добавя защита на ниво приложение в допълнение към защитата на мрежата и инфраструктурата, предоставена от Azure за връзки между услугите на Azure.

Преди да започнете

  • Azure CLI се изисква на вашата локална машина. Изтеглете и инсталирайте
  • Имате нужда от тези два модула на PowerShell. Ако нямате такива, отворете PowerShell и изпълнете следните команди:
    • Azure Az PowerShell module: Install-Module -Name Az
    • Azure Az.Resources PowerShell module: Install-Module -Name Az.Resources
    • Power Platform администраторски модул PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Отидете на този компресиран файл с папка в GitHub. След това изберете Изтегляне , за да го изтеглите. Извлечете файла с компресирана папка на компютър на място, където можете да изпълнявате команди на PowerShell. Всички файлове и папки, извлечени от компресирана папка, трябва да бъдат запазени на първоначалното им място.
  • Препоръчваме ви да създадете нов контейнер за съхранение в същата група ресурси на Azure, за да включите тази функция.

Разрешаване на корпоративни правила за избрания абонамент за Azure

Важно

Трябва да имате достъп до ролята на собственик на абонамент за Azure, за да изпълните тази задача. Получете своя ИД за абонамент за Azure от страницата за общ преглед за групата ресурси на Azure.

  1. Отворете Azure CLI с изпълни като администратор и влезте в абонамента си за Azure с помощта на командата: az login Повече информация: влизане с Azure CLI
  2. (По избор), ако имате няколко абонамента за Azure, не забравяйте да стартирате Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } , за да актуализирате абонамента си по подразбиране.
  3. Разгънете компресираната папка, която сте изтеглили като част от Преди да започнете за тази функция, на място, където можете да стартирате PowerShell.
  4. За да разрешите корпоративните правила за избрания абонамент за Azure, изпълнете скрипта PowerShell./SetupSubscriptionForPowerPlatform.ps1.
    • Предоставете ИД на абонамента за Azure.

Създаване на корпоративна политика

Важно

Трябва да имате достъп до ролята на собственик на група ресурси на Azure, за да изпълните тази задача. Получете вашия ИД на абонамент за Azure, местоположение и име на група ресурси от страницата за общ преглед за групата ресурси на Azure.

  1. Създайте корпоративните правила. Изпълнение на скрипт на PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Предоставете ИД на абонамента за Azure.
    • Посочете името на групата ресурси на Azure.
    • Посочете предпочитано име на корпоративна политика.
    • Посочете местоположението на групата ресурси на Azure.

  2. Запишете копието на ResourceId след създаването на правилата.

Бележка

По-долу са валидните входни данни за местоположение , поддържани за създаване на правила. Изберете местоположението, което е най-подходящо за вас.

Местоположения, налични за корпоративни правила

САЩ, EUAP

САЩ

Южна Африка

Обединеното кралство

Австралия

Южна Корея

Япония

Индия

Франция

Европа

Азия

Норвегия

Германия

Швейцария

Канада

Бразилия

UAE

Сингапур

Предоставяне на достъп на читателя до корпоративните правила чрез Azure

Администраторите и Power Platform администраторите на Dynamics 365 могат да имат достъп до Power Platform центъра за администриране, за да присвояват среди към корпоративните правила. За достъп до корпоративните правила се изисква членство в администратор на хранилището на Azure Key, за да се предостави ролята на читател на Dynamics 365 или Power Platform администратор. След като ролята на читател бъде предоставена, Dynamics 365 или Power Platform администраторите ще видят корпоративните правила в центъра за Power Platform администриране.

Само Dynamics 365 и Power Platform администраторите, на които е предоставена ролята на читател към корпоративните правила, могат да "добавят среда" към правилата. Други администратори на Dynamics 365 и PowerPlatform може да могат да преглеждат корпоративните правила, но ще получат грешка, когато се опитат да добавят среда.

Важно

Трябва да имате - Microsoft.Authorization/roleAssignments/write разрешения, като например администратор на потребителски достъп или собственик , за да изпълните тази задача.

  1. влезте в портала наAzure.
  2. Получете ObjectID Power Platform на потребителя на администратор на Dynamics 365.
    1. Отидете в областта Потребители .
    2. Отворете потребителя на Dynamics 365 или Power Platform администратор.
    3. Под страницата за общ преглед за потребителя копирайте ObjectID.
  3. Получете ИД на корпоративните правила:
    1. Отидете в Azure Resource Graph Explorer.
    2. Изпълнете тази заявка: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Изпълнение на заявка от Azure Resource Graph Explorer
    3. Превъртете надясно на страницата с резултати и изберете връзката Вижте подробностите .
    4. На страницата Подробности копирайте ИД.
  4. Отворете Azure CLI и изпълнете следната команда, като замените <objId> с ObjectID на потребителя и <EP Resource Id> с ИД на корпоративните правила.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Свързване на корпоративната политика със Dataverse средата

Важно

Трябва да имате Power Platform роля на администратор или администратор на Dynamics 365 , за да изпълните тази задача. Трябва да имате ролята на читател за корпоративните правила, за да изпълните тази задача.

  1. Получете идентификатора на Dataverse средата.
    1. Влезте в центъра Power Platform за администриране.
    2. Изберете Среди и след това отворете средата.
    3. В секцията Подробности копирайте ИД на средата.
    4. За да се свържете със средата Dataverse , изпълнете този скрипт на PowerShell: ./NewIdentity.ps1
    5. Посочете идентификатора на Dataverse средата.
    6. Предоставете ResourceId.
      StatusCode = 202 показва, че връзката е създадена успешно.
  2. Влезте в центъра Power Platform за администриране.
  3. Изберете Среди и след това отворете средата, която сте посочили по-рано.
  4. В областта Последни операции изберете Пълна хронология , за да потвърдите връзката на новата самоличност.

Конфигуриране на мрежов достъп до Azure Data Lake Storage Gen2

Важно

Трябва да имате Azure Data Lake Storage роля на собственик на Gen2 , за да изпълните тази задача.

  1. Отидете на портала на Azure.

  2. Отворете акаунта за съхранение, свързан с вашия Azure Synapse Link for Dataverse профил.

  3. В левия навигационен екран изберете Работа в мрежа. След това в раздела Защитни стени и виртуални мрежи изберете следните настройки:

    1. Активира се от избрани виртуални мрежи и IP адреси.
    2. Под Екземпляри на ресурси изберетеРазрешаване на услугите на Azure в списъка с надеждни услуги за достъп до този акаунт за съхранение

  4. Изберете Запиши.

Конфигуриране на мрежов достъп до работното пространство Azure Synapse

Важно

Трябва да имате роля на администратор на Azure Synapse, за да изпълните тази задача.

  1. Отидете на портала на Azure.
  2. Отворете работното пространство, свързано Azure Synapse с вашия Azure Synapse Link for Dataverse профил.
  3. В левия навигационен екран изберете Работа в мрежа.
  4. Изберете Разрешаване на услугите и ресурсите на Azure за достъп до това работно пространство.
  5. Ако има правила за IP защитна стена, създадени за всички IP диапазони, изтрийте ги, за да ограничите достъпа до обществената мрежа. Azure Synapse Настройки на мрежата на работното пространство
  6. Добавете ново правило за IP защитна стена въз основа на IP адреса на клиента.
  7. Изберете Запазване , когато сте готови. Повече информация: Azure Synapse Analytics Правила за IP защитна стена

Важно

Dataverse: Трябва да имате Dataverse права за достъп на системен администратор . Освен това таблиците, чрез Azure Synapse Link които искате да експортирате, трябва да имат активирано свойство Проследяване на промените . Повече информация: Разширени опции

Azure Data Lake Storage Gen2: Трябва да имате Azure Data Lake Storage акаунт от 2-ро поколение и достъп до ролята на собственик и сътрудник на BLOB на хранилището. Вашият акаунт за съхранение трябва да активира йерархично пространство от имена както за първоначална настройка, така и за делта синхронизиране. Разрешаване на достъп до ключа на акаунта за съхранение се изисква само за първоначалната настройка.

Работно пространство на Synapse: Трябва да имате работно пространство на Synapse и достъп до ролята на администратор на Synapse в Synapse Studio. Работното пространство на Synapse трябва да е в същия регион като вашия акаунт в Azure Data Lake Storage Gen2. Акаунтът за съхранение трябва да се добави като свързана услуга в Synapse Studio. За да създадете работно пространство на Synapse, отидете на Създаване на работно пространство на Synapse.

Когато създавате връзката, Azure Synapse Link for Dataverse получавате подробности за текущо свързаните корпоративни правила в средата, Dataverse след което кешира тайния URL адрес на клиента за самоличност, за да се свърже с Azure.

  1. Влезте и Power Apps изберете вашата среда.
  2. В левия навигационен екран изберете Azure Synapse Link и след това изберете + Нова връзка. Ако елементът не е в страничния панел, изберете ... Още и след това изберете желания елемент.
  3. Попълнете съответните полета, според предвидената настройка. Изберете Абонамент, Група ресурси и Акаунт за съхранение. За да се свържете Dataverse с работното пространство на Synapse, изберете опцията Свързване с вашето Azure Synapse работно пространство . За преобразуване на данни в Delta Lake изберете група Spark.
  4. Изберете Избор на корпоративни правила със самоличност на управлявана услуга и след това изберете Напред.
  5. Добавете таблиците, които искате да експортирате, и след това изберете Запиши.

Бележка

За да направите командата Използване на управлявана самоличност достъпна Power Apps, трябва да завършите горната настройка, за да свържете корпоративните правила към вашата Dataverse среда. Повече информация: Свързване на корпоративни правила към Dataverse среда

  1. Отидете на съществуващ профил на Synapse Link от Power Apps (make.powerapps.com).
  2. Изберете Използване на управлявана самоличност и след това потвърдете. Използване на командата за управлявана самоличност в Power Apps

Отстраняване на неизправности

Ако получите 403 грешки по време на създаването на връзката:

  • Управляваните самоличности отнемат допълнително време, за да предоставят преходно разрешение по време на първоначалното синхронизиране. Дайте му малко време и опитайте операцията отново по-късно.
  • Уверете се, че свързаното хранилище няма съществуващия Dataverse контейнер(dataverse-environmentName-organizationUniqueName) от същата среда.
  • Можете да идентифицирате свързаните корпоративни правила и policyArmId като изпълните скрипта ./GetIdentityEnterprisePolicyforEnvironment.ps1 на PowerShell с ИД на абонамент на Azure и името на групата ресурси.
  • Можете да прекратите връзката с корпоративните правила, като изпълните скрипта ./RevertIdentity.ps1 на PowerShell с ИД на средата Dataverse и policyArmId.
  • Можете да премахнете корпоративните правила, като изпълните скрипта на PowerShell.\RemoveIdentityEnterprisePolicy.ps1 с policyArmId.

Известно ограничение

Само една корпоративна политика може да се свърже Dataverse със средата едновременно. Ако трябва да създадете множество Azure Synapse Link връзки с разрешена управлявана самоличност, уверете се, че всички свързани ресурси на Azure са в една и съща група ресурси.

Вижте също

Какво е Azure Synapse Link for Dataverse?