Co je přístup mezi tenanty pro poskytovatele?

Funkce přístupu mezi tenanty umožňuje poskytujícím tenantům sdílet data uložená v datových skladech Fabric a koncových bodech analýzy SQL s hostujícími tenanty. Tato funkce je užitečná pro organizace, které potřebují sdílet data s tenanty hostů. Pokud například společnost A ukládá Fabric data pro společnost B, může společnost B použít přístup přes tenanty pro přístup ke svým datům ve Fabric tenantu společnosti A. Tento článek je zaměřený na poskytovatele, kteří chtějí nastavit přístup mezi tenanty.

Důležité

• Přístup mezi tenanty pro datové sklady Fabric je pro poskytovatele v omezené ukázce. Pokud se chcete zaregistrovat jako poskytovatel dat mezi tenanty, odešlete tento formulář.
• Pokud chcete jako hosta použít přístup mezi tenanty, musíte postupovat podle kroků uvedených v přístupu mezi tenanty pro hosty a pracovat s důvěryhodným poskytovatelem.

Jak to funguje

Přístup mezi tenanty umožňuje tenantům hosta přistupovat k datům uloženým v datovém skladu poskytovatele a koncovém bodu analýzy SQL. Když poskytovatel povolí použití této funkce principálům z tenanta hosta, Fabric vytvoří odpovídající servisní principály pro každého hosta v tenantovi poskytovatele. Poskytovatel pak udělí oprávnění k skladu těmto servisním principálům. Hosté s oprávněními mají přístup ke koncovým bodům datového skladu pomocí vlastních přihlašovacích údajů identity Entra ID pomocí nástrojů, jako je SQL Server Management Studio (SSMS). K tomu se hosté ověřují ve své domovské organizaci a mají oprávnění pro přístup ke koncovým bodům datového skladu.

Na rozdíl od B2B použití přístupu mezi tenanty v datových skladech Fabric neuděluje hostům přístup k adresáři poskytovatelů. Poskytovatelé nemusí spravovat jednotlivé hostující uživatele, když poskytovatelé nakonfigurují skupinu pro přístup mezi nájemci, členství ve skupině spravuje hostující tenant.

Na rozdíl od funkce externího sdílení dat ve Fabricu, která umožňuje poskytovatelům sdílet data OneLake na místě s jiným tenantem Fabricu, tato funkce umožňuje poskytovatelům sdílet datové sklady s hosty, kteří Fabric nemají.

Odpovědnosti poskytovatele

1. Ujistěte se, že hostující tenant souhlasí s užíváním funkce přístupu mezi tenanty s vaším tenantem (poskytovatelem). Hostující nájemci musí postupovat podle kroků uvedených v přístup mezi tenanty pro hosty.

2. Nakonfigurujte hostující principály pro přístup napříč tenanty.

3. Když povolíte instanční objekty hostů pro přístup mezi tenanty, Fabric vytvoří odpovídající služební instanční objekty pro každého hosta v tenantovi poskytovatele a skupiny pro každou hostující skupinu. Poskytovatel musí těmto služebním principálům udělit pracovní roli nebo oprávnění ve skladu.

4. Hostující principály budou přistupovat k datovému skladu napříč tenanty pomocí koncového bodu TDS a budou potřebovat ověřovací řetězec k datovému skladu. Poskytovatel musí hostům poskytnout tento připojovací řetězec. Připojovací řetězec pro přístup mezi tenanty se liší od připojovacího řetězce používaného pro přístup v rámci tenanta.

Konfigurujte hostující entity pro přístup mezi tenanty

Konfigurovat hostující uživatele pro přístup mezi tenanty

POST https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings

• Podporované identity: Uživatel a služební principál

• Požadovaná oprávnění: Uživatelé, kteří volají toto rozhraní API, musí být v roli správce prostředků infrastruktury.

• Aby se zajistilo, že služební hlavní objekt může vytvořit, vypsat a odstranit jakákoli mapování mezi tenanty, která jsou vytvořena v tenantovi poskytovatele, musí mít aplikace Fabric oprávnění Group.Create Microsoft Graph. V následujících článcích najdete informace o tom, jak aplikaci Fabric udělit oprávnění Group.Create.

  • Udělení nebo odvolání oprávnění rozhraní API prostřednictvím kódu programu
  • Referenční informace o oprávněních Microsoft Graphu

• Služební identity musí být povolené pro volání veřejných API Fabricu, čtecích API Fabricu a aktualizačních API.

Obsah požadavku

Název	V	Povinné	Typ	Popis
ID	Tělo	Ano	Řetězec	ID objektu hostující aplikace nebo skupiny
ID nájemce	Tělo	Ano	Řetězec	ID hostujícího nájemníka
typ	Tělo	Ano	Řetězec	Uživatel nebo skupina
Podrobnosti o uživateli	Tělo	Ano	JSON nebo komplexní	Podrobnosti o uživateli hostujícího tenanta
hlavní název uživatele	Tělo	Ano	Řetězec	Hlavní jméno uživatelů hostů
Podrobnosti skupiny	Tělo	Ano	JSON nebo komplexní	Podrobnosti o skupině hostujících nájemníků
typ skupiny	Tělo	Ano	Řetězec	Typ skupiny hostujícího tenanta, odešlete "Neznámý", pokud není k dispozici.
e-mail	Tělo	Ano	Řetězec	E-mail skupiny hostujících nájemníků

Ukázkový text požadavku

Tělo požadavku pro mapování uživatelů

{  
        "id": "00000000-0000-0000-0000-000000000000", 
        "tenantId": "{guest tenant id}",  
        "type": "User",  
        "userDetails": {  
            "userPrincipalName": "user@contoso.com"  
         }  
}

Tělo žádosti pro mapování servisního principála

{  
        "id": "{object id of the Enterprise application}",  
        "tenantId": " {guest tenant id} ",   
        "type": "User" 
}

Tělo požadavku pro mapování skupin

{  
        "id": "00000000-0000-0000-0000-000000000000", 
        "tenantId": "{guest tenant id}",  
        "type": "Group",  
        "groupDetails": {  
               "groupType": "Unknown", 
               "email": "groupemail@contoso.com"  
         }  
}

Text žádosti o mapování skupin, pokud skupina nemá e-mail

{ 
  "id": "{object id of the group}", 
  "tenantId": "{guest tenant id}", 
  "type": "Group" 
}

Kódy odpovědí

Kód odpovědi	Poznámka:
200 OK	Skupina hostů nebo subjekt byl nakonfigurován pro přístup mezi tenanty.
400 Chybný požadavek	Hlavní identita hosta nelze vyřešit
401 Neautorizováno	Hostující nájemce nesouhlasil
429 Příliš mnoho požadavků	Příliš mnoho požadavků, očekáváno 50 za minutu

Získejte seznam hostujících entit, které jsou povolené pro přístup napříč tenanty

GET https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings

• Podporované identity: Uživatel a služební principál

• Požadovaná oprávnění: Uživatelé, kteří volají toto rozhraní API, musí být v roli správce prostředků infrastruktury.

• Aby se zajistilo, že hlavní služba může vytvořit, vypsat a smazat jakákoli mapování napříč tenanty vytvořená v tenantovi zprostředkovatele, musí mít aplikace Fabric oprávnění Group.Create Microsoft Graph. V následujících článcích najdete informace o udělení oprávnění Group.Create aplikaci Fabric.

  • Udělení nebo odvolání oprávnění rozhraní API prostřednictvím kódu programu
  • Referenční informace o oprávněních Microsoft Graphu

• Služební identity musí být povolené pro volání veřejných API Fabricu, čtecích API Fabricu a aktualizačních API.

Kódy odpovědí

Kód odpovědi	Poznámka:
200 OK	Pokud žádné mapování neexistuje, vrátí rozhraní API prázdný seznam.
404 – Nenalezeno
401 Neautorizováno
429 Příliš mnoho požadavků	Příliš mnoho požadavků, očekáváno 50 za minutu

Odstraňte hostující identity, které jsou povoleny pro přístup mezi tenanty.

DELETE https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings/{mappingId}

• Podporované identity: Uživatel a služební principál

• Požadovaná oprávnění: Uživatelé, kteří volají toto rozhraní API, musí být v roli správce prostředků infrastruktury.

• Aby se zajistilo, že služební principál může vytvořit, vypsat a odstranit jakákoli překryvní mapování mezi tenanty vytvořená v tenantovi poskytovatele, musí mít aplikace Fabric oprávnění Group.Create Graph. V následujících článcích najdete informace o udělení oprávnění Group.Create aplikaci Fabric.

  • Udělení nebo odvolání oprávnění rozhraní API prostřednictvím kódu programu
  • Referenční informace o oprávněních Microsoft Graphu

• Služební identity musí být povolené pro volání veřejných API Fabricu, čtecích API Fabricu a aktualizačních API.

Při volání tohoto rozhraní API přestanou skupiny a instanční objekty služeb vytvořené pro hostující hlavní objekty okamžitě fungovat, ale mapování zůstává v databázi déle než den a zobrazí se v odpovědi rozhraní API mapování GET.

Obsah požadavku

Název	V	Povinné	Typ	Popis
identifikátor mapování	Cesta	Ano	Řetězec	ID mapování

Kódy odpovědí

Kód odpovědi	Poznámka:
200 OK
404 – Nenalezeno
401 Neautorizováno
429 Příliš mnoho požadavků	Příliš mnoho požadavků, očekáváno 50 za minutu

Udělení role nebo oprávnění pracovního prostoru služebním účtům

Povolení uživatelé z tenanta poskytovatele mohou udělit roli ve pracovním prostoru skupinám nebo služebním identitám vytvořeným k reprezentaci hostujících hlavních objektů zabezpečení pomocí REST API pro přiřazení rolí v pracovním prostoru nebo uživatelského rozhraní Fabric. Můžou také sdílet datový sklad se skupinami a instančními objekty.

Získání připojovacího řetězce SQL, který můžou používat objekty zabezpečení hosta

Povolení uživatelé z tenanta poskytovatele můžou volat toto rozhraní API, aby získali připojovací řetězec SQL zadaného pracovního prostoru pro konkrétního tenanta hosta.

• Podporované identity: Uživatelské, služební principály a spravované identity
• Požadovaná oprávnění: Volající musí mít roli diváka nebo vyšší roli v pracovním prostoru.

GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/warehouses/{warehouseId}/connectionString?guestTenantId={guestTenantId}&privateLinkType={privateLinkType}

Obsah požadavku

Název	V	Povinné	Typ	Popis
warehouseId	Cesta	Pravdivé	Řetězec	ID skladu
ID pracoviště	Cesta	Pravdivé	Řetězec	ID pracovního prostoru
guestTenantId (identifikátor hostujícího nájemce)	Dotaz		Řetězec	ID tenanta hosta, pokud se tenant koncového uživatele liší od tenanta skladu
typ soukromého odkazu	Dotaz		Řetězec	Žádné (bez privátního propojení nebo privátního propojení na úrovni tenanta) nebo pracovního prostoru (privátní propojení pracovního prostoru)

Kódy odpovědí

Kód odpovědi	Poznámka:
200 OK	Vrátí připojovací řetězec v odpovědi.
404 – Nenalezeno	ItemNotFound – Požadovaná položka nebyla nalezena. InvalidGuestTenantId – Zadané ID tenanta hosta neexistuje.

Ukázkový text odpovědi

{ 
  "connectionString": "DW connection string" 
}

Zásady správného řízení přístupu mezi tenanty

1. Použijte rozhraní API pro mapování ověřování mezi tenanty – k kontrole uživatelů a skupin tenantů typu host, kteří můžou potenciálně přistupovat k skladům a koncovým bodům SQL ve vašem tenantovi, můžete použít rozhraní API pro mapování ověřování mezi tenanty. Tito uživatelé také musí mít udělená oprávnění k položkám.

2. Protokoly auditu v Purview – Přejděte do centra Microsoft Purview, kde můžete vyhledat následující typy událostí, abyste získali podrobné informace o mapování aktivit CRUD a generování tokenů jako poskytovatele.

   • Vytvořeno mapování ověřování mezi tenanty
   • Uvedené mapování ověřování mezi různými tenanty
   • Odstranění mapování ověřování mezi tenanty
   • Vytvořený autentizační token mezi tenanty
   • Vymazat data tenanta hosta při Cross Tenant Auth (vygenerováno, když jsou mapování odstraněna po odvolání souhlasu hostujícím tenantem)

   Tenanti typu host vidí následující typy událostí:

   • Souhlas s ověřováním mezi tenanty
   • Odvolání souhlasu pro ověřování mezi tenanty

3. Řízení instančních objektů a skupin vytvořených v Microsoft Entra (pouze globální správce, správce aplikace nebo jiné uživatele s vysokými oprávněními) – Můžete také zkontrolovat instanční objekty a skupiny vytvořené v Microsoft Entra a umožnit instančním objektům klientů přístup k datům napříč tenanty. Další služby Azure, jako jsou protokoly přihlašování (přihlášení služebního principálu), zobrazí podrobnosti o přihlášení služebního principálu, které odpovídají aktivitám přihlašování uživatelů hostujícího tenanta. Protokoly auditu Microsoft Entra budou také poskytovat informace o aktivitě vytváření skupin, kterou provádí Fabric. Aplikace Fabric Identity a registrace aplikací, které vytvořil Fabric pro přístup napříč tenanty, by se neměly upravovat ani odstraňovat. Zprostředkovatelé by měli mapování odstranit, pokud chtějí odebrat objekt FabricIdentity vytvořený pro přístup mezi tenanty.

Odpovědnosti hosta

1. Než s poskytovatelem souhlasíte s použitím funkce přístupu mezi tenanty datových skladů Fabric, ujistěte se, že poskytovateli důvěřujete. Hostující nájemníci musí postupovat podle kroků uvedených v článku přístup mezi tenanty pro hosty.

2. Tenant hosta zodpovídá za vytváření a správu skupin Microsoft Entra nakonfigurovaných pro přístup mezi tenanty.

3. Tenant typu host zodpovídá za správu zásad podmíněného přístupu nebo vícefaktorového ověřování pro své uživatele. Tyto zásady se použijí, když se uživatelé typu host pokusí získat přístup k datovým skladům napříč tenanty.

Omezení a důležité informace

1. Aby bylo zajištěno, že služební principál může vytvořit, vypsat a odstranit jakékoli mapování mezi různými tenanty vytvořenými v rámci poskytovatelského tenantu, musí mít aplikace Fabric přiřazenu roli Skupina. Vytvořit oprávnění Graphu Podívejte se na následující dokumenty pro udělení oprávnění skupině. Vytvořte oprávnění k aplikaci Fabric.

   • Udělení nebo odvolání oprávnění rozhraní API prostřednictvím kódu programu
   • Referenční informace o oprávněních Microsoft Graphu

2. Zásady podmíněného přístupu nebo vícefaktorového ověřování nájemníků hostů se vynucují při přihlášení hostujícími uživateli.

3. Tenant hosta zodpovídá za vytváření a správu skupin Microsoft Entra nakonfigurovaných pro přístup mezi tenanty.

4. Infrastruktura provádí rozšíření pro hostující skupiny, které byly každou hodinu nakonfigurovány pro přístup mezi tenanty. To znamená, že pokud se uživatel přidá do skupiny v tenantovi hosta a skupina je už nakonfigurovaná pro přístup mezi tenanty, může trvat až 1 hodinu, než bude mít tento uživatel přístup k datovému skladu mezi tenanty.

5. Pokud host odvozuje svá oprávnění prostřednictvím členství ve skupině, může trvat až 1 hodinu, než se změny oprávnění projeví v datovém skladu. Pokud mají uživatelé přímo udělená oprávnění (tj. ne prostřednictvím skupiny), změny oprávnění v datovém skladu se projeví okamžitě.

6. Omezení prostředků a recyklace principálů služeb – principálové služeb a skupiny vytvořené pro uživatele mezi tenanty mají vliv na limity zdrojů v tenantu poskytovatele. Další podrobnosti najdete v limitech id Microsoft Entra. Platforma Fabric umožňuje vytvořit až 100 000 služebních účastníků pro přístup mezi tenantry, ale je možné, že před tím dojde k vyčerpání vašich limitů prostředků. Pokud se host během pěti dnů nepřihlásí do skladu, odebereme instanční objekt služby spojený s tímto hostem, abychom mohli účinně řídit omezení zdrojů.

7. Hosté nemůžou spouštět veřejná rozhraní API. Instanční objekty a skupiny vytvořené pro uživatele napříč tenanty aktuálně nemohou spouštět veřejná rozhraní API. To platí pro audit, snímky dat a fondy SQL. Například snímek můžou vytvořit jenom uživatelé poskytovatele; Uživatel typu host nemůže spustit rozhraní API pro jeho vytvoření, ale může ho dotazovat. Podobně pro auditování může uživatel typu host spouštět pouze auditování TVF, ale ne rozhraní API pro povolení nebo zakázání protokolů.

8. Když hostující tenant odvolá souhlas, hosté do jednoho dne ztratí přístup ke skladům v tenantovi poskytovatele. Nicméně stávající relace nejsou ovlivněny.

9. Za určitých okolností nemusí mít hostující uživatelé přístup k datovým skladům mezi tenanty několik hodin po nakonfigurování pro přístup mezi tenanty.