Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Sdílený přístupový podpis OneLake (SAS) poskytuje zabezpečený, krátkodobý a delegovaný přístup k prostředkům ve vašem OneLake. S OneLake SAS máte podrobnou kontrolu nad tím, jak může klient přistupovat k vašim datům. Příklad:
- K jakým prostředkům má klient přístup.
- Jaká oprávnění mají k prostředkům.
- Jak dlouho je SAS platný.
Každý ONELake SAS (a klíč delegování uživatele) je vždy podporován identitou Microsoft Entra, má maximální životnost 1 hodinu a může udělit přístup pouze ke složkám a souborům v datové položce, jako je lakehouse.
Jak funguje sdílený přístupový podpis
Sdílený přístupový podpis je token připojený k identifikátoru URI prostředku OneLake. Token obsahuje speciální sadu parametrů dotazu, které označují, jak má klient přístup k prostředku. Jedním z parametrů dotazu je podpis. Vytváří se z parametrů SAS a podepíše se klíčem, který se použil k vytvoření SAS. OneLake tento podpis používá k autorizaci přístupu ke složce nebo souboru ve OneLake. SAS OneLake používá stejný formát a vlastnosti jako Azure Storage user-delegated SAS, ale s většími omezeními zabezpečení ohledně délky trvání a rozsahu.
Přístupový podpis OneLake SAS je podepsaný klíčem pro delegování uživatele (UDK), který je zajištěný přihlašovacími údaji Microsoft Entra. Klíč delegování uživatele můžete získat prostřednictvím operace Získat klíč delegování uživatele. Pak tento klíč (i když je stále platný) použijete k sestavení SAS OneLake. Oprávnění přihlašovacích údajů Microsoft Entra spolu s oprávněními explicitně udělenými SAS určují, jaký přístup má klient k prostředku.
Autorizace OneLake SAS
Když klient nebo aplikace přistupuje k OneLake pomocí SAS OneLake, žádost se autorizuje pomocí přihlašovacích údajů Microsoft Entra, které požadovaly sadu UDK použitou k vytvoření SAS. Proto všechna oprávnění OneLake udělená této identitě Microsoft Entra platí pro SAS, což znamená, že sas nemůže nikdy překročit oprávnění uživatele, který ho vytváří. Kromě toho při vytváření SAS explicitně udělujete oprávnění, což vám umožňuje poskytnout ještě více omezená oprávnění pro SAS. Mezi identitou Microsoft Entra, explicitně udělenými oprávněními a krátkou životností se OneLake řídí osvědčenými postupy zabezpečení pro poskytování delegovaného přístupu k vašim datům.
Kdy použít SAS OneLake
OneLake SAS deleguje zabezpečený a dočasný přístup k OneLake založenému na identitě Microsoft Entra. Aplikace bez nativní podpory Microsoft Entra můžou pomocí SAS OneLake získat dočasný přístup k načtení dat bez složitého nastavení a integrace práce.
OneLake SAS také podporuje aplikace, které slouží jako proxy servery mezi uživateli a jejich daty. Někteří nezávislí dodavatelé softwaru (ISV) například běží mezi uživateli a jejich pracovním prostorem Fabric a poskytují další funkce a případně jiný model ověřování. Delegováním přístupu pomocí SAS OneLake můžou tito nezávislí výrobci softwaru spravovat přístup k podkladovým datům a poskytovat přímý přístup k datům, i když jejich uživatelé nemají identity Microsoft Entra.
Správa OneLake SAS
Dvě nastavení ve vašem tenantovi Fabric spravují použití ONELake SAS.
Prvním nastavením je nastavení na úrovni tenanta, použití krátkodobých tokenů SAS delegovaných uživatelem, které spravuje generování klíčů delegování uživatelů. Protože se klíče delegování uživatelů generují na úrovni tenanta, řídí se nastavením tenanta. Toto nastavení je ve výchozím nastavení zapnuté, protože tyto klíče delegování uživatelů mají ekvivalentní oprávnění k identitě Microsoft Entra, která je požaduje, a jsou vždy krátkodobé.
Poznámka:
Vypnutím této funkce zabráníte všem pracovním prostorům používat SAS OneLake, protože všichni uživatelé nebudou moct generovat klíče delegování uživatele.
Druhé nastavení je delegované nastavení pracovního prostoru, ověřování pomocí tokenů SAS delegovaných uživatelem OneLake, které řídí, jestli pracovní prostor přijímá SAS OneLake. Toto nastavení je ve výchozím nastavení vypnuté. Správce pracovního prostoru může toto nastavení zapnout, aby ve svém pracovním prostoru povolil ověřování pomocí SAS OneLake. Správce tenanta může toto nastavení zapnout pro všechny pracovní prostory prostřednictvím nastavení tenanta nebo ho nechat správci pracovního prostoru, aby ho zapnuli.
Vytváření klíčů delegování uživatelů můžete také monitorovat na portálu Microsoft Purview. Pokud chcete zobrazit všechny klíče vygenerované ve vašem tenantovi, vyhledejte název operace generateonelakeudk. Vzhledem k tomu, že vytvoření SAS je operace na straně klienta, nemůžete monitorovat ani omezovat vytváření SAS OneLake, pouze generování UDK.
Osvědčené postupy s OneLake SAS
- K vytvoření nebo distribuci sdíleného přístupového podpisu (SAS) vždy používejte protokol HTTPS, který chrání před útoky typu man-in-the-middle s cílem zachytit SAS.
- Sledujte dobu vypršení platnosti klíče a tokenu SAS. Klíče delegování uživatele OneLake a tokeny SAS mají maximální životnost 1 hodinu. Pokus o vyžádání sady UDK nebo sestavení sdíleného přístupového podpisu s životností delší než 1 hodinu způsobí selhání požadavku. Aby se zabránilo použití SAS k prodloužení životnosti tokenů OAuth, doba platnosti tokenu musí být delší než doba vypršení platnosti klíče delegování uživatele a SAS.
- Dávejte pozor na čas začátku tokenu SAS. Nastavení počátečního času sas jako aktuálního času může způsobit selhání během prvních několika minut kvůli různým časům spuštění mezi počítači (nerovnoměrná distribuce hodin). Nastavení počátečního času na několik minut v minulosti pomáhá chránit před těmito chybami.
- Udělte SAS co nejmenší možné oprávnění. Poskytnutí minimálních požadovaných oprávnění nejmenším možným prostředkům je osvědčeným postupem zabezpečení a sníží dopad v případě ohrožení sdíleného přístupového podpisu.
- Monitorujte generování klíčů delegování uživatelů. Vytváření klíčů delegování uživatelů můžete auditovat na portálu Microsoft Purview. Vyhledejte název operace generateonelakeudk pro zobrazení klíčů generovaných ve vašem tenantovi.
- Seznamte se s omezeními SAS OneLake. Vzhledem k tomu, že tokeny SAS OneLake nemohou mít oprávnění na úrovni pracovního prostoru, nejsou kompatibilní s některými nástroji Azure Storage, které vyžadují oprávnění na úrovni kontejneru pro přístup k datům, jako je Průzkumník služby Azure Storage.