Arkitektur af datagateway i det lokale miljø
Brugere i din organisation kan få adgang til data i det lokale miljø, som de allerede har adgangstilladelse til fra tjenester i cloudmiljøet, f.eks. Power BI, Power Platform og Microsoft Fabric. Men før disse brugere kan oprette forbindelse mellem cloudtjenesten og din datakilde i det lokale miljø, skal der installeres og konfigureres en datagateway i det lokale miljø.
Gatewayen muliggør hurtig og sikker kommunikation bag kulisserne. Denne kommunikation går fra en bruger i cloudmiljøet til din datakilde i det lokale miljø og derefter tilbage til cloudmiljøet.
En administrator er normalt den, der installerer og konfigurerer en gateway. Disse handlinger kan kræve særlig viden om dine lokale servere eller serveradministratortilladelser.
Denne artikel indeholder ikke en trinvis vejledning i, hvordan du installerer og konfigurerer gatewayen. Du kan få denne vejledning ved at gå til Installér en datagateway i det lokale miljø. Denne artikel giver en detaljeret forståelse af, hvordan gatewayen fungerer.
Sådan fungerer gatewayen
Lad os først se på, hvad der sker, når du interagerer med et element, der er forbundet til en datakilde i det lokale miljø.
Bemærk
Afhængigt af cloudtjenesten skal du muligvis konfigurere en datakilde for gatewayen.
- Cloudtjenesten opretter en forespørgsel og de krypterede legitimationsoplysninger for datakilden i det lokale miljø. Forespørgslen og legitimationsoplysningerne sendes til gatewaykøen til behandling, når gatewayen jævnligt forespørger tjenesten. Du kan få flere oplysninger om kryptering af legitimationsoplysninger i Power BI ved at gå til whitepaper om Sikkerhed i Power BI.
- Cloudtjenesten for gatewayen analyserer forespørgslen og sender anmodningen til Azure Relay.
- Azure Relay sender de ventende anmodninger til gatewayen, når den regelmæssigt forespørger. Både gatewayen og Power BI-tjeneste implementeres for kun at acceptere TLS 1.2-trafik.
- Gatewayen henter forespørgslen, dekrypterer legitimationsoplysningerne og opretter forbindelse til en eller flere datakilder med disse legitimationsoplysninger.
- Gatewayen sender forespørgslen til den datakilde, der skal køres.
- Resultaterne sendes fra datakilden tilbage til gatewayen og derefter til cloudtjeneste. Tjenesten anvender derefter resultaterne.
I trin 6 kan forespørgsler som Power BI- og Azure Analysis Services-opdateringer returnere store mængder data. For sådanne forespørgsler gemmes data midlertidigt på gatewaycomputeren. Dette datalager fortsætter, indtil alle data modtages fra datakilden. Dataene sendes derefter tilbage til cloudtjenesten. Denne proces kaldes spooling. Vi anbefaler, at du bruger et SSD (Solid State Drive) som spoolinglager.
Godkendelse til datakilder i det lokale miljø
En gemt legitimationsoplysninger bruges til at oprette forbindelse fra gatewayen til datakilder i det lokale miljø. Uanset brugeren bruger gatewayen de gemte legitimationsoplysninger til at oprette forbindelse. Men der kan være godkendelsesundtagelser som DirectQuery og LiveConnect til Analysis Services i Power BI. Du kan få flere oplysninger om kryptering af legitimationsoplysninger i Power BI ved at gå til whitepaper om Sikkerhed i Power BI.
Logonkonto
Du logger på med enten en arbejdskonto eller en skolekonto. Denne konto er din organisationskonto. Hvis du har tilmeldt dig et Office 365-tilbud og ikke har angivet din faktiske arbejdsmailadresse, kan dit kontonavn se ud som nancy@contoso.onmicrosoft.com. En cloudtjeneste gemmer din konto i en lejer i Microsoft Entra-id. I de fleste tilfælde svarer UPN 'et (User Principal Name) til din Microsoft Entra ID-konto med din mailadresse.
Netværkstrafiksikkerhed
Trafikken går fra gatewayen til Azure Relay til Power BI-backendklynge. Ved hjælp af ekspresrute kan du sikre dig, at denne trafik ikke krydser det offentlige internet. Al intern Azure-trafik går over Azure-backbone.
Microsoft Entra ID
Microsoft-cloudtjenester bruger Microsoft Entra ID til at godkende brugere. Microsoft Entra ID er den lejer, der indeholder brugernavne og sikkerhedsgrupper. Den mailadresse, du bruger til logon, er typisk den samme som UPN'et for din konto. Du kan få flere oplysninger om godkendelse i Power BI ved at gå til whitepaper om Power BI-sikkerhed.
Hvordan gør jeg fortælle, hvad mit UPN er?
Du kender muligvis ikke dit UPN, og du er muligvis ikke domæneadministrator. Hvis du vil finde UPN'et for din konto, skal du køre følgende kommando fra din arbejdsstation: whoami /upn
.
Selvom resultatet ligner en mailadresse, er det UPN på din lokale domænekonto.
Synkroniser en Active Directory i det lokale miljø med Microsoft Entra-id
Hver af dine Active Directory i det lokale miljø konti skal matche en Microsoft Entra ID-konto, fordi UPN'et for begge konti skal være det samme.
Cloudtjenesterne kender kun til konti i Microsoft Entra ID. Det er lige meget, om du tilføjer en konto i din Active Directory i det lokale miljø. Hvis kontoen ikke findes i Microsoft Entra ID, kan den ikke bruges.
Der er forskellige måder at matche dine Active Directory i det lokale miljø konti med Microsoft Entra ID.
Føj konti manuelt til Microsoft Entra-id.
Opret en konto på Azure-portal eller i Microsoft 365 Administration. Sørg for, at kontonavnet stemmer overens med UPN'et for den Active Directory i det lokale miljø konto.
Brug værktøjet Microsoft Entra ID Connect til at synkronisere lokale konti med din Microsoft Entra ID-lejer.
Værktøjet Microsoft Entra ID Connect indeholder indstillinger for katalogsynkronisering og konfiguration af godkendelse. Disse indstillinger omfatter synkronisering af adgangskodehash, pass-through-godkendelse og samling. Hvis du ikke er lejeradministrator eller lokal domæneadministrator, skal du kontakte it-administratoren for at få Konfigureret Microsoft Entra ID Connect.
Microsoft Entra ID Connect sikrer, at dit Microsoft Entra ID UPN svarer til dit lokale Active Directory-UPN. Denne matchning hjælper, hvis du bruger Analysis Services-liveforbindelser med Power BI- eller SSO-funktioner (Single Sign-on).
Bemærk
Når du synkroniserer konti med værktøjet Microsoft Entra ID Connect, oprettes der nye konti i din Microsoft Entra ID-lejer.