OneLake-sikkerhed
OneLake bruger en lagdelt sikkerhedsmodel, der er bygget op omkring komponenternes organisationsstruktur i Microsoft Fabric. Sikkerhed er afledt af Azure Active Directory-godkendelse (Azure AD) og er kompatibel med brugeridentiteter, tjenesteprincipaler og administrerede identiteter. Ved hjælp af Azure AD- og Fabric-komponenter kan du bygge robuste sikkerhedsmekanismer på tværs af OneLake, hvilket sikrer, at du holder dine data sikre, samtidig med at du reducerer kopierne og minimerer kompleksiteten.
Vigtigt
Microsoft Fabric fås som prøveversion.
Sikkerhed i arbejdsområde
Arbejdsområdet er den primære sikkerhedsgrænse for data i OneLake. Hvert arbejdsområde repræsenterer et enkelt domæne eller et enkelt projektområde, hvor teams kan samarbejde om data. Sikkerhed i arbejdsområdet administreres via Fabric-arbejdsområderoller. Få mere at vide om RBAC (Fabric role-based access control): Arbejdsområderoller
Arbejdsområderoller i Fabric tildeler følgende tilladelser i OneLake.
| Egenskab | Administrator | Medlem | Bidragyder | Læser |
|---|---|---|---|---|
| Vis filer i OneLake | Ja | Ja | Ja | Nej |
| Skriv filer i OneLake | Ja | Ja | Ja | Nej |
Beregningsspecifik sikkerhed
Nogle beregningsprogrammer i Fabric har deres egne sikkerhedsmodeller. Fabric Warehouse giver f.eks. brugerne mulighed for at definere adgang ved hjælp af T-SQL-sætninger. Beregningsspecifik sikkerhed gennemtvinges altid, når du får adgang til data ved hjælp af dette program, men disse betingelser gælder muligvis ikke for brugere med visse Fabric-roller, når de får direkte adgang til OneLake. Du kan finde flere oplysninger om, hvilke typer beregningssikkerhed der kan defineres, i dokumentationen til warehouse, realtidsanalyse og Power BI-datasæt.
Som regel kan brugere med rollen Læser kun få adgang til data via udvalgte beregningsprogrammer, og eventuelle sikkerhedsregler, der er defineret i disse programprogrammer, gælder. Alle andre roller har direkte OneLake-adgang, hvilket giver dem mulighed for at forespørge om data via Spark, API'er eller en OneLake-Stifinder. Beregningsspecifik sikkerhed gælder dog stadig for disse brugere, når de får adgang til data via det pågældende beregningsprogram.
Eksempel: Martha er administrator for et Fabric-arbejdsområde, og Pradeep er fremviser. Martha vil begrænse adgangen til visse borde i LakehouseA. Hun opretter forbindelse til SQL og definerer sikkerhed på objektniveau ved hjælp af GRANT- og DENY-sætninger. Når Pradeep får adgang til dataene via SQL, kan han kun se de tabeller fra LakehouseA, som han fik adgang til.
Genvejssikkerhed
Genveje i Microsoft Fabric giver mulighed for meget forenklet dataadministration, men vær opmærksom på nogle sikkerhedsovervejelser. Du kan finde oplysninger om administration af genvejssikkerhed i dette dokument.
Godkendelse
OneLake bruger Azure Active Directory (Azure AD) til godkendelse. Du kan bruge det til at give tilladelser til brugeridentiteter og tjenesteprincipaler. OneLake udtrækker automatisk brugeridentiteten fra værktøjer, som bruger Azure AD godkendelse og knytter den til de tilladelser, du har angivet i Fabric-portalen.
Bemærk
Hvis du vil bruge tjenesteprincipaler i en Fabric-lejer, skal en lejeradministrator aktivere SPN'er (Service Principal Names) for hele lejeren eller specifikke sikkerhedsgrupper.
Private links
Fabric understøtter i øjeblikket ikke adgang til private links til OneLake-data via ikke-Fabric-produkter og Spark.
Tillad, at apps, der kører uden for Fabric, får adgang til data via OneLake
OneLake giver mulighed for at begrænse adgangen til data fra programmer, der kører uden for Fabric-miljøer. Administratorer kan finde indstillingen på lejeradministrationsportalen. Når denne knap er slået til, kan der opnås adgang til data via alle kilder. Når denne er slået fra, kan der ikke opnås adgang til data via programmer, der kører uden for Fabric-miljøer. Data kan f.eks. få adgang via programmer som Azure Databricks, brugerdefinerede programmer ved hjælp af ADLS-API'er eller OneLake-stifinder.