Επισκόπηση ελέγχου ταυτότητας (προεπισκόπηση)
Οι φόρτοι εργασίας Fabric βασίζονται σε ενοποίηση με το αναγνωριστικό Microsoft Entra για έλεγχο ταυτότητας και εξουσιοδότηση.
Όλες οι αλληλεπιδράσεις μεταξύ φόρτων εργασίας και άλλων στοιχείων Fabric ή Azure πρέπει να συνοδεύονται από κατάλληλη υποστήριξη ελέγχου ταυτότητας για αιτήσεις που λαμβάνονται ή αποστέλλονται. Τα διακριτικά που αποστέλλονται πρέπει να δημιουργούνται σωστά και τα διακριτικά που λαμβάνονται πρέπει επίσης να επικυρώνονται σωστά.
Συνιστάται να εξοικειωθείτε με την Πλατφόρμα ταυτοτήτων της Microsoft προτού ξεκινήσετε να εργάζεστε με φόρτους εργασίας Fabric. Συνιστάται επίσης να εξετάσετε Πλατφόρμα ταυτοτήτων της Microsoft βέλτιστες πρακτικές και προτάσεις.
Ροές
Από το προσκήνιο φόρτου εργασίας έως το παρασκήνιο φόρτου εργασίας
Ένα παράδειγμα τέτοιας επικοινωνίας είναι οποιοδήποτε API επιπέδου δεδομένων. Αυτή η επικοινωνία γίνεται με ένα διακριτικό Θέμα (διακριτικό με ανάθεση).
Για πληροφορίες σχετικά με τον τρόπο απόκτησης ενός διακριτικού στο fe φόρτου εργασίας, διαβάστε το API ελέγχου ταυτότητας. Επιπλέον, βεβαιωθείτε ότι έχετε περάσει μέσω επικύρωσης διακριτικού στην επισκόπηση ελέγχου ταυτότητας και εξουσιοδότησης παρασκηνίου.
Από το παρασκήνιο Fabric έως το παρασκήνιο φόρτου εργασίας
Ένα παράδειγμα τέτοιας επικοινωνίας είναι η Δημιουργία στοιχείου φόρτου εργασίας. Αυτή η επικοινωνία γίνεται με ένα διακριτικό SubjectAndApp, το οποίο είναι ένα ειδικό διακριτικό που περιλαμβάνει ένα διακριτικό εφαρμογής και ένα διακριτικό θέματος συνδυασμένο (ανατρέξτε στην Επισκόπηση ελέγχου ταυτότητας και εξουσιοδότησης παρασκηνίου για να μάθετε περισσότερα σχετικά με αυτό το διακριτικό).
Για να λειτουργήσει αυτή η επικοινωνία, ο χρήστης που χρησιμοποιεί αυτή την επικοινωνία πρέπει να δώσει τη συγκατάθεσή του στην εφαρμογή Entra.
Από το παρασκήνιο φόρτου εργασίας στο παρασκήνιο Fabric
Αυτό γίνεται με ένα διακριτικό SubjectAndApp για API ελέγχου φόρτου εργασίας (για παράδειγμα, ResolveItemPermissions) ή με ένα διακριτικό Θέμα (για άλλα API Fabric).
Από το παρασκήνιο φόρτου εργασίας στις εξωτερικές υπηρεσίες
Ένα παράδειγμα τέτοιας επικοινωνίας είναι η εγγραφή σε ένα αρχείο Lakehouse. Αυτό γίνεται με το διακριτικό Θέμα ή ένα διακριτικό εφαρμογής, ανάλογα με το API.
Εάν σκοπεύετε να επικοινωνείτε με υπηρεσίες χρησιμοποιώντας ένα διακριτικό Θέμα, βεβαιωθείτε ότι είστε εξοικειωμένοι με τις ροές εκ μέρους των ροών.
Ανατρέξτε στο εκπαιδευτικό βοήθημα ελέγχου ταυτότητας για να ρυθμίσετε το περιβάλλον σας για εργασία με έλεγχο ταυτότητας.
Εργασία με διακριτικά
Το προσκήνιο θα πρέπει να ζητάει ένα διακριτικό extensionClient.auth.acquireAccessToken({});. Μπορείτε να χρησιμοποιήσετε αυτό το διακριτικό για τον έλεγχο ταυτότητας με το παρασκήνιο.
Εάν θέλετε να αποκτήσετε πρόσβαση σε κάποιον πόρο, στείλτε το διακριτικό σας στο παρασκήνιο και δοκιμάστε να το ανταλλάξετε χρησιμοποιώντας μια ροή OBO για αυτόν τον πόρο. Μπορείτε επίσης να χρησιμοποιήσετε το διακριτικό που λάβατε από τα API ελέγχου (CRUD/Jobs) και να δοκιμάσετε να το ανταλλάξετε με αυτόν τον πόρο.
Εάν το exchange αποτύχει για λόγους συγκατάθεσης, ενημερώστε το προσκήνιο και καλέστε extensionClient.auth.acquireAccessToken({additionalScopesToConsent:[resource]}); και δοκιμάστε ξανά τη διαδικασία.
Εάν το exchange αποτύχει για λόγους MFA, ειδοποιήστε το προσκήνιο μαζί με την απαίτηση που λάβατε κατά τη σύνδεση για ανταλλαγή και κλήση extensionClient.auth.acquireAccessToken({claimsForConditionalAccessPolicy:claims});της .
Για παραδείγματα, ανατρέξτε στο θέμα: Παράδειγμα απόκρισης σφάλματος.
Σημείωμα
Το διακριτικό που λαμβάνετε κατά την απόκτηση ενός διακριτικού στο προσκήνιο δεν σχετίζεται με πρόσθεταScopesToConsent που μεταβιβάζετε. Αυτό σημαίνει ότι όταν ο χρήστης συμφωνεί, μπορείτε να χρησιμοποιήσετε οποιοδήποτε διακριτικό λάβατε για extensionClient.auth.acquireAccessToken τη ροή OBO.
Έλεγχος ταυτότητας JavaScript API
Το προσκηνιό Fabric προσφέρει ένα JavaScript API για φόρτους εργασίας Fabric για την απόκτηση ενός διακριτικού για την εφαρμογή τους στο Αναγνωριστικό Microsoft Entra. Προτού εργαστείτε με το API JavaScript ελέγχου ταυτότητας, βεβαιωθείτε ότι έχετε ανατρέξει στην τεκμηρίωση του API JavaScript ελέγχου ταυτότητας.
API
acquireAccessToken(params: AcquireAccessTokenParams): Promise<AccessToken>;
export interface AcquireAccessTokenParams {
additionalScopesToConsent?: string[];
claimsForConditionalAccessPolicy?: string;
}
Το API επιστρέφει ένα αντικείμενο AccessToken που περιέχει το ίδιο το διακριτικό και μια ημερομηνία λήξης για το διακριτικό.
Για να καλέσετε το API στο δείγμα προσκηνίου, δημιουργήστε ένα δείγμα στοιχείου και κάντε κύλιση προς τα κάτω και επιλέξτε Μετάβαση στη σελίδα Έλεγχος ταυτότητας. Από εκεί μπορείτε να επιλέξετε Λήψη διακριτικού πρόσβασης και θα λάβετε ένα διακριτικό πίσω.
Συναινεί
Για να κατανοήσετε γιατί απαιτούνται συγκατάθεση, εξετάστε τη συγκατάθεση χρήστη και διαχειριστή στο Αναγνωριστικό Microsoft Entra.
Σημείωμα
Απαιτούνται συγκατάθεση για να λειτουργήσουν τα crud/jobs και για την απόκτηση διακριτικών μεταξύ μισθωτών.
Πώς λειτουργούν οι συναινείες σε φόρτους εργασίας Fabric;
Για να εκχωρήσει συγκατάθεση για μια συγκεκριμένη εφαρμογή, η Fabric FE δημιουργεί μια παρουσία MSAL που έχει ρυθμιστεί με το αναγνωριστικό εφαρμογής του φόρτου εργασίας και ζητά ένα διακριτικό για την παρεχόμενη εμβέλεια (additionalScopesToConsent - ανατρέξτε στο θέμα AcquireAccessTokenParams).
Όταν ζητάτε ένα διακριτικό με την εφαρμογή φόρτου εργασίας για μια συγκεκριμένη εμβέλεια, το Αναγνωριστικό Microsoft Entra εμφανίζει μια αναδυόμενη συγκατάθεση σε περίπτωση που λείπει και, στη συνέχεια, ανακατευθύνει το αναδυόμενο παράθυρο στο URI ανακατεύθυνσης που έχει ρυθμιστεί στην εφαρμογή.
Συνήθως, το URI ανακατεύθυνσης βρίσκεται στον ίδιο τομέα με τη σελίδα που ζήτησε το διακριτικό, ώστε η σελίδα να μπορεί να έχει πρόσβαση στο αναδυόμενο παράθυρο και να το κλείνει.
Στην περίπτωσή μας, δεν βρίσκεται στον ίδιο τομέα, καθώς το Fabric ζητά το διακριτικό και το URI ανακατεύθυνσης του φόρτου εργασίας δεν βρίσκεται στον τομέα Fabric, επομένως όταν ανοίξει το παράθυρο διαλόγου συγκατάθεσης, πρέπει να κλείσει με μη αυτόματο τρόπο μετά την ανακατεύθυνση - δεν χρησιμοποιούμε τον κώδικα που επιστρέφεται στο redirectUri και, επομένως, απλώς το κλείνουμε αυτόματα (όταν το αναγνωριστικό Του Microsoft Entra ανακατευθύνει το αναδυόμενο παράθυρο στο URI ανακατεύθυνσης, κλείνει).
Μπορείτε να δείτε τον κώδικα/τη ρύθμιση παραμέτρων του Uri ανακατεύθυνσης στο αρχείο index.ts. Μπορείτε να βρείτε αυτό το αρχείο στο δείγμα-ανάπτυξης-φόρτου εργασίας-Microsoft-Workload, στον φάκελο προσκηνίου.
Ακολουθεί ένα παράδειγμα αναδυόμενου παραθύρου συγκατάθεσης για την εφαρμογή μας "Ο φόρτος εργασίας μου εφαρμογή" και τις εξαρτήσεις της (χώρος αποθήκευσης και Power BI) που ρυθμίσαμε κατά την υπέρβαση της ρύθμισης ελέγχου ταυτότητας:
Θα δούμε πώς να εργάζεστε με συγκατάθεση όταν μιλάμε για το AcquireAccessTokenParams.
Ένας άλλος τρόπος εκχώρησης συγκατάθεσης στον κεντρικό μισθωτή (προαιρετικό)
Ανατρέξτε στην τεκμηρίωση του JavaScript API για περισσότερες πληροφορίες σχετικά με τον τρόπο εκχώρησης συγκατάθεσης στον κεντρικό μισθωτή της εφαρμογής, χρησιμοποιώντας την ακόλουθη διεύθυνση URL (εισαγάγετε το αναγνωριστικό μισθωτή και το αναγνωριστικό προγράμματος-πελάτη):
https://login.microsoftonline.com/{tenantId}/adminconsent?client_id={clientId}
Σχετικό περιεχόμενο
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για