Ρύθμιση ελέγχου ταυτότητας (προεπισκόπηση)

Σημείωμα

Για να ρυθμίσετε τις παραμέτρους των παρακάτω ρυθμίσεων ελέγχου ταυτότητας στον οδηγό εγκατάστασης, απαιτείται ένας ρόλος καθολικού διαχειριστή.

Για να μπορέσετε να εργαστείτε με τον έλεγχο ταυτότητας, πρέπει να ρυθμίσετε τα τρία μέρη του στοιχείου:

• Εφαρμογή Microsoft Entra ID (πρώην εφαρμογή Azure AD)
• Δείγμα προσκηνιού
• Δείγμα παρασκηνιού

Για να εργαστείτε με τον έλεγχο ταυτότητας στο Fabric, ακολουθήστε αυτόν τον οδηγό.

Παροχή υπηρεσίας αποθήκευσης Azure

Αυτό το δείγμα παρουσιάζει τον τρόπο αποθήκευσης και ανάγνωσης δεδομένων από και προς λίμνες. Αυτό απαιτεί τη δημιουργία διακριτικών για την υπηρεσία υπηρεσίας αποθήκευσης Azure σε ροές OBO. Για τη δημιουργία διακριτικών, οι χρήστες πρέπει να δίνουν τη συγκατάθεσή τους στην εφαρμογή χρησιμοποιώντας την Υπηρεσία αποθήκευσης Azure. Για να συμφωνείτε, πρέπει να εκχωρηθεί χώρος αποθήκευσης Azure στον μισθωτή.

Για να βεβαιωθείτε ότι παρέχεται υπηρεσία αποθήκευσης Azure στον μισθωτή:

1. Συνδεθείτε στην πύλη Azure

2. Μετάβαση σε εφαρμογές Microsoft Entra ID>Enterprise

3. Στα φίλτρα, επιλέξτε τύπος εφαρμογής = όλες οι εφαρμογές. Το αναγνωριστικό εφαρμογής ξεκινά με e406a681-f3d4-42a8-90b6-c2b029497af1

   

Εάν δείτε την εφαρμογή Υπηρεσίας αποθήκευσης Azure, έχει ήδη γίνει προμήθεια και μπορείτε να συνεχίσετε στο επόμενο βήμα. Εάν όχι, ένας καθολικός διαχειριστής πρέπει να την προμηθεύσει.

Ανοίξτε το Windows PowerShell ως διαχειριστής και εκτελέστε την ακόλουθη δέσμη ενεργειών:

Install-Module az  
Import-Module az  
Connect-AzureAD  
New-AzureADServicePrincipal -AppId e406a681-f3d4-42a8-90b6-c2b029497af1

Ρύθμιση παραμέτρων της εφαρμογής σας στο Microsoft Entra ID με μη αυτόματο τρόπο

Για να εργαστείτε με τον έλεγχο ταυτότητας, χρειάζεστε μια εφαρμογή καταχωρημένη στο Αναγνωριστικό Microsoft Entra. Εάν δεν έχετε μια καταχωρημένη εφαρμογή, ακολουθήστε αυτόν τον οδηγό για να δημιουργήσετε μια νέα εφαρμογή.

1. Εφαρμόστε τις ακόλουθες ρυθμίσεις παραμέτρων στην εφαρμογή σας:

   • Μετατρέψτε την εφαρμογή σε εφαρμογή πολλαπλών χρήσεων.
   • Για εφαρμογές ανάπτυξης, ρυθμίστε τις παραμέτρους του URI ανακατεύθυνσης όπως http://localhost:60006/close με την πλατφόρμα SPA. Αυτή η ρύθμιση παραμέτρων απαιτείται για την υποστήριξη συγκατάθεσης. Μπορείτε να προσθέσετε άλλα URIs ανακατεύθυνσης όπως θέλετε.

   Σημείωμα

   • Το URI ανακατεύθυνσης θα πρέπει να είναι ένα URI που απλά κλείνει τη σελίδα κατά την περιήγηση σε αυτό. Το URI http://localhost:60006/close έχει ρυθμιστεί ήδη στο δείγμα προσκηνίου και μπορείτε να το αλλάξετε στο Frontend/src/index.ts (Εάν το αλλάξετε, βεβαιωθείτε ότι συμφωνεί με αυτό που έχει ρυθμιστεί για την εφαρμογή σας).
   • Μπορείτε να ρυθμίσετε τις παραμέτρους του URI ανακατεύθυνσης μετά τη δημιουργία της εφαρμογής από το μενού Διαχείριση στην περιοχή Έλεγχος ταυτότητας.

   

2. Αλλάξτε το URI αναγνωριστικού εφαρμογής για την εφαρμογή σας. Μεταβείτε στη Διαχείριση>αποκάλυψης API και επεξεργαστείτε το URI αναγνωριστικού εφαρμογής για την εφαρμογή σας:

   Για το σενάριο ανάπτυξης, το URI αναγνωριστικού εφαρμογής θα πρέπει να ξεκινά με: api://localdevinstance/<Workload publisher's tenant ID in lower case (the tenant ID of the user used in Fabric to run the sample)>/<Name of your workload> και μια προαιρετική δευτερεύουσα γραμμή στο τέλος της, η οποία ξεκινά με / (δείτε παραδείγματα).

   Όπου:

   • Το όνομα φόρτου εργασίας είναι ακριβώς όπως καθορίζεται στη διακήρυξη.
   • Το URI αναγνωριστικού δεν τελειώνει με κάθετο.
   • Στο τέλος του URI αναγνωριστικού μπορεί να υπάρχει μια προαιρετική δευτερεύουσα περιήγηση που αποτελείται από μια συμβολοσειρά αγγλικών πεζών ή ων γραμμάτων, αριθμών και παύλες, έως 36 χαρακτήρες.

   Φιλοδώρημα

   Για βοήθεια σχετικά με την εύρεση του αναγνωριστικού μισθωτή, ανατρέξτε στο θέμα Πώς μπορείτε να βρείτε το αναγνωριστικό μισθωτή Σας Microsoft Entra.

   Για παράδειγμα, εάν το αναγνωριστικό μισθωτή του εκδότη είναι 853d9f4f-c71b-4420-b6ec-60e503458946 και το όνομα του φόρτου εργασίας είναι Fabric.WorkloadSample τότε:

   • Τα παρακάτω URIs είναι έγκυρα

     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample
     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/abc

   • Τα παρακάτω URIs δεν είναι έγκυρα

     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/af/
     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/af/a
     • Οποιοδήποτε URI αναγνωριστικού που δεν αρχίζει από api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample

Προσθήκη εμβέλειας για CRUD/εργασίες

Για να εργαστείτε με τα API δημιουργίας, ανάγνωσης, ενημέρωσης και διαγραφής για στοιχεία φόρτου εργασίας και για την εκτέλεση άλλων λειτουργιών με εργασίες, προσθέστε μια εμβέλεια και δύο αποκλειστικές εφαρμογές Fabric στις προεγκριμένες εφαρμογές για αυτή την εμβέλεια για να υποδείξετε ότι το API σας (η εμβέλεια που δημιουργήσατε) θεωρεί αξιόπιστο το Fabric:

• Στην περιοχή Έκθεση API, επιλέξτε Προσθήκη εμβέλειας. Ονομάστε την εμβέλεια FabricWorkloadControl και καταχωρήστε τις απαραίτητες λεπτομέρειες για αυτή.

• Στην περιοχή Εξουσιοδοτημένες εφαρμογές προγράμματος-πελάτη, επιλέξτε Προσθήκη εφαρμογής-πελάτη. Προσθέστε 00000009-0000-0000-c000-000000000000 (Εφαρμογή υπηρεσίας Fabric) και επιλέξτε την εμβέλειά σας.

• Στην περιοχή Εξουσιοδοτημένες εφαρμογές προγράμματος-πελάτη, επιλέξτε Προσθήκη εφαρμογής-πελάτη. Προσθέστε d2450708-699c-41e3-8077-b0c8341509aa (Πρόγραμμα-πελάτης Fabric για εφαρμογή φόρτων εργασίας) και επιλέξτε την εμβέλειά σας.

Προσθήκη εμβέλειων για API επιπέδου δεδομένων

Άλλες εμβέλειες πρέπει να καταχωρηθούν ώστε να αντιπροσωπεύουν ομάδες λειτουργιών που εκτίθενται από το API επιπέδου δεδομένων. Στο δείγμα παρασκηνίου, παρέχουμε τέσσερα παραδείγματα. Μπορείτε να τις δείτε στο παρασκήνιο/src/Constants/scopes.cs. Οι εμβέλειες είναι οι εξής:

• Item1.Read.All: Χρησιμοποιείται για την ανάγνωση στοιχείων φόρτου εργασίας
• Item1.ReadWrite.All: Χρησιμοποιείται για ανάγνωση/εγγραφή στοιχείων φόρτου εργασίας
• FabricLakehouse.Read.All: Χρησιμοποιείται για την ανάγνωση αρχείων lakehouse
• FabricLakehouse.ReadWrite.All: Χρησιμοποιείται για την ανάγνωση/εγγραφή αρχείων lakehouse

Προέγκριση 871c010f-5e61-4fb1-83ac-98610a7e9110 ελέγχου (εφαρμογή-πελάτη Fabric) για αυτές τις εμβέλειες.

Μπορείτε να βρείτε τα αναγνωριστικά εφαρμογών αυτών των εφαρμογών στην περιοχή Microsoft Power BI και υπηρεσία Power BI.

Δείτε πώς θα πρέπει να εμφανίζεται στην εφαρμογή σας η ενότητα Έκθεση API . Σε αυτό το παράδειγμα, το ID URI είναι api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample:

Δημιουργία μυστικού κωδικού για την εφαρμογή σας

Στην περιοχή Πιστοποιητικά και μυστικά, επιλέξτε την καρτέλα Μυστικά και προσθέστε έναν μυστικό κωδικό. Δώστε του οποιοδήποτε όνομα θέλετε και αποθηκεύστε το. Χρησιμοποιήστε αυτόν τον μυστικό κωδικό κατά τη ρύθμιση παραμέτρων του δείγματος παρασκηνίου.

Προσθήκη προαιρετικής αξίωσης "idtyp"

Στην περιοχή Ρύθμιση παραμέτρων διακριτικού, επιλέξτε Προσθήκη προαιρετικής αξίωσης. Επιλέξτε Διακριτικό πρόσβασης και προσθέστε idtyp.

Προσθήκη δικαιωμάτων API

Στην περιοχή Δικαιώματα API, προσθέστε τα επιθυμητά δικαιώματα για την εφαρμογή σας. Για το δείγμα παρασκηνίου, προσθέστε τις user_impersonation χώρου αποθήκευσης (για API OneLake) και Power BI Workspace.Read.all (για API ελέγχου φόρτου εργασίας):

Βεβαιωθείτε ότι η εφαρμογή σας έχει οριστεί για εργασία με διακριτικό ελέγχου ταυτότητας v1

Στην περιοχή Διακήρυξη, βεβαιωθείτε ότι accessTokenAcceptedVersion έχει οριστεί σε null ή "1".

Ρυθμίστε αυτόματα τις παραμέτρους της εφαρμογής σας στην ταυτότητα Microsoft Entra χρησιμοποιώντας μια δέσμη ενεργειών

Για μια βελτιωμένη ρύθμιση της εφαρμογής σας στην ταυτότητα Microsoft Entra, μπορείτε να επιλέξετε να χρησιμοποιήσετε μια αυτοματοποιημένη δέσμη ενεργειών PowerShell. Ακολουθήστε τα παρακάτω βήματα για να ρυθμίσετε τις παραμέτρους της εφαρμογής σας:

1. Εγκατάσταση του Azure CLI: Ξεκινήστε εγκαθιστώντας το περιβάλλον εργασίας γραμμής εντολών Azure (CLI) Εγκαταστήστε το Azure CLI για Windows | Microsoft Learn2.
2. Εκτελέστε τη δέσμη ενεργειών CreateDevAADApp.ps1: Εκτελέστε τη δέσμη ενεργειών CreateDevAADApp. Θα σας ζητηθεί να εισέλθετε χρησιμοποιώντας τα διαπιστευτήρια του λογαριασμού χρήστη στον οποίο σκοπεύετε να δημιουργήσετε την εφαρμογή.
3. Παροχή απαιτούμενων πληροφοριών: Όταν σας ζητηθεί, εισαγάγετε το επιθυμητό όνομα για την εφαρμογή σας, το όνομα φόρτου εργασίας (πρόθεμα "Org.") και το αναγνωριστικό μισθωτή σας.

Κατά την επιτυχή εκτέλεση της δέσμης ενεργειών, θα εξάγει όλες τις απαραίτητες λεπτομέρειες για να ρυθμίσετε τις παραμέτρους του φόρτου εργασίας σας. Επιπλέον, θα παρέχει μια απευθείας διεύθυνση URL για την εφαρμογή σας και μια διεύθυνση URL συγκατάθεσης διαχειριστή για εξουσιοδότηση εφαρμογής σε όλο τον μισθωτή.

Παράδειγμα χρήσης

Για να δημιουργήσετε μια εφαρμογή με το όνομα "myWorkloadApp" με το όνομα φόρτου εργασίας "Org.Myworkload" για τον καθορισμένο μισθωτή, εκτελέστε την ακόλουθη εντολή στο PowerShell:

powershell .\CreateDevAADApp.ps1 -applicationName "myWorkloadApp" -workloadName "Org.Myworkload" -tenantId "cb1f79ad-7930-43c0-8d84-c1bf8d15c8c7"

Αυτό το παράδειγμα παρουσιάζει τον τρόπο χρήσης της CreateDevAADApp.ps1 δέσμης ενεργειών με ορίσματα γραμμής εντολών για την αυτοματοποίηση της διαδικασίας ρύθμισης εφαρμογής. Το παρεχόμενο αναγνωριστικό μισθωτή είναι ένα παράδειγμα και θα πρέπει να αντικατασταθεί με το πραγματικό αναγνωριστικό μισθωτή.

Ρύθμιση παραμέτρων του φόρτου εργασίας σας (παρασκηνίου)

1. Στο δείγμα παρασκηνίου, μεταβείτε src/appsettings.json στο αρχείο στο αποθετήριο δεδομένων και ρυθμίστε τις παραμέτρους:

   • PublisherTenantId: Το αναγνωριστικό μισθωτή του εκδότη
   • ClientId: Το αναγνωριστικό εφαρμογής σας (μπορείτε να το βρείτε στο Αναγνωριστικό Entra της Microsoft στην ενότητα επισκόπησης).
   • ClientSecret: Ο μυστικός κωδικός που δημιουργήσατε κατά τη ρύθμιση παραμέτρων της εφαρμογής Entra.
   • Audience: Το URI αναγνωριστικού που ρυθμίσαμε στην εφαρμογή Entra.

2. Ρυθμίστε τις παραμέτρους του workloadManifest.xml σας. src/Packages/manifest/files/WorkloadManifest.xml Μεταβείτε στο αρχείο στο αποθετήριο δεδομένων και ρυθμίστε τις παραμέτρους του AppId, redirectUri και ResourceId (URI αναγνωριστικού) στην περιοχή AADApps.

<AADApp>
    <AppId>YourApplicationId</AppId>
    <RedirectUri>YourRedirectUri</RedirectUri>
    <ResourceId>YourResourceId</ResourceId>
</AADApp>

Ρυθμίστε τις παραμέτρους της τοπικής διακήρυξης φόρτου εργασίας και απόκτηση διακριτικού για την εφαρμογή σας (frontend)

Σημείωμα

Αυτό το βήμα ισχύει μόνο για το σενάριο devmode.

Μετά τη ρύθμιση παραμέτρων της εφαρμογής σας, ενημερώστε τις παρακάτω ρυθμίσεις παραμέτρων στο .env.dev αρχείο ρύθμισης παραμέτρων που βρίσκεται στον φάκελο Προσκηνίου:

"DEV_AAD_CONFIG_AUDIENCE": "", // The ID URI configured in your application for developer scenario

"DEV_AAD_CONFIG_REDIRECT_URI": "http://localhost:60006/close", // or the path you configured in index.ts

"DEV_AAD_CONFIG_APPID": "" // your app Id

Αίτηση για διακριτικό και συγκατάθεση της εφαρμογής

Σημείωμα

Αυτό το βήμα είναι απαραίτητο για να λειτουργήσει το CRUD/Jobs.

1. Εκτελέστε το δείγμα προσκηνίου και δημιουργήστε ένα δείγμα στοιχείου.

2. Κάντε κύλιση προς τα κάτω και επιλέξτε Μετάβαση στη σελίδα ελέγχου ταυτότητας.

   

3. Ελέγξτε την αρχική συγκατάθεση αίτησης και επιλέξτε Λήψη διακριτικού πρόσβασης. Αυτό θα πρέπει να ενεργοποιεί μια συγκατάθεση για την εφαρμογή σας:

   

Αυτή η συγκατάθεση περιλαμβάνει τις εξαρτήσεις που προσθέσατε προηγουμένως στην περιοχή Προσθήκη δικαιωμάτων API.

Τώρα, μπορείτε να κάνετε τις ακόλουθες εργασίες:

• Εργαστείτε με λειτουργίες CRUD/Jobs.
• Λάβετε ένα διακριτικό πρόσβασης για την εφαρμογή σας στην πλευρά του προγράμματος-πελάτη.
• Χρησιμοποιήστε τη σελίδα ελέγχου ταυτότητας στο δείγμα προσκηνίου ως παιδική χαρά για να καλέσετε τα API φόρτου εργασίας σας.
• Δείτε τι API προσφέρει το δείγμα παρασκηνίου στο Παρασκήνιο/src/controllers.