Jagamisviis:

Azure’i hallatavate identiteetide kasutamine Azure’i andmejärve salvestusruumiga

  • Artikkel

Azure Data Lake Storage pakub kihilist turbemudelit. See mudel võimaldab teil kaitsta ja kontrollida juurdepääsu oma salvestusruumikontodele, mida teie rakendused ja ettevõttekeskkonnad nõuavad, lähtudes kasutatavate võrkude või ressursside tüübist ja alamhulgast. Kui võrgureeglid on konfigureeritud, pääsevad salvestusruumikontole juurde ainult need rakendused, mis taotlevad andmeid määratud võrgukogumi või määratud Azure’i ressursside kogumi kaudu. Saate piirata juurdepääsu oma salvestusruumikontole taotlustega, mis pärinevad määratud IP-aadressidest, IP-vahemikest, Azure’i virtuaalvõrgu (VNet) alamvõrkudest või mõne Azure’i teenuse ressursieksemplaridest.

Azure’i hallatavad identiteedid, varem tuntud kui hallatud teenuseidentiteet (MSI), aitavad saladusi hallata. Microsoft Dataverse Azure’i võimalusi kasutavad kliendid loovad hallatava identiteedi (osa ettevõtte poliitika loomisest), mida saab kasutada ühes või mitmes Dataverse keskkonnas. Seda hallatavat identiteeti, mis teie rentnikus ette valmistatakse, kasutatakse Dataverse seejärel teie Azure’i andmejärvele juurdepääsemiseks.

Hallatud identiteetide puhul on juurdepääs salvestusruumikontole piiratud taotlustega, mis pärinevad rentnikuga seotud keskkonnast Dataverse . Kui Dataverse loote teie nimel salvestusruumiga ühenduse, sisaldab see täiendavat kontekstiteavet, et tõestada, et taotlus pärineb turvalisest ja usaldusväärsest keskkonnast. See võimaldab salvestusruumil anda Dataverse juurdepääsu teie salvestusruumikontole. Hallatavaid identiteete kasutatakse kontekstiteabe allkirjastamiseks, et luua usaldus. See lisab lisaks Azure’i pakutavale võrgu- ja taristuturbele Azure’i teenuste vaheliste ühenduste jaoks ka rakendustaseme turbe.

Enne alustamist

  • Azure CLI on teie kohalikus arvutis nõutav. Laadige alla ja installige
  • Teil on vaja neid kahte PowerShelli moodulit. Kui teil neid pole, avage PowerShell ja käivitage järgmised käsud.
    • Azure Az PowerShell module: Install-Module -Name Az
    • Azure Az.Resources PowerShell module: Install-Module -Name Az.Resources
    • Power Platform admin PowerShelli moodul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Minge sellele tihendatud kaustafailile GitHubis. Seejärel valige selle allalaadimiseks Laadi alla . Ekstraktige tihendatud kaustafail arvutisse, mis asub kohas, kus saate PowerShelli käske käivitada. Kõik tihendatud kaustast ekstraktitud failid ja kaustad tuleks säilitada nende algses asukohas.
  • Soovitame selle funktsiooni kasutuselevõtuks luua sama Azure’i ressursirühma alla uue salvestuskonteineri.

Ettevõttepoliitika lubamine valitud Azure’i kordustellimuse jaoks

Oluline

Selle toimingu tegemiseks peab teil olema Azure’i tellimuse omaniku rollijuurdepääs. Hankige oma Azure’i tellimuse ID Azure’i ressursirühma ülevaatelehelt.

  1. Avage Azure CLI, kus kasutate administraatorit, ja logige oma Azure’i tellimusse sisse käsuga: az login Lisateave: logige sisse Azure CLI-ga
  2. (Valikuline) kui teil on mitu Azure’i tellimust, käivitage Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } kindlasti vaiketellimuse värskendamine.
  3. Laiendage tihendatud kausta, mille laadisite alla funktsiooni Enne alustamist osana , asukohta, kus saate PowerShelli käivitada.
  4. Valitud Azure’i tellimuse ettevõttepoliitika lubamiseks käivitage PowerShelli skript ./SetupSubscriptionForPowerPlatform.ps1.
    • Sisestage Azure’i tellimuse ID.

Ettevõtte poliitika loomine

Oluline

Selle ülesande täitmiseks peab teil olema Azure’i ressursirühma omaniku rollijuurdepääs. Hankige oma Azure’i tellimuse ID, asukoht ja ressursirühma nimi Azure’i ressursirühma ülevaatelehelt.

  1. Looge ettevõtte poliitika. Käivitage PowerShelli skript ./CreateIdentityEnterprisePolicy.ps1

    • Sisestage Azure’i tellimuse ID.
    • Sisestage Azure’i ressursirühma nimi.
    • Sisestage eelistatud ettevõtte poliitika nimi.
    • Sisestage Azure’i ressursirühma asukoht.

  2. Salvestage ResourceId koopia pärast poliitika loomist.

Märkus.

Järgmised on kehtivad asukohasisendid , mida poliitika loomiseks toetatakse. Valige asukoht, mis on teile kõige sobivam.

Ettevõtte poliitika jaoks saadaolevad asukohad

Ameerika Ühendriikide EUAP

Ameerika Ühendriigid

Lõuna-Aafrika

Ühendkuningriigid

Austraalia

Korea

Jaapan

India

Prantsusmaa

Euroopa

Aasia

Norra

Saksamaa

Šveits

Kanada

Brasiilia

AÜE

Singapur

Andke lugejale Azure’i kaudu juurdepääs ettevõttepoliitikale

Dynamics 365 administraatorid ja Power Platform administraatorid pääsevad juurde halduskeskusele Power Platform , et määrata ettevõttepoliitikale keskkondi. Ettevõtte poliitikatele juurdepääsemiseks on vajalik Azure’i võtmehoidla administraatori liikmesus, et anda Dynamics 365 või administraatorile roll Power Platform Reader. Kui lugejaroll on antud, näevad Dynamics 365 või Power Platform administraatorid halduskeskuses ettevõtte poliitikaid Power Platform .

Ainult Dynamics 365 ja Power Platform administraatorid, kellele anti ettevõtte poliitikale lugejaroll, saavad poliitikale keskkonda lisada. Teised Dynamics 365 ja PowerPlatformi administraatorid võivad küll ettevõtte poliitikat vaadata, kuid nad saavad keskkonna lisamisel tõrketeate.

Oluline

Selle toimingu tegemiseks peavad teil olema Microsoft.Authorization/roleAssignments/write õigused (nt kasutaja juurdepääsuadministraator või omanik ).

  1. Logige sisse Azure’i portaali.
  2. Hankige Dynamics 365 Power Platform administraatori kasutaja ObjectID .
    1. Minge kasutajate alale .
    2. Avage Dynamics 365 või Power Platform administraatori kasutaja.
    3. Kopeerige kasutaja ülevaatelehel ObjectID .
  3. Ettevõtte poliitikate ID hankimine:
    1. Avage Azure Resource Graph Explorer.
    2. Käivitage see päring. resources | where type == 'microsoft.powerplatform/enterprisepolicies'Päringu käivitamine Azure Resource Graph Explorerist
    3. Liikuge kerides tulemuste lehest paremale ja valige link Kuva üksikasjad .
    4. Kopeerige lehel Üksikasjad ID.
  4. Avage Azure CLI ja käivitage järgmine käsk, asendades selle <objId> kasutaja ObjectID ja <EP Resource Id> ettevõtte poliitika ID-ga.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Ettevõttepoliitika ühendamine keskkonnaga Dataverse

Oluline

Selle toimingu tegemiseks peab teil olema Power Platform administraatori või Dynamics 365 administraatori roll. Selle ülesande täitmiseks peab teil olema ettevõtte poliitika jaoks lugejaroll .

  1. Hankige Dataverse keskkonna ID.
    1. Logige sisse Power Platform halduskeskusesse.
    2. Valige Keskkonnad ja seejärel avage oma keskkond.
    3. Kopeerige jaotises Üksikasjad keskkonna ID.
    4. Keskkonnaga Dataverse linkimiseks käivitage see PowerShelli skript: ./NewIdentity.ps1
    5. Sisestage Dataverse keskkonna ID.
    6. Sisestage ResourceId.
      StatusCode = 202 näitab, et link on edukalt loodud.
  2. Logige sisse Power Platform halduskeskusesse.
  3. Valige Keskkonnad ja seejärel avage varem määratud keskkond.
  4. Uue identiteedi ühenduse valideerimiseks valige alal Hiljutised toimingud suvand Täielik ajalugu .

Gen2-le Azure Data Lake Storage võrgule juurdepääsu konfigureerimine

Oluline

Selle ülesande täitmiseks peab teil olema Azure Data Lake Storage Gen2 omaniku roll.

  1. Avage Azure’i portaal.

  2. Avage oma Azure Synapse Link for Dataverse profiiliga ühendatud salvestusruumikonto.

  3. Tehke vasakpoolsel navigeerimispaanil valik Võrgundus. Seejärel valige vahekaardil Tulemüürid ja virtuaalsed võrgud järgmised sätted.

    1. Lubatud valitud virtuaalsetest võrkudest ja IP-aadressidest.
    2. Tehke jaotises Ressursieksemplarid usaldusväärsete teenuste loendis valik Luba Azure’i teenustele juurdepääs sellele salvestusruumikontole

  4. Valige käsk Salvesta.

Tööruumile Azure Synapse võrgule juurdepääsu konfigureerimine

Oluline

Selle ülesande täitmiseks peab teil olema Azure Synapse administraatori roll.

  1. Avage Azure’i portaal.
  2. Avage Azure Synapse oma Azure Synapse Link for Dataverse profiiliga ühendatud tööruum.
  3. Tehke vasakpoolsel navigeerimispaanil valik Võrgundus.
  4. Valige Luba Azure’i teenustel ja ressurssidel sellele tööruumile juurde pääseda.
  5. Kui kogu IP-vahemiku jaoks on loodud IP-tulemüüri reeglid , kustutage need, et piirata juurdepääsu avalikule võrgule. Azure Synapse Tööruumi võrgu sätted
  6. Lisage kliendi IP-aadressi põhjal uus IP-tulemüüri reegel .
  7. Kui olete lõpetanud, valige Salvesta . Lisateave: Azure Synapse Analytics IP-tulemüüri reeglid

Oluline

Dataverse: Teil peab olema Dataverse süsteemiadministraator turberoll. Lisaks peab tabelites, mille kaudu Azure Synapse Link soovite eksportida, olema lubatud atribuut Muutuste jälitus . Lisateave: Täpsemad suvandid

Azure Data Lake Storage Gen2: teil peab olema Azure Data Lake Storage Gen2 konto ning omaniku ja salvestusruumi bloobiandmete kaasautori rolli juurdepääs. Teie salvestusruumikonto peab lubama hierarhilise nimeruumi nii algse seadistamise kui ka delta sünkroonimise jaoks. Luba salvestusruumi konto võtmele juurdepääs on vajalik ainult algseks seadistamiseks.

Synapse tööruum: teil peab Synapse Studios olema Synapse tööruum ja Synapse administraatori rolli juurdepääs. Synapse tööruum peab olema samas piirkonnas, kus teie Azure Data Lake Storage Gen2 konto. Salvestusruumi konto tuleb lisada Synapse Studios lingitud teenusena. Synapse’i tööruumi loomiseks minge jaotisse Sünapsi tööruumi loomine.

Kui loote lingi, Azure Synapse Link for Dataverse saate üksikasju praegu lingitud ettevõttepoliitika Dataverse kohta keskkonnas ja salvestab seejärel identiteedikliendi salajase URL-i vahemällu, et luua ühendus Azure’iga.

  1. Logige sisse Power Apps ja valige oma keskkond.
  2. Valige vasakpoolsel navigeerimispaanil Azure Synapse Link link ja seejärel valige + Uus link. Kui üksust pole külgpaneeli paanil, valige ... Veel ja seejärel valige soovitud üksus.
  3. Täitke vastavad väljad vastavalt kavandatud seadistusele. Valige tellimus , ressursirühm ja salvestusruumikonto. Synapse tööruumiga ühenduse loomiseks Dataverse valige suvand Loo ühendus oma Azure Synapse tööruumiga . Delta Lake’i andmete teisendamiseks valige Sparki bassein.
  4. Valige Valitud ettevõtte poliitika koos hallatava teenuse identiteediga ja seejärel valige Edasi.
  5. Lisage tabelid, mida soovite eksportida, ja seejärel valige Salvesta.

Märkus.

Käsu Kasuta hallatavat identiteeti kättesaadavaks tegemiseks Power Appspeate ülaltoodud seadistuse lõpule viima, et ühendada ettevõttepoliitika oma Dataverse keskkonnaga. Lisateave: Ettevõtte poliitika ühendamine keskkonnaga Dataverse

  1. Minge olemasolevale Synapse Link profiilile from Power Apps (make.powerapps.com).
  2. Valige Kasuta hallatavat identiteeti ja seejärel kinnitage. Hallatava identiteedi käsu kasutamine Power Apps

Tõrkeotsing

Kui saate lingi loomise ajal 403 viga, toimige järgmiselt.

  • Hallatavatel identiteetidel kulub esialgse sünkroonimise ajal mööduva loa andmiseks rohkem aega. Andke sellele aega ja proovige operatsiooni hiljem uuesti.
  • Veenduge, et lingitud salvestusruumis poleks samast keskkonnast pärit Dataverse olemasolevat konteinerit (dataverse-environmentName-organizationUniqueName).
  • Saate tuvastada lingitud ettevõtte poliitika ja policyArmId käivitada PowerShelli skripti ./GetIdentityEnterprisePolicyforEnvironment.ps1 Azure’i tellimuse ID ja ressursirühma nimega.
  • Saate tühistada ettevõttepoliitika linkimise, käivitades PowerShelli skripti ./RevertIdentity.ps1 keskkonna ID-ga Dataverse ja policyArmId.
  • Ettevõtte poliitika eemaldamiseks käivitage PowerShelli skript .\RemoveIdentityEnterprisePolicy.ps1 rakendusega policyArmId.

Teadaolev piirang

Ainult üks ettevõtte poliitika saab keskkonnaga Dataverse samaaegselt ühenduse luua. Kui teil on vaja luua mitu Azure Synapse Link linki, kus hallatud identiteet on lubatud, veenduge, et kõik lingitud Azure’i ressursid kuuluksid samasse ressursirühma.

Vaata ka

Mis see on Azure Synapse Link for Dataverse?