Palvelun päänimet Fabric-tietovarastossa

koskee seuraavia:✅ Warehouse Microsoft Fabricissa

Azure-palvelun päänimi (SPN) on suojausidentiteetti, jota sovellukset tai automaatiotyökalut käyttävät tiettyjen Azure-resurssien käyttämiseen.

Palvelun päänukset edustavat vuokraajan sovellusobjekteja ja toimivat sovellusten esiintymien käyttäjätietona, ja ne ottavat tehtäväkseen näiden sovellusten todentamisen ja valtuutuksen. Toisin kuin käyttäjätiedot, palvelun päänimet ovat ei-vuorovaikutteisia, sovelluspohjaisia käyttäjätietoja, joille voidaan määrittää tarkat käyttöoikeudet. Tämä tekee niistä täydellisiä automaattisia prosesseja tai taustapalveluja varten. Palvelujen päänimien avulla voit muodostaa yhteyden tietolähteisiin turvallisesti ja minimoida samalla inhimillisten virheiden ja käyttäjätietopohjaisten haavoittuvuuksien riskit. Lisätietoja palvelun päänimistä on artikkelissa Sovelluksen ja palvelun päänimen objektit Microsoft Entra ID -.

Edellytykset

Luo palvelun päänimi, määritä rooleja ja salaisuus Azuren avulla.

Note

Service Principal (SPN) -hallinta on osa Entra ID:n hallinnointitehtäviä. Entra ID -järjestelmänvalvojan on annettava sinulle tarvittavat palvelun päänimen tunnistetiedot (sovellustunnus, salaisuus ja vuokraajan tunnus).
Varmista, että vuokraajan järjestelmänvalvoja voi ottaa käyttöön Palvelun päänimet voivat käyttää Fabric-ohjelmointirajapintoja Fabric Admin -portaalissa.
Varmista, että käyttäjä, jolla on järjestelmänvalvojan työtilaroolin voi myöntää spn:lle käyttöoikeuden Käyttöoikeuksien hallinta kautta työtilassa.

Luo ja käytä varastoja REST-ohjelmointirajapintojen kautta palvelun päänimen avulla

Käyttäjät, joilla on järjestelmänvalvojan, jäsenen tai osallistujan työtilaroolin, voivat käyttää palvelun päänimiä todentamiseen luodakseen, päivittääkseen, lukeakseen ja poistaakseen Varasto-kohteita Fabric REST -ohjelmointirajapintojenkautta. Näin voit automatisoida toistuvia tehtäviä, kuten varastojen valmistelua tai hallintaa, käyttämättä käyttäjän tunnistetietoja.

Jos käytät delegoitua tiliä tai kiinteää identiteettiä (omistajan identiteettiä) varaston luomiseen, varasto käyttää kyseistä tunnistetietoa OneLakea käytettäessä. Tämä aiheuttaa ongelman, kun omistaja poistuu organisaatiosta, koska varasto lakkaa toimimasta. Voit välttää tämän luomalla varastoja käyttämällä palvelun päänimeä.

Fabric edellyttää myös, että käyttäjä kirjautuvat sisään 30 päivän välein sen varmistamiseksi, että voimassa oleva tunnus annetaan turvallisuussyistä. Tietovarastoa varten omistajan on kirjauduttava Fabriciin 30 päivän välein. Tämä voidaan automatisoida käyttämällä palvelun päänimeä ja List -ohjelmointirajapintaa.

SPN:n REST-ohjelmointirajapintoja käyttämällä luomat varastot näytetään Fabric-portaalin Työtila-luettelonäkymässä, jolloin Owner palvelun päänimenä. Seuraavassa kuvassa Näyttökuva Fabric-portaalin työtilasta "Fabric Public API Test app" on palvelun päänimi, joka loi Contoso Marketing Warehousen.

Asiakassovelluksiin yhdistäminen PALVELUN PÄÄNIMEN avulla

Voit muodostaa yhteyden Fabric-varastoihin käyttämällä palvelun päänimiä työkaluilla, kuten SQL Server Management Studio (SSMS) 19 tai uudemmalla versiolla.

todentamisen: Microsoft Entra -palvelun päänimi
Käyttäjänimi: Palvelun päänimen sovellustunnus (luotu Azuren kautta)
Salasana: Salainen (luotu Azuren kautta)

Hallitse tason käyttöoikeuksia

Palvelun päänimelle voidaan myöntää käyttöoikeus varastoihin käyttämällä työtilarooleja, jotka, kautta Käytön hallinta työtilassa. Lisäksi varastot voidaan jakaa palvelun päänimen kanssa Fabric-portaalin kautta Kohteen käyttöoikeudet -kautta.

Tietotason käyttöoikeudet

Kun varastoille on annettu tason käyttöoikeudet palvelun päänimeen työtilaroolien tai nimike-käyttöoikeuksien kautta, järjestelmänvalvojat voivat määrittää T-SQL-komennoilla, kuten GRANT, tiettyjä tietotason käyttöoikeuksia palvelun päänimille, jotta he voivat hallita tarkasti, mihin metatietoihin tai tietoihin ja toimintoihin SPN:llä on käyttöoikeus. Tätä suositellaan vähiten etuoikeutta koskevan periaatteen noudattamiseksi.

Esimerkiksi:

GRANT SELECT ON <table name> TO <service principal name>;

Kun käyttöoikeudet on myönnetty, palvelun päänimet voivat muodostaa yhteyden asiakassovellustyökaluihin, kuten SSMS:ään, mikä tarjoaa kehittäjille suojatun pääsyn suorittamiseen COPY INTO (palomuuria käyttävän tallennustilan kanssa ja ilman) sekä minkä tahansa T-SQL-kyselyn suorittamiseen ohjelmallisesti aikataulun mukaan Data Factory -putkien avulla.

Monitori

Kun palvelun päänimi suorittaa kyselyjä varastossa, käytettävissä on useita valvontatyökaluja, jotka antavat näkyvyyden kyselyn suorittamattomalle käyttäjälle tai palvelun päänimelle. Löydät käyttäjän kyselytoimintoja varten seuraavilla tavoilla:

Dynaamiset hallintanäkymät (DMV) -: login_name sarake sys.dm_exec_sessions.
Query Insights: login_name sarake queryinsights.exec_requests_history näkymässä.
Kyselyaktiviteetin: submitter -sarake Fabric-kyselytoiminnassa.
Capacity Metrics -sovelluksen: PALVELUN PÄÄNIMEN suorittamien varastotoimintojen käsittelykäyttö näkyy asiakastunnuksena Käyttäjä -sarakkeessa Taustatoiminnot-porautumistaulukossa.

Katso lisätietoja artikkelista Monitor Fabric Data Warehouse.

Haltuunoton ohjelmointirajapinta

Varastojen omistajuus voidaan muuttaa palvelun päänimestä käyttäjäksi ja käyttäjästä palvelun päänimeksi.

Haltuunotto palvelun pääkäyttäjältä tai käyttäjältä käyttäjälle: Katso Fabric Warehousen omistajuuden muuttaminen PowerShellin avulla.
- Palvelun päänimeä (SPN) ei voi määrittää omistajaksi Fabric-portaalin kautta, käytä PowerShelliä.
Haltuunotto SPN:stä tai käyttäjästä PALVELUN PÄÄNIMEen: Käytä POST-kutsua REST-ohjelmointirajapinnassa.
```
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
```

Tunnuksen uusimis- ja alustusvaatimukset

Palvelun päänimet edellyttävät tunnuksen uusimista 30 päivän välein suojaussyistä. Fabric ei tue palvelun päänimien vuorovaikutteista todennusta, joten on paras käytäntö automatisoida uusiminen OAuth 2.0 -asiakastunnistetietojen työnkulun avulla.

Nopeaa testausta varten voit myös hankkia haltijatunnuksen manuaalisesti selaimen kehittäjätyökalujen, Azure CLI:n tai PowerShellin avulla ja vahvistaa sen Fabric REST -ohjelmointirajapinnan avulla.

Miksi alustus vaaditaan

Microsoft Fabricissa on kaksi erillistä tasoa:

Ohjaustaso – Käsittelee todennuksen, valtuutuksen ja resurssien hallinnan (kuten työtilat, kohteet ja roolit). Kaikkien identiteettien on ensin luotava tunnukset tähän.
Tietotaso – Suorittaa kyselyitä ja tietojen siirtoa (kuten COPY INTO tai OPENROWSET). Perustuu ohjaustason jo myöntämiin validoituihin tokeneihin.

Vuorovaikutteisille käyttäjille Fabric-portaali alustaa automaattisesti ohjaustason tunnuksen. Palvelun päänimet eivät kuitenkaan voi kirjautua sisään Fabric-portaalin kautta, joten heillä ei ole mahdollisuutta käynnistää Fabric-tunnuksia implisiittisesti. Sen sijaan palvelun pääsanojen on luotava tai päivitettävä Fabric-tunnuksensa eksplisiittisesti ohjelmointirajapintakutsujen kautta.

Uusien palvelun päänimien alkuperäinen tunnusvaatimus

Äskettäin luoduille palvelun päänimille sinun on luotava alkuperäinen Fabric-suojaustunnus kirjautumalla sisään Fabricin REST-ohjelmointirajapinnan kautta. Ennen kuin suojaustunnus on luotu, näyttöön tulee virhesanomia, jotka liittyvät tiedostoihin, joita ei ole olemassa tai käyttöoikeuksia ei myönnetä, vaikka palvelun päänimellä on tiedoston käyttöoikeudet.

Yhteyden muodostaminen varastoon SQL-analytiikan päätepisteen yhteysmerkkijonon kautta ei luo Fabric-tunnuksia palvelun pääkäyttäjätunnukselle. Ensimmäinen onnistunut ohjelmointirajapintakutsu palvelun päänimen kanssa muodostaa tunnuksen Fabricissa.

Tämä alustusvaihe on erityisen tärkeä tilanteissa, joissa palvelun päänimen on käytettävä ulkoista tallennustilaa komennoilla, COPY INTO kuten tai OPENROWSET. Ilman tätä tunnuksen käynnistystä palvelun päänimen Fabric Warehouse -kyselyt eivät todennu ulkoista tallennustilaa vastaan.

Voit testata manuaalisesti tunnuksen luontia ja ohjelmointirajapinnan yhteyttä Azure CLI:ssä.

Asenna Azure CLI (jos sinulla ei ole sitä asennettuna, lataa ja asenna Azure CLI.
Muuta todennettu istunto palvelun päämäärityksen avulla Azure CLI:n avulla.
```
az login --service-principal `
   -u <APP_ID> `
   -p <SECRET> `
   --tenant <TENANT_ID>
```
Anna komentosarjan paikkamerkeille seuraavat tiedot:
- <APP_ID> - Palvelun päänimen sovellustunnus.
- <SECRET> - palvelun päänimen asiakassalaisuus.
- <TENANT_ID> - Määritä Microsoft Fabric -vuokraajatunnuksesi.

Hae Power BI -haltijatunnuksesi muuttujaan $accessToken .

$accessToken = az account get-access-token `
--resource https://api.fabric.microsoft.com `
--query accessToken -o tsv

Kutsu mihin tahansa julkiseen Fabric-ohjelmointirajapintaan muodostaa tunnuksen palvelun päänimelle Fabric-ohjauskoneessa. Esimerkiksi tämä yksinkertainen ohjelmointirajapintakutsu työtilan kohteiden luetteloimiseksi:
```
$workspaceId = "<WORKSPACE_GUID>"
$url = "https://api.fabric.microsoft.com/v1/workspaces/$workspaceId/items"
$headers = @{ Authorization = "Bearer $accessToken" }
Invoke-RestMethod -Method GET -Uri $url -Headers $headers
```
Anna komentosarjan paikkamerkeille seuraavat tiedot:
- <WORKSPACE_GUID> Helpoin tapa löytää työtilan tunnus on työtilan kohteen Fabric-sivuston URL-osoite. Kuten Power BI:ssä, Fabricin URL-osoite sisältää työtilan tunnuksen, joka on yksilöllinen tunnus URL-osoitteen jälkeen /groups/ , esimerkiksi: https://powerbi.com/groups/11aa111-a11a-1111-1abc-aa1111aaaa/.... Vaihtoehtoisesti löydät työtilan tunnuksen Power BI -hallintaportaalin asetuksista valitsemalla työtilan nimen vierestä Tiedot .
Palvelun päänimi käynnistetään nyt Fabric-suojaustunnuksella 30 päivän ajan.
Tallenna salaisuudet automaatiota varten Azure Key Vaultiin ja kerää salaisuus Azure Key Vaultista. Sinun on az login käytettävä käyttäjätietoja, jotka voivat lukea Key Vault salaisuuksia (RBAC tai käyttöoikeuskäytäntö). Parametroimalla sovellustunnuksen, salaisuuden, vuokraajan tunnuksen, työtilan tunnuksen ja haltijatunnuksen voit käyttää näitä arvoja uudelleen komentosarjoissa tai automaatioputkissa kirjoittamatta kutakin komentoa uudelleen.

Määritä esimerkiksi salaisuus muuttujalle ja vältä salasanan tallentamista pelkkänä tekstinä:
```
$spnSecret = az keyvault secret show ` 
--vault-name <KEYVAULT_NAME> ` 
--name <SECRET_NAME> ` 
--query value -o tsv 

az login --service-principal ` 
-u <APP_ID> ` 
-p $spnSecret ` 
--tenant <TENANT_ID> 
```
Tallentamalla salaisuudet Azure Key Vaultiin ja parametroimalla sovellustunnuksen, salaisuuden, vuokraajatunnuksen, työtilan tunnuksen ja haltijatunnuksen voit käyttää näitä arvoja uudelleen komentosarjoissa tai automaatioputkissa kirjoittamatta kutakin komentoa uudelleen.
Toista sitten yllä oleva vaihe luodaksesi tunnuksen palvelun päänimelle Fabric REST API -kutsulla.

Rajoitukset

Microsoft Fabric Data Warehouse -palvelun päänimien rajoitukset:

Palvelun päänimen tai Entra-tunnuksen tunnistetietoja ei tällä hetkellä tueta KOPIOIMINEN virhetiedostoihin -toiminnossa.
Palvelun päänimiä ei tueta GIT-ohjelmointirajapinnoille. Palvelun päänimen tuki on olemassa vain käyttöönottoputken ohjelmointirajapinnoille.
Palvelun päänimillä ei tällä hetkellä ole oikeutta suorittaa DCL-toimintoja varastossa. Tämä sisältää GRANT- REVOKE, - ja DENY -komennot riippumatta kohdeobjektin olemassaolosta.
Palvelun päänimet eivät voi käynnistää toimintoja, joiden tuloksena käyttäjätiedot luodaan automaattisesti tietovarastoon. Tämä sisältää tilanteita, joissa järjestelmä yleensä yrittää luoda käyttäjän osana toimintoa. Implisiittisen käyttäjän luonnin käynnistämiä toimintoja ovat esimerkiksi seuraavat:
- ALTER USER ... WITH DEFAULT_SCHEMA
- ALTER ROLE ... ADD MEMBER

Items – Create Warehouse – REST API (Warehouse)
Data Factory palvelun päänimen tuki

Palaute

Onko tästä sivusta apua?

Last updated on 2025-09-09