Partager votre entrepôt et gérer les autorisations

  • Article

S'applique à :Entrepôt et Base de données miroir dans Microsoft Fabric

Le partage est un moyen pratique de fournir aux utilisateurs un accès en lecture à votre entrepôt pour une consommation en aval. Le partage permet aux utilisateurs en aval de votre organisation de consommer un entrepôt à l’aide de SQL, Spark ou Power BI. Vous pouvez personnaliser le niveau d’autorisations accordé au destinataire partagé pour fournir le niveau d’accès approprié.

Remarque

Vous devez être administrateur ou membre de votre espace de travail pour partager un entrepôt dans Microsoft Fabric.

Bien démarrer

Après avoir identifié l’entrepôt que vous souhaitez partager avec un autre utilisateur dans votre espace de travail Fabric, sélectionnez l’action rapide dans la ligne pour partager un entrepôt.

Le gif animé suivant passe en revue les étapes permettant de sélectionner un entrepôt à partager, de sélectionner les autorisations à attribuer, et enfin d’accorder les autorisations à un autre utilisateur.

Gif animé montrant l’interaction avec le portail Fabric où un utilisateur partage un entrepôt dans Microsoft Fabric avec un autre utilisateur.

Vous pouvez partager votre entrepôt à partir du hub de données OneLake ou du Data Warehouse Synapse en choisissant Partager à partir d’action rapide, comme mis en évidence dans l’image suivante.

Capture d’écran montrant comment partager un entrepôt dans la page du hub de données OneLake.

Partager un entrepôt

Vous êtes invité à choisir les personnes avec lesquelles vous souhaitez partager l’entrepôt, les autorisations à leur accorder et si elles seront averties par e-mail. Une fois que vous avez renseigné tous les champs obligatoires, sélectionnez Accorder l’accès.

Voici plus de détails sur chacune des autorisations fournies :

  • Si aucune autorisation supplémentaire n’est sélectionnée : le destinataire partagé par défaut reçoit l’autorisation « Lecture », qui permet uniquement au destinataire de se connecter au point de terminaison d’analytique SQL, ce qui équivaut aux autorisations CONNECT dans SQL Server. Le destinataire partagé ne sera pas en mesure d’interroger une table ou d’afficher ou d’exécuter une fonction ou une procédure stockée, sauf s’il dispose d’un accès aux objets dans l’entrepôt à l’aide de l’instruction GRANT T-SQL.

Remarque

ReadData, ReadAll et Build sont des autorisations distinctes qui ne se chevauchent pas.

  • « Lire toutes les données en utilisant SQL » est sélectionné (autorisations « ReadData ») : le destinataire partagé peut lire tous les objets de base de données dans l’entrepôt. ReadData équivaut au rôle de db_datareader dans SQL Server. Le destinataire partagé peut lire les données de toutes les tables et vues de l’entrepôt. Si vous souhaitez restreindre davantage et fournir un accès granulaire à certains objets de l’entrepôt, vous pouvez le faire à l’aide des instructions T-SQL GRANT/REVOKE/DENY.

    • Dans le point de terminaison d’analytique SQL du Lakehouse, « Lire toutes les données de point de terminaison SQL » équivaut à « Lire toutes les données à l’aide de SQL ».

  • « Lire toutes les données à l’aide d’Apache Spark » est sélectionné (autorisations « ReadAll ») : le destinataire partagé dispose d’un accès en lecture aux fichiers parquet sous-jacents dans OneLake, qui peuvent être consommés à l’aide de Spark. ReadAll doit être fourni uniquement si le destinataire partagé souhaite un accès complet aux fichiers de votre entrepôt à l’aide du moteur Spark.

  • La case « Générer des rapports sur le jeu de données par défaut » est sélectionnée (autorisations « Générer ») : le destinataire partagé peut générer des rapports à partir du modèle sémantique par défaut connecté à votre Entrepôt. Build doit être fourni si le destinataire partagé souhaite obtenir des autorisations de génération sur le modèle sémantique par défaut pour créer des rapports Power BI sur ces données. La case Build est cochée par défaut, mais peut être décochée.

Lorsque le destinataire partagé reçoit l’e-mail, il peut sélectionner Ouvrir et accéder à page du hub de données Warehouse.

Capture d’écran montrant la notification e-mail d’un entrepôt partagé envoyée à l’utilisateur partagé.

En fonction du niveau d’accès accordé au destinataire partagé, celui-ci peut désormais se connecter au point de terminaison d’analytique SQL, interroger l’entrepôt, générer des rapports ou lire des données par le biais de Spark.

Capture d’écran du portail Fabric montrant la page « Voir ce qui existe déjà » de l’entrepôt partagé.

Autorisations ReadData

Avec les autorisations ReadData, le destinataire partagé peut ouvrir l’éditeur d’entrepôt en mode lecture seule et interroger les tables et les vues dans l’entrepôt. Le destinataire partagé peut également choisir de copier le point de terminaison d’analytique SQL fourni et de se connecter à un outil client pour exécuter ces requêtes.

Par exemple, dans la capture d’écran suivante, un utilisateur disposant des autorisations ReadData peut interroger l’entrepôt.

Capture d’écran du portail Fabric montrant qu’un utilisateur peut interroger un entrepôt partagé.

Autorisations ReadAll

Un destinataire partagé disposant des autorisations ReadAll peut trouver le chemin d’accès du Azure Blob File System (ABFS) vers le fichier spécifique dans OneLake à partir du volet Propriétés dans l’éditeur d’entrepôt. Le destinataire partagé peut ensuite utiliser ce chemin dans le Notebook Spark pour lire ces données.

Par exemple, dans la capture d’écran suivante, un utilisateur disposant des autorisations ReadAll peut interroger les données dans FactSale avec une requête Spark dans un nouveau notebook.

Capture d’écran du portail Fabric montrant un utilisateur qui ouvre un notebook Spark pour interroger le raccourci Warehouse.

Autorisations de la build

Avec les autorisations Build, le destinataire partagé peut créer des rapports basé sur le modèle sémantique par défaut connecté à l’entrepôt. Le destinataire partagé peut créer des rapports Power BI à partir du Data Hub ou faire de même à l’aide de Power BI Desktop.

Par exemple, dans la capture d’écran suivante, un utilisateur disposant des autorisations Build peut commencer à créer automatiquement un rapport Power BI basé sur l’entrepôt partagé.

Capture d’écran montrant l’interaction avec le portail Fabric, où un utilisateur peut créer automatiquement un rapport sur l’entrepôt partagé.

Gérer les autorisations

La page Gérer les autorisations affiche la liste des utilisateurs auxquels l’accès a été accordé par l’attribution de rôles dans l’espace de travail ou d’autorisations des éléments.

Si vous êtes administrateur ou membre, accédez à votre espace de travail et sélectionnez Autres options. Ensuite, sélectionnez Gérer les autorisations.

Capture d’écran montrant un utilisateur sélectionnant Gérer les autorisations dans le menu contextuel de l’entrepôt.

Pour les utilisateurs auxquels ont été attribués des rôles d’espace de travail, il affiche l’utilisateur, le rôle d’espace de travail et les autorisations correspondants. Les administrateurs, membres et contributeurs disposent d’un accès en lecture/écriture aux éléments de cet espace de travail. Les visiteurs disposent des autorisations ReadData et peuvent interroger toutes les tables et vues dans l’entrepôt de cet espace de travail. Les autorisations des éléments Read, ReadData et ReadAll peuvent être fournies aux utilisateurs.

Capture d’écran montrant la page Gérer les autorisations de l’entrepôt dans le portail Fabric.

Vous pouvez choisir d’ajouter ou de supprimer des autorisations à l’aide de Gérer les autorisations.

  • Supprimer l’accès supprime toutes les autorisations des éléments.
  • Supprimer ReadData supprime les autorisations ReadData.
  • Supprimer ReadAll supprime les autorisations ReadAll.
  • Supprimer Build supprime les autorisations Build sur le modèle sémantique par défaut correspondant.

Capture d’écran montrant un utilisateur supprimant l’autorisation ReadAll d’un destinataire partagé.

Limites

  • Si vous fournissez des autorisations d’éléments ou supprimez des utilisateurs qui disposaient précédemment d’autorisations, la propagation des autorisations peut prendre jusqu’à deux heures. Les nouvelles autorisations apparaîtront immédiatement dans « Gérer les autorisations ». Reconnectez-vous pour vérifier que les autorisations sont reflétées dans votre point de terminaison d’analytique SQL.
  • Les destinataires partagés peuvent accéder à l’entrepôt à l’aide de l’identité du propriétaire (mode délégué). Vérifiez que le propriétaire de l’entrepôt n’est pas supprimé de l’espace de travail.
  • Les destinataires partagés ont uniquement accès à l’entrepôt qu’ils reçoivent et non à tout autre élément au sein du même espace de travail que l’entrepôt. Si vous souhaitez accorder des autorisations à d’autres utilisateurs de votre équipe pour collaborer sur l’entrepôt (accès en lecture et en écriture), ajoutez-les en tant que rôles d’espace de travail, tels que « Membre » ou « Contributeur ».
  • Actuellement, lorsque vous partagez un entrepôt et choisissez Lire toutes les données utilisant SQL, le destinataire partagé peut accéder à l’éditeur d’entrepôt en mode lecture seule. Ces destinataires partagés peuvent créer des requêtes, mais ne peuvent pas actuellement enregistrer leurs requêtes.
  • Actuellement, le partage d’un entrepôt n’est disponible que par le biais de l’expérience utilisateur.
  • Si vous souhaitez fournir un accès granulaire à des objets spécifiques dans l’entrepôt, partagez l’entrepôt sans autorisations supplémentaires, puis fournissez un accès granulaire à des objets spécifiques à l’aide de l’instruction GRANT T-SQL. Consultez Syntaxe T-SQL pour plus d’informations sur les instructions GRANT, REVOKE et DENY.
  • Si vous voyez que les autorisations ReadAll et ReadData sont désactivées dans la boîte de dialogue de partage, actualisez la page.
  • Les destinataires partagés n’ont pas l’autorisation de partager à nouveau un entrepôt.
  • Si un rapport basé sur l’entrepôt est partagé avec un autre destinataire, le destinataire partagé a besoin de plus d’autorisations pour accéder au rapport. Cela dépend du mode d’accès au modèle sémantique par Power BI :
    • Si vous y accédez via le mode requête directe, les autorisations ReadData (ou les autorisations SQL granulaires pour des tables/vues spécifiques) doivent être fournies à l’entrepôt.
    • Si vous y accédez via le mode lac direct, les autorisations ReadData (ou les autorisations granulaires pour des tables/vues spécifiques) doivent être fournies à l’entrepôt. Le mode Direct Lake est le type de connexion par défaut des modèles sémantiques qui utilisent un entrepôt ou un point de terminaison d’analytique SQL comme source de données. Pour plus d’informations, consultez Mode Direct Lake.
    • Si vous y accédez via le mode importation , aucune autorisation supplémentaire n’est nécessaire.
    • Actuellement, le partage d’un entrepôt directement avec un SPN n’est pas pris en charge.

Fonctionnalités de protection des données

L’entrepôt de données Microsoft Fabric prend en charge plusieurs technologies que les administrateurs peuvent utiliser pour protéger les données sensibles contre tout affichage non autorisé. En sécurisant ou en masquant les données des utilisateurs ou rôles non autorisés, ces fonctionnalités de sécurité peuvent assurer la protection des données dans un entrepôt et dans un point de terminaison d’analytique SQL sans avoir à modifier l’application.

Contenu connexe