Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A bérlők közötti hozzáférés funkció lehetővé teszi, hogy a szolgáltatói bérlők megoszthassák a Fabric-adattárházaikban és az SQL Analytics-végpontjaikban tárolt adatokat a vendégbérlelőkkel. Ez a funkció olyan szervezetek számára hasznos, amelyeknek adatokat kell megosztaniuk a vendégbérlelőkkel. Ha például az A vállalat a B vállalat számára tárolja a Fabric-adatokat, a B vállalat bérlőközi hozzáféréssel férhet hozzá az adataikhoz az A vállalat Fabric-bérlőjében. Ez a cikk azoknak a szolgáltatóknak szól, akik bérlők közötti hozzáférést szeretnének beállítani.
Fontos
- A Fabric-adattárházak bérlők közötti hozzáférése korlátozott előzetes verzióban érhető el a szolgáltatók számára. Ha bérlőközi adatok szolgáltatójaként szeretne regisztrálni, küldje el ezt az űrlapot.
- A bérlők közötti hozzáférés vendégként való használatához kövesse a vendégek bérlőközi hozzáférésében felsorolt lépéseket, és megbízható szolgáltatóval kell együttműködnie.
Hogyan működik?
A bérlők közötti hozzáférés lehetővé teszi, hogy a vendégbérlelők hozzáférjenek a szolgáltató adattárházában és SQL Analytics-végpontján tárolt adatokhoz. Ha a szolgáltató engedélyezi a vendégbérlõtől származó tagok számára a szolgáltatás használatát, a Fabric létrehozza a megfelelő szolgáltatásneveket a szolgáltató bérlőjében lévő összes vendég számára. A szolgáltató ezután engedélyeket ad a raktárhoz ezeknek a szolgáltatásfelelősöknek. Az engedélyekkel rendelkező vendégek saját Entra-azonosítójú identitás-hitelesítő adataikkal férhetnek hozzá az adattárházvégpontokhoz olyan eszközökkel, mint az SQL Server Management Studio (SSMS). Ehhez a vendégek hitelesítik a saját szervezetüket, és jogosultak hozzáférni az adattárház végpontjaihoz.
A B2B-vel ellentétben a bérlők közötti hozzáférés használata a Fabric-adattárházakban nem biztosít hozzáférést a vendégeknek a szolgáltatói címtárhoz. A szolgáltatóknak nem kell kezelnie az egyes vendégfelhasználók használatát, ha a szolgáltatók bérlők közötti hozzáférésre konfigurálnak egy csoportot, a csoporttagság kezelését a vendégbérbeadó végzi.
Ellentétben a Fabric külső adatmegosztási funkciójával, amely lehetővé teszi, hogy a szolgáltatók helyben megosztják a OneLake-adatokat egy másik Fabric-bérlővel, ez a funkció lehetővé teszi a szolgáltatók számára, hogy megosszák az adattárházakat olyan vendégekkel, akik nem rendelkeznek Hálóval.
A szolgáltató feladatai
Biztosítsa, hogy a vendég felhasználó hozzájárul a bérlők közötti hozzáférési funkció használatához a szolgáltató bérlőjével. A vendégbérlóknak a bérlők közötti hozzáférésben felsorolt lépéseket kell követnie a vendégek számára.
Konfigurálja a vendégfőszereplőket a bérlők közötti hozzáféréshez.
Ha engedélyezi a vendégszerepkörök bérlők közötti hozzáférését, a Fabric létrehozza a megfelelő szolgáltatásszerepköröket a szolgáltató bérlőjében lévő összes vendéghez, valamint csoportokat minden vendégcsoport számára. A szolgáltatónak munkaterületi szerepkört vagy engedélyeket kell adnia a tárházon ezeknek a szolgáltatás főszemélyeknek.
A vendégfelhasználók egy TDS-végpont használatával érik el a bérlők közötti kapcsolatokra vonatkozó adattárházat, és kapcsolati karakterláncra lesz szükségük az adattárházhoz. A szolgáltatónak meg kell adnia ezt a kapcsolati sztringet a vendégeknek. A bérlők közötti hozzáférés kapcsolati sztringje eltér a bérlőn belüli hozzáféréshez használt kapcsolati sztringtől.
A vendégnevek konfigurálása bérlők közötti hozzáféréshez
Vendég jogosultságok konfigurálása bérlők közötti hozzáféréshez
POST https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings
Támogatott identitások: Felhasználó és szolgáltatásnév
Engedélyek szükségesek: Az API-t hívó felhasználóknak a Háló rendszergazdai szerepkörben kell lenniük.
Annak biztosításához, hogy a szolgáltatási főfelhasználó létrehozhasson, listázhasson és törölhessen minden bérlőközi leképezést, amelyet egy szolgáltatóbérlőben hoztak létre, a Fabric-alkalmazásnak rendelkeznie kell a Microsoft Graph Group.Create engedéllyel. A Fabric alkalmazás Group.Create engedélyének megadásához tekintse meg az alábbi cikkeket.
A szolgáltatásneveknek engedélyezni kell a Fabric nyilvános API-k meghívását, a Fabric olvasási API-jait és az API-k frissítését.
A kérés tartalma
| Név | Ben/Ne | Kötelező | Típus | Leírás |
|---|---|---|---|---|
| azonosító | Törzs | Igen | Lánc | Vendégalkalmazás vagy csoport objektumazonosítója |
| bérlőazonosító | Törzs | Igen | Lánc | Vendég bérlő azonosítója |
| típus | Törzs | Igen | Lánc | Felhasználó vagy csoport |
| felhasználó adatai | Törzs | Igen | JSON vagy Complex | A vendégbérlelő felhasználó adatai |
| felhasználóFőNév | Törzs | Igen | Lánc | Vendégfelhasználók azonosítói nevex |
| csoportRészletek | Törzs | Igen | JSON vagy Complex | A vendégbérlelői csoport adatai |
| csoporttípus | Törzs | Igen | Lánc | A vendégbérlelői csoport típusa, ha nem érhető el, küldje el az "Ismeretlen" üzenetet |
| Törzs | Igen | Lánc | A vendégbérlelő csoport e-mail-címe |
Mintakérés törzse
Kérelem törzse a felhasználóleképezéshez
{
"id": "00000000-0000-0000-0000-000000000000",
"tenantId": "{guest tenant id}",
"type": "User",
"userDetails": {
"userPrincipalName": "user@contoso.com"
}
}
Szolgáltatási főazonosító leképezésének kérési törzse
{
"id": "{object id of the Enterprise application}",
"tenantId": " {guest tenant id} ",
"type": "User"
}
Csoportleképezés kérése törzsként
{
"id": "00000000-0000-0000-0000-000000000000",
"tenantId": "{guest tenant id}",
"type": "Group",
"groupDetails": {
"groupType": "Unknown",
"email": "groupemail@contoso.com"
}
}
Kérelem szövege csoportleképezéshez, amikor a csoport nem rendelkezik e-mail címmel
{
"id": "{object id of the group}",
"tenantId": "{guest tenant id}",
"type": "Group"
}
Válaszkódok
| Válaszkód | Megjegyzés: |
|---|---|
| 200 OK | A vendégcsoport vagy a fő a bérlők közötti hozzáféréshez lett konfigurálva |
| 400 Hibás kérelem | A vendég szerepkör nem oldható fel |
| 401 Nem engedélyezett | A vendégbérlelő nem járult hozzá |
| 429 Túl sok kérés | Túl sok kérés, várhatóan 50/perc |
A bérlők közötti hozzáféréshez engedélyezett vendég szereplők listájának lekérése
GET https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings
Támogatott identitások: Felhasználó és szolgáltatásnév
Engedélyek szükségesek: Az API-t hívó felhasználóknak a Háló rendszergazdai szerepkörben kell lenniük.
Annak biztosításához, hogy a szolgáltatásnév létrehozhasson, listázhasson és törölhessen minden bérlőközi leképezést, amelyet egy szolgáltatóbérlelőben hoztak létre, a Fabric-alkalmazásnak rendelkeznie kell a Group.Create Microsoft Graph engedéllyel. A Group.Create engedélyének megadásához a Fabric alkalmazás számára tekintse meg az alábbi cikkeket.
A szolgáltatásneveknek engedélyezni kell a Fabric nyilvános API-k meghívását, a Fabric olvasási API-jait és az API-k frissítését.
Válaszkódok
| Válaszkód | Megjegyzés: |
|---|---|
| 200 OK | Ha nincsenek leképezések, az API üres listát ad vissza |
| 404 Nem található | |
| 401 Nem engedélyezett | |
| 429 Túl sok kérés | Túl sok kérés, várhatóan 50/perc |
Bérlők közötti hozzáféréshez engedélyezett vendégnevek eltávolítása
DELETE https://api.fabric.microsoft.com/v1/admin/crosstenantauth/mappings/{mappingId}
Támogatott identitások: Felhasználó és szolgáltatásnév
Engedélyek szükségesek: Az API-t hívó felhasználóknak a Háló rendszergazdai szerepkörben kell lenniük.
Annak biztosításához, hogy a szolgáltatásfelelős létrehozhasson, listázhasson és törölhessen minden bérlőközi hozzárendelést, amelyet egy szolgáltató bérlőjében hoztak létre, a Fabric-alkalmazásnak rendelkeznie kell a Group.Create Graph engedéllyel. A Fabric alkalmazás Group.Create engedélyének megadásához tekintse meg az alábbi cikkeket.
A szolgáltatásneveknek engedélyezni kell a Fabric nyilvános API-k meghívását, a Fabric olvasási API-jait és az API-k frissítését.
Amikor ezt az API-t meghívják, a vendég példányok számára létrehozott csoportok és szolgáltatási példányok azonnal leállítják a működésüket, azonban a leképezés több mint egy napig megmarad az adatbázisban, és látható lesz a GET leképezési API válaszában.
A kérés tartalma
| Név | Ben/Ne | Kötelező | Típus | Leírás |
|---|---|---|---|---|
| térképezésazonosító | Útvonal | Igen | Lánc | Leképezés azonosítója |
Válaszkódok
| Válaszkód | Megjegyzés: |
|---|---|
| 200 OK | |
| 404 Nem található | |
| 401 Nem engedélyezett | |
| 429 Túl sok kérés | Túl sok kérés, várhatóan 50/perc |
Munkaterületi szerepkörök vagy engedélyek megadása szolgáltatási megbízóknak
A szolgáltatói bérlő engedélyezett felhasználói munkaterületi szerepkört adhatnak azoknak a csoportoknak vagy szolgáltatásneveknek, amelyeket a vendégneveket képviselni hivatottak, a munkaterületi szerepkör-hozzárendelés REST API-val vagy a Fabric felhasználói felületével. Az adattárházat csoportokkal és szolgáltatásnevekkel is megoszthatják.
Vendég jogosultságok által használható SQL-kapcsolati karakterlánc lekérése
A szolgáltatói bérlő engedélyezett felhasználói meghívhatják ezt az API-t, hogy lekérhessék a megadott munkaterület SQL csatlakozási karakterláncát egy adott vendégbérlőhöz.
- Támogatott identitások: felhasználó, szolgáltatásnév és felügyelt identitások
- Szükséges engedélyek: a hívónak megtekintő vagy magasabb munkaterületi szerepkört kell használnia
GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/warehouses/{warehouseId}/connectionString?guestTenantId={guestTenantId}&privateLinkType={privateLinkType}
A kérés tartalma
| Név | Ben/Ne | Kötelező | Típus | Leírás |
|---|---|---|---|---|
| warehouseId | Útvonal | Igaz | Lánc | A raktár azonosítója |
| munkaterület-azonosító | Útvonal | Igaz | Lánc | A munkaterület azonosítója |
| guestTenantId | Lekérdezés | Lánc | A vendégbérlõ azonosítója, ha a végfelhasználó bérlője eltér a raktárbérlõtől | |
| PrivátLinkTípus | Lekérdezés | Lánc | Nincs (nincs privát kapcsolat vagy bérlői szintű privát kapcsolat) vagy munkaterület (munkaterület privát hivatkozása) |
Válaszkódok
| Válaszkód | Megjegyzés: |
|---|---|
| 200 OK | A válaszban szereplő kapcsolati sztringet adja vissza |
| 404 Nem található | ItemNotFound – A kért elem nem található. InvalidGuestTenantId – A megadott vendégbérlő-azonosító nem létezik |
Minta válasz tartalom
{
"connectionString": "DW connection string"
}
Bérlők közötti hozzáférés szabályozása
Használja a bérlőközi hitelesítés lekérdezési API-t – A GET bérlőközi hitelesítési lekérdezések API-val áttekintheti azokat a vendég bérlői felhasználókat és csoportokat, amelyek potenciálisan hozzáférhetnek a bérlő raktáraihoz és SQL-végpontjaihoz. Ezeknek a felhasználóknak is engedélyeket kell adni az elemekhez.
Audit naplók használata a Purview-ben – Lépjen a Microsoft Purview hubra, ahol a következő eseménytípusokra kereshet, hogy részletes információkat kapjon a CRUD műveletek és a jogkivonat-generálási tevékenységek szolgáltatóként történő leképezéséről.
- Bérlőközi hitelesítési leképezés létrehozása
- A bérlők közötti hitelesítés feltérképezése
- Bérlőközi hitelesítési címtérkép törlése
- Bérlőközi hitelesítési token létrehozása
- A vendégbérlendők adatainak törlése bérlőközi hitelesítéssel (akkor jön létre, ha a leképezések törlésre kerülnek a vendégbérbeadó hozzájárulásának visszavonása után)
A vendégbérlők a következő eseménytípusokat megtekinthetik:
- Bérlők közötti hitelesítés hozzájárulása
- Hozzájárulás visszavonása bérlők közötti hitelesítés esetén
A Microsoft Entrában létrehozott szolgáltatásnevek és csoportok szabályozása (csak globális rendszergazda, alkalmazásadminisztrátor vagy más magas jogosultságú felhasználó) – A Microsoft Entrában létrehozott szolgáltatásneveket és csoportokat is áttekintheti, hogy a vendégbérlői tagok hozzáférhessenek a bérlők közötti adatokhoz. Más Azure-szolgáltatások, például a bejelentkezési naplók (szolgáltatásnév-bejelentkezések) megjelenítik a vendégbérlõ-felhasználók bejelentkezési tevékenységeinek megfelelõ szolgáltatásnév bejelentkezési adatait. A Microsoft Entra auditnaplói a Fabric által végzett csoportlétrehozási tevékenységekkel kapcsolatos információkat is tartalmaznak. A Fabric által a bérlők közötti hozzáféréshez létrehozott Fabric Identity-alkalmazásokat és alkalmazásregisztrációkat nem szabad módosítani vagy törölni. A szolgáltatóknak törölniük kell a leképezéseket, ha el szeretné távolítani a bérlők közötti hozzáféréshez létrehozott FabricIdentitást.
A vendég feladatai
Győződjön meg arról, hogy megbízik a szolgáltatóban, mielőtt hozzájárul a Fabric-adattárházak bérlők közötti hozzáférési funkciójának a szolgáltatóval való használatához. A vendégbérlelőknek a bérlők közötti hozzáférésről szóló cikkben felsorolt lépéseket kell követnie.
A vendégbérltető felelős a bérlők közötti hozzáférésre konfigurált Microsoft Entra-csoportok létrehozásáért és kezeléséért.
A vendégbérltető felelős a felhasználók feltételes hozzáférési vagy MFA-szabályzatainak kezeléséért. Ezek a szabályzatok akkor lesznek alkalmazva, amikor a vendégfelhasználók bérlők közötti adattárházakhoz próbálnak hozzáférni.
Korlátozások és szempontok
Annak biztosítása érdekében, hogy a szolgáltatási fiók létrehozhasson, listázhasson és törölhessen bármilyen bérlőközi kapcsolatot, amelyet szolgáltatói bérlőnél hoztak létre, a Háló alkalmazásnak rendelkeznie kell a csoporttal. Graph-engedély létrehozása. A csoport számára szükséges jogosultságok engedélyezéséhez tekintse meg az alábbi dokumentumokat. Hozzon létre engedélyt a Fabric-alkalmazáshoz.
A vendégbérlők feltételes hozzáférési és MFA szabályzatai a vendégfelhasználók bejelentkezésekor érvényesülnek.
A vendégbérltető felelős a bérlők közötti hozzáférésre konfigurált Microsoft Entra-csoportok létrehozásáért és kezeléséért.
A Fabric óránként végrehajtja a csoportbővítést a bérlők közötti hozzáférésre konfigurált vendégcsoportokhoz. Ez azt jelenti, hogy ha egy felhasználót hozzáad a vendégbérlelő egy csoportjához, és a csoport már konfigurálva van a bérlők közötti hozzáféréshez, akár 1 órát is igénybe vehet, amíg a felhasználó hozzáfér a bérlők közötti adattárházhoz.
Ha egy vendég csoporttagságon keresztül nyeri le az engedélyeit, akár 1 órát is igénybe vehet, amíg az engedélymódosítások megjelennek az adattárházban. Ha a felhasználók közvetlenül kapnak engedélyeket (vagyis nem csoporton keresztül), az adattárház engedélymódosításai azonnal megjelennek.
Erőforráskorlátok és az SPN-k újrafelhasználása – A bérlők közötti felhasználók számára létrehozott szolgáltatásfőnevek és csoportok hatással vannak a szolgáltatói bérlő erőforráskorlátjaira. További részletekért tekintse meg a Microsoft Entra azonosítókorlátait. A Fabric segítségével akár 100 000 szolgáltatás-azonosítót is létrehozhat bérlők közötti hozzáféréshez, de előfordulhat, hogy az erőforráskorlátokat már előbb kimeríti. Ha egy vendég öt nap alatt nem jelentkezik be egy raktárba, az erőforráskorlátok szabályozásához eltávolítjuk a vendégnévhez társított szolgáltatásnevet.
A vendégek nem futtathatnak nyilvánosan elérhető API-kat. A bérlőközi felhasználók számára létrehozott szolgáltatásnevek és csoportok jelenleg nem futtathatnak nyilvános elérésű API-kat. Ez a naplózásra, a pillanatképekre és az SQL-készletekre vonatkozik. Például csak a szolgáltató bérlőjének felhasználói hozhatnak létre pillanatképet; a vendégfelhasználó nem tudja futtatni az API-t a létrehozáshoz, de lekérdezheti a pillanatképet. Hasonlóképpen, a vendégfelhasználó a naplózáshoz csak a naplózási TVF-t futtathatja, de a naplók engedélyezéséhez/letiltásához nem az API-kat.
Ha egy vendégbérladó visszavonja a hozzájárulást, a vendégek egy napon belül elveszítik a hozzáférést a szolgáltató bérlőjében található raktárakhoz. A meglévő munkamenetek azonban nem változnak.
Bizonyos körülmények között előfordulhat, hogy a vendég-felhasználók nem férnek hozzá több órán keresztül a több bérlő közötti adattárházakhoz, miután a vendég-felhasználó konfigurálva lett a bérlők közötti hozzáféréshez.