Pārvaldīto identitāšu izmantošana pakalpojumam Azure ar Azure datu ezera krātuvi

Azure Data Lake Storage nodrošina slāņainu drošības modeli. Šis modelis ļauj aizsargāt un kontrolēt piekļuves līmeni krātuves kontiem, ko pieprasa jūsu lietojumprogrammas un uzņēmuma vides, pamatojoties uz izmantoto tīklu vai resursu veidu un apakškopu. Kad tīkla kārtulas ir konfigurētas, krātuves kontam var piekļūt tikai lietojumprogrammas, kas pieprasa datus norādītajā tīklu kopā vai izmantojot norādīto Azure resursu kopu. Varat ierobežot piekļuvi savam krātuves kontam ar pieprasījumiem, kas nāk no norādītām IP adresēm, IP diapazoniem, apakštīkliem Azure virtuālajā tīklā (VNet) vai dažu Azure pakalpojumu resursu instancēm.

Azure pārvaldītās identitātes, kas agrāk pazīstamas kā pārvaldītā pakalpojuma identitāte (MSI), palīdz pārvaldīt noslēpumus. Microsoft Dataverse klienti, kas izmanto Azure iespējas, izveido pārvaldītu identitāti (daļa no uzņēmuma politikas izveides), ko var izmantot vienā vai vairākās Dataverse vidēs. Šo pārvaldīto identitāti, kas tiks nodrošināta nomniekā, pēc tam izmanto Dataverse , lai piekļūtu jūsu Azure datu ezeram.

Izmantojot pārvaldītas identitātes, piekļuve krātuves kontam ir ierobežota ar pieprasījumiem, kas nāk no vides Dataverse , kas saistīta ar jūsu nomnieku. Izveidojot Dataverse savienojumu ar krātuvi jūsu vārdā, tajā ir iekļauta papildu konteksta informācija, lai pierādītu, ka pieprasījums ir iegūts no drošas, uzticamas vides. Tas ļauj krātuvei piešķirt Dataverse piekļuvi jūsu krātuves kontam. Pārvaldītās identitātes tiek izmantotas, lai parakstītu konteksta informāciju, lai izveidotu uzticēšanos. Tas pievieno lietojumprogrammas līmeņa drošību papildus tīkla un infrastruktūras drošībai, ko nodrošina Azure savienojumiem starp Azure pakalpojumiem.

Pirms uzsākšanas

• Azure CLI ir nepieciešams lokālajā datorā. Lejupielāde un instalēšana
• Jums ir nepieciešami šie divi PowerShell moduļi. Ja jums to nav, atveriet PowerShell un palaidiet šādas komandas:
  • Azure Az PowerShell module: Install-Module -Name Az
  • Azure Az.Resources PowerShell modulis: Install-Module -Name Az.Resources
  • Power Platform admin PowerShell modulis: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Dodieties uz šo saspiesto mapes failu vietnē GitHub. Pēc tam atlasiet Lejupielādēt , lai to lejupielādētu. Izvelciet saspiesto mapes failu datorā vietā, kur varat palaist PowerShell komandas. Visi faili un mapes, kas iegūti no saspiestas mapes, jāsaglabā to sākotnējā atrašanās vietā.
• Ieteicams izveidot jaunu krātuves konteineru tajā pašā Azure resursu grupā, lai integrētu šo līdzekli.

Uzņēmuma politikas iespējošana atlasītajam Azure abonementam

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt Azure abonementa īpašnieka lomas piekļuvei. Iegūstiet savu Azure abonementa ID no Azure resursu grupas pārskata lapas.

1. Atveriet Azure CLI ar palaišanu kā administratoru un piesakieties savā Azure abonementā, izmantojot komandu: az login Papildinformācija:pieteikšanās, izmantojot Azure CLI
2. (Neobligāti), ja jums ir vairāki Azure abonementi, noteikti palaidiet Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } , lai atjauninātu noklusējuma abonementu.
3. Izvērsiet saspiesto mapi, kuru lejupielādējāt kā daļu no sadaļas Pirms šī līdzekļa sākšanas , uz atrašanās vietu, kur varat palaist PowerShell.
4. Lai iespējotu uzņēmuma politiku atlasītajam Azure abonementam, palaidiet PowerShell skriptu ./SetupSubscriptionForPowerPlatform.ps1.
   • Norādiet Azure abonementa ID.

Izveidot uzņēmuma politiku

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt Azure resursu grupas īpašnieka lomas piekļuvei. Iegūstiet savu Azure abonementa ID, atrašanās vietu un resursu grupas nosaukumu no Azure resursu grupas pārskata lapas.

1. Izveidojiet uzņēmuma politiku. PowerShell skripta palaišana ./CreateIdentityEnterprisePolicy.ps1

   • Norādiet Azure abonementa ID.
   • Norādiet Azure resursu grupas nosaukumu.
   • Norādiet vēlamo uzņēmuma politikas nosaukumu.
   • Norādiet Azure resursu grupas atrašanās vietu.

2. Saglabājiet ResourceId kopiju pēc politikas izveides.

Piezīmes

Tālāk ir norādītas derīgas atrašanās vietas ievades, kas tiek atbalstītas politikas izveidei. Atlasiet sev piemērotāko atrašanās vietu.

Uzņēmuma politikai pieejamās atrašanās vietas

Amerikas Savienotās Valstis EUAP

Amerikas Savienotās Valstis

Dienvidāfrika

Apvienotā Karaliste

Austrālija

Dienvidkoreja

Japāna

Indija

Francija

Eiropa

Āzija

Norvēģija

Vācija

Šveice

Kanāda

Brazīlija

UAE

Singapūra

Lasītāja piekļuves piešķiršana uzņēmuma politikai, izmantojot Azure

Dynamics 365 administratori un Power Platform administratori var piekļūt administrēšanas centram Power Platform , lai piešķirtu vides uzņēmuma politikai. Lai piekļūtu uzņēmuma politikām, ir nepieciešama Azure atslēgu seifa administratora dalība, lai piešķirtu lasītāja lomu Dynamics 365 vai Power Platform administratoram. Kad lasītāja loma ir piešķirta, Dynamics 365 vai Power Platform administratori administrēšanas centrā redzēs uzņēmuma politikas Power Platform .

Tikai Dynamics 365 un Power Platform administratori, kuriem tika piešķirta lasītāja loma uzņēmuma politikai, var "pievienot vidi" politikai. Citi Dynamics 365 un PowerPlatform administratori, iespējams, varēs skatīt uzņēmuma politiku, taču, mēģinot pievienot vidi, viņi saņems kļūdu.

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt atļaujām Microsoft.Authorization/roleAssignments/write , piemēram, lietotāja piekļuves administratoram vai īpašniekam .

1. Piesakieties Azure portālā.
2. Iegūstiet Power Platform Dynamics 365 administratora lietotāja ObjectID.
   1. Dodieties uz apgabalu Lietotāji .
   2. Atveriet Dynamics 365 vai Power Platform administratora lietotāju.
   3. Lietotāja pārskata lapā kopējiet ObjectID.
3. Iegūstiet uzņēmuma politiku ID:
   1. Dodieties uz Azure resursu grafika pārlūku.
   2. Palaidiet šo vaicājumu: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Ritiniet pa labi no rezultātu lapas un atlasiet saiti Skatīt detalizētu informāciju .
   4. Lapā Detalizēta informācija kopējiet ID.
4. Atveriet Azure CLI un palaidiet šādu komandu, aizstājot <objId> ar lietotāja ObjectID un <EP Resource Id> uzņēmuma politikas ID.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Uzņēmuma politikas savienošana ar Dataverse vidi

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt administratora Power Platform vai Dynamics 365 administratora lomai. Lai izpildītu šo uzdevumu, uzņēmuma politikai ir jābūt lasītāja lomai.

1. Iegūstiet Dataverse vides ID.
   1. Piesakieties Power Platform administrēšanas centrā.
   2. Atlasiet Pārvaldīt>vidi un pēc tam atveriet vidi.
   3. Sadaļā Detalizēta informācija kopējiet vides ID.
   4. Lai izveidotu saiti uz vidi Dataverse , palaidiet šo PowerShell skriptu: ./NewIdentity.ps1
   5. Norādiet Dataverse vides ID.
   6. Norādiet ResourceId.
      StatusCode = 202 norāda, ka saite ir veiksmīgi izveidota.
2. Piesakieties Power Platform administrēšanas centrā.
3. Atlasiet Pārvaldīt>vidi un pēc tam atveriet iepriekš norādīto vidi.
4. Apgabalā Pēdējās operācijas atlasiet Pilna vēsture , lai pārbaudītu jaunās identitātes savienojumu.

Tīkla piekļuves Azure Data Lake Storage konfigurēšana Gen2

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt Azure Data Lake Storage Gen2 īpašnieka lomai.

1. Dodieties uz Azure portālu.

2. Atveriet krātuves kontu, kas savienots ar jūsu Azure Synapse Link for Dataverse profilu.

3. Kreisajā navigācijas rūtī atlasiet Tīklošana. Pēc tam cilnē Ugunsmūri un virtuālie tīkli atlasiet šādus iestatījumus:

   1. Iespējots no izvēlētajiem virtuālajiem tīkliem un IP adresēm.
   2. Sadaļā Resursu instances uzticamo pakalpojumu sarakstā atlasiet Atļaut Azure pakalpojumiem piekļūt šim krātuves kontam

4. Atlasiet vienumu Saglabāt.

Tīkla piekļuves konfigurēšana darbvietai Azure Synapse

Svarīgi

Lai izpildītu šo uzdevumu, jums ir jābūt Azure Synapse administratora lomai.

1. Dodieties uz Azure portālu.
2. Atveriet darbvietu Azure Synapse , kas savienota ar jūsu Azure Synapse Link for Dataverse profilu.
3. Kreisajā navigācijas rūtī atlasiet Tīklošana.
4. Atlasiet Atļaut Azure pakalpojumiem un resursiem piekļūt šai darbvietai.
5. Ja visam IP diapazonam ir izveidotas IP ugunsmūra kārtulas , izdzēsiet tās, lai ierobežotu piekļuvi publiskajam tīklam.
6. Pievienojiet jaunu IP ugunsmūra kārtulu , pamatojoties uz klienta IP adresi.
7. Atlasiet Saglabāt , kad tas ir pabeigts. Papildinformācija: Azure Synapse Analytics IP ugunsmūra noteikumi

Jaunas Azure Synapse saites Dataverse izveide ar pārvaldīto identitāti

Svarīgi

Dataverse: Jums ir jābūt sistēmas administratora Dataverse drošības lomai. Turklāt tabulām, kuras vēlaties eksportēt, izmantojot Azure Synapse saiti, ir jābūt iespējotai rekvizītam Reģistrēt izmaiņas . Papildinformācija: Papildu opcijas

Azure Data Lake Storage Gen2: jums ir jābūt Azure Data Lake Storage Gen2 kontam un piekļuvei īpašniekam un krātuves BLOB datu līdzstrādnieka lomai. Jūsu krātuves kontam ir jāiespējo hierarhiskā nosaukumvieta gan sākotnējai iestatīšanai, gan delta sinhronizācijai. Atļaut krātuves konta atslēgas piekļuvi ir nepieciešama tikai sākotnējai iestatīšanai.

Synapse darbvieta: Synapse Studio ir jābūt Synapse darbvietai un Synapse administratora lomai piekļuvei. Sinapses darbvietai ir jābūt tajā pašā reģionā, kur atrodas jūsu Azure Data Lake Storage Gen2 konts. Krātuves konts ir jāpievieno kā saistīts pakalpojums Synapse Studio. Lai izveidotu Synapse darbvietu, atveriet sadaļu Synapse darbvietas izveide.

Izveidojot saiti, Azure Synapse saite saņem Dataverse detalizētu informāciju par pašlaik saistīto uzņēmuma politiku Dataverse vidē, pēc tam kešatmiņā saglabā identitātes klienta slepeno URL, lai izveidotu savienojumu ar Azure.

1. Piesakieties Power Apps un atlasiet savu vidi.
2. Kreisajā navigācijas rūtī atlasiet Azure Synapse Saite un pēc tam atlasiet + Jauna saite. Ja vienums nav sānu paneļa rūtī, atlasiet ... Vairāk un pēc tam atlasiet vajadzīgo vienumu.
3. Aizpildiet atbilstošos laukus atbilstoši paredzētajam iestatījumam. Atlasiet abonementu , resursu grupu un krātuves kontu. Lai izveidotu savienojumu Dataverse ar Synapse darbvietu, atlasiet opciju Izveidot savienojumu ar darbvietu Azure Synapse . Delta Lake datu konvertēšanai atlasiet Spark baseinu.
4. Atlasiet Atlasīt uzņēmuma politiku ar pārvaldītā pakalpojuma identitāti un pēc tam atlasiet Tālāk.
5. Pievienojiet tabulas, kuras vēlaties eksportēt, un pēc tam atlasiet Saglabāt.

Pārvaldītās identitātes iespējošana esošam Azure Synapse saites profilam

Piezīmes

Lai padarītu pieejamu komandu Lietot pārvaldīto identitāti , jums ir jāpabeidz iepriekš minētā iestatīšana, lai izveidotu savienojumu ar uzņēmuma politiku ar savu Power Appsvidi. Dataverse Papildinformācija: Uzņēmuma politikas savienošana ar Dataverse vidi

1. Dodieties uz esošu Synapse Link profilu no Power Apps (make.powerapps.com).
2. Atlasiet Lietot pārvaldīto identitāti un pēc tam apstipriniet.

Problēmu novēršana

Ja saites izveides laikā tiek parādītas 403 kļūdas:

• Pārvaldītajām identitātēm ir nepieciešams papildu laiks, lai sākotnējās sinhronizācijas laikā piešķirtu īslaicīgu atļauju. Dodiet tam kādu laiku un mēģiniet operāciju vēlreiz vēlāk.
• Pārliecinieties, vai saistītajai krātuvei nav esoša Dataverse konteinera (dataverse-environmentName-organizationUniqueName) no tās pašas vides.
• Varat identificēt saistīto uzņēmuma politiku un policyArmId palaižot PowerShell skriptu ./GetIdentityEnterprisePolicyforEnvironment.ps1 ar Azure abonementa ID un resursu grupas nosaukumu.
• Varat atsaistīt uzņēmuma politiku, palaižot PowerShell skriptu ./RevertIdentity.ps1 ar Dataverse vides ID un policyArmId.
• Uzņēmuma politiku var noņemt, palaižot PowerShell skriptu .\RemoveIdentityEnterprisePolicy.ps1 ar policyArmId.

Zināmais ierobežojums

Tikai viena uzņēmuma politika var izveidot savienojumu ar Dataverse vidi vienlaicīgi. Ja jums ir jāizveido vairākas Azure Synapse saites ar iespējotu pārvaldīto identitāti, pārliecinieties, vai visi saistītie Azure resursi atrodas vienā resursu grupā.

Skatiet arī:

Kam paredzēta Azure Synapse Link Dataverse?