Hendelser
Bli et sertifisert stoff Dataingeniør
14. jan., 23 - 31. mars, 23
Sjekk din kvalifisering for en eksamen rabatt tilbud og registrere deg for gratis live økter for å forberede eksamen DP-700.
Finn ut merDenne nettleseren støttes ikke lenger.
Oppgrader til Microsoft Edge for å dra nytte av de nyeste funksjonene, sikkerhetsoppdateringene og den nyeste tekniske støtten.
gjelder for:✅ Warehouse i Microsoft Fabric
En Azure-tjenestekontohaver (SPN) er en sikkerhetsidentitet som brukes av programmer eller automatiseringsverktøy for å få tilgang til bestemte Azure-ressurser. I motsetning til brukeridentiteter er tjenestekontohavere ikke-interaktive, programbaserte identiteter som kan tilordnes nøyaktige tillatelser, noe som gjør dem perfekte for automatiserte prosesser eller bakgrunnstjenester. Ved hjelp av tjenestekontohavere kan du koble til datakildene dine på en sikker måte, samtidig som du minimerer risikoen for menneskelige feil og identitetsbaserte sårbarheter. Hvis du vil ha mer informasjon om tjenestekontohavere, kan du se application and service principal objects in Microsoft Entra ID.
Opprette en tjenestekontohaver, tilordne roller og opprette hemmeligheter ved hjelp av Azure.
Sørg for at leieradministratoren kan aktivere Tjenestekontohavere kan bruke Fabric API-er i fabric admin portal.
Sørg for at en bruker med rollen administrator arbeidsområde kan gi tilgang til en SPN gjennom Administrere tilgang i arbeidsområdet.
Brukere med administrator, medlem eller bidragsyter arbeidsområderolle kan bruke tjenestekontohavere for godkjenning til å opprette, oppdatere, lese og slette lagerelementer via Fabric REST-API-er. Dette gjør at du kan automatisere gjentakende oppgaver som klargjøring eller administrasjon av lagre uten å stole på brukerlegitimasjon.
Hvis du bruker en delegert konto eller fast identitet (eierens identitet) til å opprette lageret, bruker lageret denne legitimasjonen mens du åpner OneLake. Dette skaper et problem når eieren forlater organisasjonen, fordi lageret slutter å fungere. Hvis du vil unngå dette, oppretter du lagre ved hjelp av en SPN.
Fabric krever også at brukeren logger på hver 30. dag for å sikre at et gyldig token er angitt av sikkerhetsgrunner. For et datalager må eieren logge på Fabric hver 30. dag. Dette kan automatiseres ved hjelp av en SPN med List API.
Lagre som opprettes av en SPN ved hjelp av REST-API-er, vises i listevisningen for arbeidsområdet i Stoff-portalen, med navnet eier som SPN. I bildet nedenfor er et skjermbilde fra arbeidsområdet i Fabric-portalen, «Fabric Public API test app» SPN-en som opprettet Contoso Marketing Warehouse.
Du kan koble til Fabric-lagre ved hjelp av tjenestekontohavere med verktøy som SQL Server Management Studio (SSMS) 19 eller nyere versjoner.
SPN-er kan gis tilgang til lagre ved hjelp av arbeidsområderoller gjennom Administrere tilgang i arbeidsområdet. I tillegg kan lagre deles med en SPN gjennom Stoff-portalen via Elementtillatelser.
Når lagre er gitt kontrollplantillatelser til en SPN gjennom arbeidsområderoller eller elementtillatelser, kan administratorer bruke T-SQL-kommandoer som GRANT
til å tilordne bestemte dataplantillatelser til tjenestekontohavere, for å kontrollere nøyaktig hvilke metadata/data og operasjoner en SPN har tilgang til. Dette anbefales å følge prinsippet om minst mulig rettighet.
For eksempel:
GRANT SELECT ON <table name> TO <service principal name>;
Når tillatelser er gitt, kan SPN-er koble til klientprogramverktøy som SSMS, og dermed gi sikker tilgang for utviklere til å kjøre COPY INTO (med og uten brannmuraktivert lagring), og også kjøre en T-SQL-spørring programmatisk etter en tidsplan med Data Factory-datasamlebånd.
Når en SPN kjører spørringer på lageret, finnes det ulike overvåkingsverktøy som gir synlighet til brukeren eller SPN-en som kjørte spørringen. Du finner brukeren for spørringsaktivitet på følgende måter:
login_name
kolonne i sys.dm_exec_sessions
.login_name
kolonne i queryinsights.exec_requests_history
visning.submitter
kolonne i stoffspørringsaktivitet.Hvis du vil ha mer informasjon, kan du se Monitor Fabric Data warehouse.
Eierskap av lagre kan endres fra en SPN til bruker, og fra en bruker til en SPN.
Overtakelse fra SPN eller bruker til bruker: Se Endre eierskap for Fabric Warehouse.
Overtakelse fra SPN eller bruker til SPN: Bruk et POST-kall på REST-API.
POST <PowerBI Global Service FQDN>/v1.0/myorg/groups/{workspaceid}/datawarehouses/{warehouseid}/takeover
Begrensninger for tjenestekontohavere med Microsoft Fabric Data Warehouse:
Hendelser
Bli et sertifisert stoff Dataingeniør
14. jan., 23 - 31. mars, 23
Sjekk din kvalifisering for en eksamen rabatt tilbud og registrere deg for gratis live økter for å forberede eksamen DP-700.
Finn ut mer