OneLake-sikkerhet
OneLake bruker en lagvis sikkerhetsmodell bygget rundt organisasjonsstrukturen til komponenter i Microsoft Fabric. Sikkerhet er avledet fra Azure Active Directory -godkjenning (Azure AD) og er kompatibel med brukeridentiteter, tjenestekontohavere og administrerte identiteter. Ved hjelp av Azure AD- og Fabric-komponenter kan du bygge ut robuste sikkerhetsmekanismer på tvers av OneLake, slik at du holder dataene trygge, samtidig som du reduserer kopier og minimerer kompleksiteten.
Viktig
Microsoft Fabric er i forhåndsversjon.
Arbeidsområdesikkerhet
Arbeidsområdet er den primære sikkerhetsgrensen for data i OneLake. Hvert arbeidsområde representerer ett enkelt domene eller prosjektområde der team kan samarbeide på data. Sikkerhet i arbeidsområdet administreres gjennom Fabric-arbeidsområderoller. Mer informasjon om Fabric rollebasert tilgangskontroll (RBAC): Arbeidsområderoller
Arbeidsområderoller i Fabric gir følgende tillatelser i OneLake.
| Funksjonalitet | Administrator | Medlem | Bidragsyter | Seer |
|---|---|---|---|---|
| Vis filer i OneLake | Ja | Ja | Ja | Nei |
| Skrive filer i OneLake | Ja | Ja | Ja | Nei |
Databehandlingsspesifikk sikkerhet
Noen databehandlingsmotorer i Fabric har sine egne sikkerhetsmodeller. Fabric Warehouse lar for eksempel brukere definere tilgang ved hjelp av T-SQL-setninger. Databehandlingsspesifikk sikkerhet håndheves alltid når du får tilgang til data ved hjelp av denne motoren, men disse betingelsene gjelder kanskje ikke for brukere i visse Fabric-roller når de får direkte tilgang til OneLake. Se dokumentasjonen for Lager, Sanntidsanalyse og Power BI-datasett for mer informasjon om hvilke typer databehandlingssikkerhet som kan defineres.
Som en regel kan brukere i Seer-rollen bare få tilgang til data gjennom utvalgte databehandlingsmotorer og eventuelle sikkerhetsregler som er definert i disse motorene, gjelder. Alle andre roller har direkte OneLake-tilgang, slik at de kan spørre data gjennom Spark, API-er eller en OneLake-Filutforsker. Databehandlingsspesifikk sikkerhet gjelder imidlertid fortsatt for disse brukerne når de får tilgang til data gjennom denne databehandlingsmotoren.
Eksempel: Martha er administrator for et Fabric-arbeidsområde, og Pradeep er seer. Martha ønsker å begrense tilgangen til visse bord i LakehouseA. Hun kobler til SQL og definerer sikkerhet på objektnivå ved hjelp av GRANT- og AVSLÅ-setninger. Når Pradeep får tilgang til dataene gjennom SQL, kan han bare se tabellene fra LakehouseA som han fikk tilgang til.
Snarveissikkerhet
Snarveier i Microsoft Fabric gir mulighet for svært forenklet databehandling, men har noen sikkerhetshensyn å merke seg. Hvis du vil ha informasjon om hvordan du administrerer snarveisikkerhet, kan du se dette dokumentet.
Godkjenning
OneLake bruker Azure Active Directory (Azure AD) til godkjenning. Du kan bruke det til å gi tillatelser til brukeridentiteter og tjenestekontohavere. OneLake trekker automatisk ut brukeridentiteten fra verktøy, som bruker Azure AD godkjenning og tilordner den til tillatelsene du angir i Fabric-portalen.
Obs!
Hvis du vil bruke tjenestekontohavere i en Fabric-leier, må en leieradministrator aktivere servicekontohavernavn (SPN-er) for hele leieren eller bestemte sikkerhetsgrupper.
Private koblinger
Fabric støtter for øyeblikket ikke privat koblingstilgang til OneLake-data via ikke-Fabric-produkter og Spark.
Tillat at apper som kjører utenfor Fabric, får tilgang til data via OneLake
OneLake gir muligheten til å begrense tilgangen til data fra programmer som kjører utenfor Fabric-miljøer. Administratorer kan finne innstillingen i administrasjonsportalen for tenanten. Når denne bryteren er slått på, kan du få tilgang til data via alle kilder. Når denne bryteren er slått AV, kan ikke data åpnes via programmer som kjører utenfor Fabric-miljøer. Data kan for eksempel være tilgang via programmer som Azure Databricks, egendefinerte programmer som bruker ADLS API-er eller OneLake-filutforsker.