Prehľad overovania (Preview)
Vyťaženia služby Fabric sa spoliehajú na integráciu s ID služby Microsoft Entra na overovanie a autorizáciu.
Všetky interakcie medzi vyťažením a inými súčasťami služby Fabric alebo Azure musia byť sprevádzané správnou podporou overovania pre prijaté alebo odoslané žiadosti. Odosielané tokeny sa musia generovať správne a prijaté tokeny musia byť tiež správne overené.
Skôr než začnete pracovať s vyťaženiami služby Fabric, odporúča sa oboznámiť sa s platformou microsoft identity. Odporúča sa tiež prejsť na platformu Microsoft identity osvedčené postupy a odporúčania.
Postupy
Od vyťaženia klientskej až po serverovú časť vyťaženia
Príkladom takejto komunikácie je rozhranie API na ľubovoľnej údajovej rovine. Táto komunikácia sa vykonáva pomocou tokenu Predmet (delegovaný token).
Informácie o tom, ako získať token vo vyťažení FE, nájdete v téme Rozhranie API na overovanie. Okrem toho sa uistite, že ste prešli na overenie tokenu v prehľade Overenia a overenia na konci.
Od serverového vyťaženia služby Fabric až po serverové vyťaženie
Príkladom takejto komunikácie je vytvorenie položky vyťaženia. Táto komunikácia sa vykonáva pomocou tokenu SubjectAndApp, ktorý je špeciálnym tokenom, ktorý obsahuje token aplikácie spolu s tokenom predmetu (ďalšie informácie o tomto tokene nájdete v téme Overovanie na konci a prehľad oprávnenia).
Aby toto oznámenie fungovalo, používateľ, ktorý používa toto oznámenie, musí udeliť súhlas aplikácii Microsoft Entra.
Od serverového vyťaženia až po serverovú časť služby Fabric
Vykonáva sa to pomocou tokenu SubjectAndApp pre rozhrania API na riadenie vyťaženia (napríklad ResolveItemPermissions) alebo s tokenom Predmet (pre iné rozhrania API služby Fabric).
Od serverového vyťaženia až po externé služby
Príkladom takejto komunikácie je písanie do súboru Lakehouse. Vykonáva sa to pomocou tokenu Predmet alebo tokenu aplikácie v závislosti od rozhrania API.
Ak plánujete komunikáciu so službami pomocou tokenu Predmet, uistite sa, že poznáte postupy v mene.
Ak chcete nastaviť prostredie na prácu s overovaním, pozrite si kurz Overovania.
Overenie rozhrania JavaScript API
Front-end služby Fabric ponúka rozhranie JavaScript API pre vyťaženia služby Fabric na získanie tokenu pre ich aplikáciu v službe Microsoft Entra ID. Pred prácou s overovaním rozhrania JavaScript API sa uistite, že prejdete na dokumentáciu o overení rozhrania JavaScript API .
Súhlasy
Ak chcete zistiť, prečo sa vyžadujú súhlasy, prečítajte si súhlas používateľa a správcu v ID služby Microsoft Entra.
Ako fungujú súhlasy pri vyťažení služby Fabric?
Ak chcete udeliť súhlas pre konkrétnu aplikáciu, fabric FE vytvorí inštanciu MSAL nakonfigurovanú s ID aplikácie vyťaženia a požiada o token pre daný rozsah (additionalScopesToConsent – pozrite si tému AcquireAccessTokenParams).
Keď budete žiadať o token v aplikácii na vyťaženie určený pre konkrétny rozsah, id Microsoft Entra zobrazí súhlas v prípade, že chýba, a potom presmeruje kontextové okno na identifikátor URI presmerovania nakonfigurovaný v aplikácii.
Identifikátor URI presmerovania sa zvyčajne nachádza v rovnakej doméne ako stránka, ktorá si vyžiadala token, aby stránka mohla získať prístup k kontextovej ponuke a zavrieť ju.
V našom prípade sa táto doména nenachádza v rovnakej doméne, pretože služba Fabric požaduje token a identifikátor URI presmerovania vyťaženia sa nenachádza v doméne služby Fabric, takže keď sa otvorí dialógové okno so súhlasom, je potrebné ho po presmerovaní manuálne zavrieť – nepoužime kód vrátený v identifikátore redirectUri, a preto ho len automaticky uzavrieme (keď id Microsoft Entra presmeruje kontextovú stránku na identifikátor URI presmerovania, zavrite).
Kód alebo konfiguráciu identifikátora Uri presmerovania môžete vidieť v index.ts súboru. Tento súbor nájdete v ukážke Microsoft-Fabric-workload-development-sample v klientskom priečinku.
Tu je príklad kontextovej ponuky súhlasu pre našu aplikáciu "Moja aplikácia vyťaženia" a jej závislostí (úložisko a Power BI), ktoré sme nakonfigurovali pri prechode na nastavené overovanie:
