Prehľad overovania (Preview)
Vyťaženia služby Fabric sa spoliehajú na integráciu s ID služby Microsoft Entra na overovanie a autorizáciu.
Všetky interakcie medzi vyťažením a inými súčasťami služby Fabric alebo Azure musia byť sprevádzané správnou podporou overovania pre prijaté alebo odoslané žiadosti. Odosielané tokeny sa musia generovať správne a prijaté tokeny musia byť tiež správne overené.
Skôr než začnete pracovať s vyťaženiami služby Fabric, odporúča sa oboznámiť sa s platformou microsoft identity. Odporúča sa tiež prejsť na platformu Microsoft identity osvedčené postupy a odporúčania.
Postupy
Od vyťaženia klientskej až po serverovú časť vyťaženia
Príkladom takejto komunikácie je rozhranie API na ľubovoľnej údajovej rovine. Táto komunikácia sa vykonáva pomocou tokenu Predmet (delegovaný token).
Informácie o tom, ako získať token vo vyťažení FE, nájdete v téme Rozhranie API na overovanie. Okrem toho sa uistite, že ste prešli na overenie tokenu v prehľade Overenia a overenia na konci.
Od serverového vyťaženia služby Fabric až po serverové vyťaženie
Príkladom takejto komunikácie je vytvorenie položky vyťaženia. Táto komunikácia sa vykonáva pomocou tokenu SubjectAndApp, ktorý je špeciálnym tokenom, ktorý obsahuje token aplikácie spolu s tokenom predmetu (ďalšie informácie o tomto tokene nájdete v téme Overovanie na konci a prehľad oprávnenia).
Aby toto oznámenie fungovalo, používateľ, ktorý používa toto oznámenie, musí udeliť súhlas aplikácii Entra.
Od serverového vyťaženia až po serverovú časť služby Fabric
Vykonáva sa to pomocou tokenu SubjectAndApp pre rozhrania API na riadenie vyťaženia (napríklad ResolveItemPermissions) alebo s tokenom Predmet (pre iné rozhrania API služby Fabric).
Od serverového vyťaženia až po externé služby
Príkladom takejto komunikácie je písanie do súboru Lakehouse. Vykonáva sa to pomocou tokenu Predmet alebo tokenu aplikácie v závislosti od rozhrania API.
Ak plánujete komunikáciu so službami pomocou tokenu Predmet, uistite sa, že poznáte postupy v mene.
Ak chcete nastaviť prostredie na prácu s overovaním, pozrite si kurz Overovania.
Práca s tokenmi
Vaša predná časť by mala požiadať o token workloadClient.auth.acquireAccessToken({});. Tento token môžete použiť na overenie so serverovým serverom.
Ak chcete získať prístup k určitému zdroju, pošlite svoj token na server a skúste si ho pre tento zdroj vymeniť pomocou postupu OBO. Môžete tiež použiť token prijatý z rozhrania API riadenia (CRUD/Jobs) a skúsiť ho vymeniť za tento zdroj.
Ak výmena zlyhá z dôvodov udelenia súhlasu, informuje vás pred vás a zavolajte workloadClient.auth.acquireAccessToken({additionalScopesToConsent:[resource]}); a skúste to znova.
Ak výmena zlyhá z dôvodov viacfaktorového overovania, informujte ju prednú časť spolu s nárokom, ktorý ste dostali pri pokuse o výmenu a volanie metódy workloadClient.auth.acquireAccessToken({claimsForConditionalAccessPolicy:claims});.
Príklady nájdete v príklade: Chybová odpoveď.
Poznámka
Token, ktorý získate pri získavaní tokenu v klientskej časti, nie je spojený s príponou additionalScopesToConsent, ktorú odovzdávate. To znamená, že keď používateľ prijme súhlas, môžete použiť ľubovoľný token, ktorý ste získali workloadClient.auth.acquireAccessToken pre svoj postup OBO.
Overenie rozhrania JavaScript API
Front-end služby Fabric ponúka rozhranie JavaScript API pre vyťaženia služby Fabric na získanie tokenu pre ich aplikáciu v službe Microsoft Entra ID. Pred prácou s overovaním rozhrania JavaScript API sa uistite, že prejdete na dokumentáciu o overení rozhrania JavaScript API .
API
acquireAccessToken(params: AcquireAccessTokenParams): Promise<AccessToken>;
export interface AcquireAccessTokenParams {
additionalScopesToConsent?: string[];
claimsForConditionalAccessPolicy?: string;
}
Rozhranie API vráti objekt AccessToken obsahujúci samotný token a dátum skončenia platnosti tokenu.
Ak chcete zavolať rozhranie API v ukážke klientskej verzie, vytvorte vzorovú položku, posuňte sa nadol a vyberte položku Prejsť na stránku overenia. Odtiaľ môžete vybrať položku Získať prístupový token a dostanete token späť.
Súhlasy
Ak chcete zistiť, prečo sa vyžadujú súhlasy, prečítajte si súhlas používateľa a správcu v ID služby Microsoft Entra.
Poznámka
Na fungovanie a získavanie tokenov v rámci nájomníkov sa vyžadujú súhlasy pre funkcie CRUD/Jobs.
Ako fungujú súhlasy pri vyťažení služby Fabric?
Ak chcete udeliť súhlas pre konkrétnu aplikáciu, fabric FE vytvorí inštanciu MSAL nakonfigurovanú s ID aplikácie vyťaženia a požiada o token pre daný rozsah (additionalScopesToConsent – pozrite si tému AcquireAccessTokenParams).
Keď budete žiadať o token v aplikácii na vyťaženie určený pre konkrétny rozsah, id Microsoft Entra zobrazí súhlas v prípade, že chýba, a potom presmeruje kontextové okno na identifikátor URI presmerovania nakonfigurovaný v aplikácii.
Identifikátor URI presmerovania sa zvyčajne nachádza v rovnakej doméne ako stránka, ktorá si vyžiadala token, aby stránka mohla získať prístup k kontextovej ponuke a zavrieť ju.
V našom prípade sa táto doména nenachádza v rovnakej doméne, pretože služba Fabric požaduje token a identifikátor URI presmerovania vyťaženia sa nenachádza v doméne služby Fabric, takže keď sa otvorí dialógové okno so súhlasom, je potrebné ho po presmerovaní manuálne zavrieť – nepoužime kód vrátený v identifikátore redirectUri, a preto ho len automaticky uzavrieme (keď id Microsoft Entra presmeruje kontextovú stránku na identifikátor URI presmerovania, zavrite).
Kód alebo konfiguráciu identifikátora Uri presmerovania môžete vidieť v index.ts súboru. Tento súbor nájdete v ukážke Microsoft-Fabric-workload-development-sample v klientskom priečinku.
Tu je príklad kontextovej ponuky súhlasu pre našu aplikáciu "Moja aplikácia vyťaženia" a jej závislostí (úložisko a Power BI), ktoré sme nakonfigurovali pri prechode na nastavené overovanie:
Keď hovoríme o funkcii AcquireAccessTokenParams, zistíme, ako pracovať so súhlasmi.
Ďalší spôsob udelenia súhlasu v domovskom nájomníkovi (voliteľné)
Ďalšie informácie o tom, ako udeliť súhlas v domovskom nájomníkovi aplikácie pomocou nasledujúcej URL adresy (vložte svoje ID nájomníka a ID klienta) nájdete v dokumentácii rozhrania JavaScript API:
https://login.microsoftonline.com/{tenantId}/adminconsent?client_id={clientId}