Nastavenie overovania (Preview)

Poznámka

Ak chcete nakonfigurovať nasledujúce nastavenia overovania v sprievodcovi nastavením, vyžaduje sa rola globálneho správcu.

Aby ste mohli pracovať s overovaním, musíte nastaviť jeho tri časti:

• Aplikácia Microsoft Entra ID
• Ukážka klientskej
• Serverová ukážka

Ak chcete pracovať s overovaním v službe Fabric, postupujte podľa tejto príručky.

Poskytovanie služby úložiska Azure

Ukážka ukazuje, ako ukladať a čítať údaje z úložiska lakehouse a do ich domov. Vyžaduje generovanie tokenov pre službu Azure Storage v postupoch OBO. Na generovanie tokenov musia používatelia udeliť súhlas s aplikáciou pomocou služby Azure Storage. Ak chcete udeliť súhlas, musí byť služba Azure Storage zriadená v nájomníkovi.

Ak chcete mať istotu, že úložisko Azure Storage je zriadené v nájomníkovi:

1. Prihláste sa na portál Azure

2. Prejdite na podnikové aplikácie Microsoft Entra ID>

3. Vo filtroch vyberte typ aplikácie = všetky aplikácie. ID aplikácie začína reťazcom e406a681-f3d4-42a8-90b6-c2b029497af1

   

Ak sa vám zobrazuje aplikácia Azure Storage, znamená to, že už bola zriadená a môžete pokračovať v ďalšom kroku. Ak nie, globálny správca ho musí nakonfigurovať.

Otvorte prostredie Windows PowerShell ako správca a spustite nasledujúci skript:

Install-Module az  
Import-Module az  
Connect-AzureAD  
New-AzureADServicePrincipal -AppId e406a681-f3d4-42a8-90b6-c2b029497af1

Manuálna konfigurácia aplikácie v službe Microsoft Entra ID

Na prácu s overovaním potrebujete aplikáciu zaregistrovanú v systéme Microsoft Entra ID. Ak nemáte zaregistrovanú aplikáciu, podľa tohto sprievodcu vytvorte novú aplikáciu.

1. Použite na svoju aplikáciu nasledujúce konfigurácie:

   • Vytvorte aplikáciu ako viacúčelovú.
   • V prípade vývojárskych aplikácií nakonfigurujte identifikátor URI presmerovania ako http://localhost:60006/close s platformou SPA. Táto konfigurácia sa vyžaduje pre našu podporu súhlasu. Podľa potreby môžete pridať ďalšie identifikátory URI presmerovania.

   Poznámka

   • Identifikátor URI presmerovania by mal byť identifikátor URI, ktorý pri prechode naň jednoducho zavrie stránku. Identifikátor URI http://localhost:60006/close je už nakonfigurovaný v klientskej ukážke a môžete ho zmeniť v časti Klientsky/src/index.ts (Ak ho zmeníte, uistite sa, že zodpovedá identifikátoru nakonfigurovanom pre vašu aplikáciu).
   • Identifikátor URI presmerovania môžete nakonfigurovať po vytvorení aplikácie z ponuky Spravovať v časti Overovanie.
   • URL adresa presmerovania musí vrátiť html stránku, ktorá len volá reťazec JS "windows.close()".

   

2. Zmeňte identifikátor URI ID aplikácie pre svoju aplikáciu. Prejdite do časti Spravovať >vystavenie rozhrania API a upravte identifikátor URI ID aplikácie pre vašu aplikáciu:

   V scenári vývoja by mal identifikátor URI ID aplikácie začínať reťazcom: api://localdevinstance/<Workload publisher's tenant ID in lower case (the tenant ID of the user used in Fabric to run the sample)>/<Name of your workload> a voliteľným podprogramom na konci, ktorý začína / na (pozri príklady).

   Kde:

   • Názov vyťaženia je presne tak, ako je uvedený v manifeste.
   • Identifikátor URI sa nekončí lomkou.
   • Na konci identifikátora ID URI môže byť voliteľný vedľajšíprogram pozostávajúci z reťazca anglického jazyka s malými alebo veľkými písmenami, číslami a pomlčkami do 36 znakov.

   Prepitné

   Ak potrebujete pomoc s vyhľadať ID nájomníka, pozrite si tému Ako nájsť ID nájomníka microsoft Entra.

   Ak má napríklad ID nájomníka vydavateľa 853d9f4f-c71b-4420-b6ec-60e503458946 a názov vyťaženia je Fabric.WorkloadSample :

   • Nasledujúce URI sú platné

     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample
     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/abc

   • Nasledujúce URI nie sú platné

     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/af/
     • api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample/af/a
     • Akýkoľvek identifikátor URI ID, ktorý sa nezačíná api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample

Pridanie rozsahu úloh CRUD/jobs

Ak chcete pracovať s rozhraniami Create, Read, Update a Delete API pre položky vyťaženia a vykonávať iné operácie s úlohami, pridajte rozsah. Okrem toho pridajte dve špecializované aplikácie služby Fabric do predauthorizovaných aplikácií pre tento rozsah, ktoré označujú, že vaše rozhranie API (rozsah, ktorý ste vytvorili) dôveruje službe Fabric:

• V časti Vystavenie rozhrania API vyberte položku Pridať rozsah. Pomenujte rozsah FabricWorkloadControl a zadajte potrebné podrobnosti.

• V časti Oprávnené klientske aplikácie vyberte položku Pridať klientsku aplikáciu. Pridajte d2450708-699c-41e3-8077-b0c8341509aa (klient služby Fabric pre aplikáciu na vyťaženie) a vyberte váš rozsah.

Pridanie rozsahov pre rozhranie API s rovinou údajov

Iné rozsahy je potrebné zaregistrovať, aby predstavovali skupiny operácií vystavených rozhraniu API na základe údajovej roviny. V serverovej ukážke uvádzame štyri príklady. Môžete ich zobraziť v časti Backend/src/Constants/scopes.cs. Ide o tieto rozsahy:

• Item1.Read.All: Používa sa na čítanie položiek vyťaženia
• Item1.ReadWrite.All: Používa sa na čítanie a písanie položiek vyťaženia
• FabricLakehouse.Read.All: Používa sa na čítanie súborov Lakehouse
• FabricLakehouse.ReadWrite.All: Používa sa na čítanie a písanie súborov lakehouse

Pre tieto rozsahy je určená predbežná autorizácia (klientska aplikácia služby Fabric).871c010f-5e61-4fb1-83ac-98610a7e9110

ID aplikácií týchto aplikácií nájdete v službách Microsoft Power BI a Power BI.

Takto by mala vyzerať časť Sprístupňovanie rozhrania API vo vašej aplikácii. Identifikátor URI ID v tomto príklade je api://localdevinstance/853d9f4f-c71b-4420-b6ec-60e503458946/Fabric.WorkloadSample:

Generovanie tajného kódu pre aplikáciu

V časti Certifikáty a tajomstvá vyberte kartu Secrets (Tajné kódy ) a pridajte tajný kód. Zadajte ľubovoľné meno a uložte ho. Tento tajný kód použite pri konfigurácii serverovej ukážky.

Pridanie voliteľného argumentu idtyp

V časti Konfigurácia tokenu vyberte položku Pridať voliteľné tvrdenie. Vyberte prístupový token a pridajte idtyp.

Pridanie povolení rozhrania API

V časti Povolenia API pridajte požadované povolenia pre svoju aplikáciu. Pre serverovú ukážku pridajte položky Úložisko user_impersonation (pre rozhrania API OneLake) a Pracovný priestor Power BI.Read.all (pre rozhrania API na riadenie vyťaženia):

Ďalšie informácie o povoleniach rozhrania API nájdete v téme Aktualizácia požadovaných povolení aplikácie v službe Microsoft Entra ID.

Skontrolujte, či je aplikácia nastavená tak, aby fungovala s overovým tokenom v1.

V časti Manifest sa uistite, že accessTokenAcceptedVersion je nastavená buď na hodnotu null, alebo na hodnotu 1.

Automatická konfigurácia aplikácie v identite Microsoft Entra pomocou skriptu

Pri zjednodušenom nastavovaní aplikácie v službe Microsoft Entra Identity sa môžete rozhodnúť používať automatizovaný skript PowerShell. Ak chcete nakonfigurovať aplikáciu, postupujte podľa týchto krokov:

1. Inštalácia rozhrania Azure CLI: Začnite inštaláciou rozhrania príkazového riadka platformy Azure (CLI) Inštalácia rozhrania Azure CLI pre Windows | Microsoft Learn2.
2. Spustite skript CreateDevAADApp.ps1: spustite skript CreateDevAADApp. Zobrazí sa výzva na prihlásenie pomocou poverení používateľského konta, podľa ktorého máte v úmysle vytvoriť aplikáciu.
3. Zadajte požadované informácie: Po zobrazení výzvy zadajte požadovaný názov aplikácie, názov vyťaženia (pred názvom "Organizácia."), a ID nájomníka.

Po úspešnom spustení skriptu vytvorí výstup všetky potrebné podrobnosti na konfiguráciu vyťaženia. Okrem toho poskytuje priamu URL adresu vašej aplikácie a URL adresu na súhlas správcu pre oprávnenie aplikácií pre celého nájomníka.

Príklad použitia

Ak chcete vytvoriť aplikáciu s názvom myWorkloadApp s názvom vyťaženia Org.Myworkload pre zadaného nájomníka, spustite v prostredí PowerShell nasledujúci príkaz:

powershell .\CreateDevAADApp.ps1 -applicationName "myWorkloadApp" -workloadName "Org.Myworkload" -tenantId "cb1f79ad-7930-43c0-8d84-c1bf8d15c8c7"

Tento príklad ukazuje, ako používať CreateDevAADApp.ps1 skript s argumentmi príkazového riadka na automatizáciu procesu nastavenia aplikácie. Poskytnuté ID nájomníka je príkladom a malo by sa nahradiť vaším skutočným ID nájomníka.

Konfigurácia vyťaženia (backend)

1. V ukážke backendu prejdite na src/appsettings.json súbor v odkladacom priestore a nakonfigurujte nastavenia:

   • PublisherTenantId: ID nájomníka vydavateľa
   • ClientId: ID vašej aplikácie (nájdete ho v časti Id entra spoločnosti Microsoft v časti Prehľad).
   • ClientSecret: Tajný kód, ktorý ste vytvorili pri konfigurácii aplikácie Microsoft Entra.
   • Audience: Identifikátor URI ID, ktorý sme nakonfigurovali v aplikácii Microsoft Entra.

2. Nakonfigurujte workloadManifest.xml. Prejdite do src/Packages/manifest/files/WorkloadManifest.xml súboru v odkladacom priestore a nakonfigurujte identifikátor AppId, redirectUria ResourceId (ID URI) v časti AADApps.

<AADApp>
    <AppId>YourApplicationId</AppId>
    <RedirectUri>YourRedirectUri</RedirectUri>
    <ResourceId>YourResourceId</ResourceId>
</AADApp>

Konfigurácia lokálneho manifestu vyťaženia

Poznámka

Tento krok sa vzťahuje len na scenár devmode.

Po konfigurácii aplikácie aktualizujte nasledujúce konfigurácie v .env.dev konfiguračnom súbore, ktorý sa nachádza v klientskom priečinku:

"DEV_AAD_CONFIG_AUDIENCE": "", // The ID URI configured in your application for developer scenario

"DEV_AAD_CONFIG_REDIRECT_URI": "http://localhost:60006/close", // or the path you configured in index.ts

"DEV_AAD_CONFIG_APPID": "" // your app Id

Informácie o tom, ako pracovať s overovaním vo vyťaženiach, nájdete v téme Pokyny na overovanie vyťaženia a podrobné informácie.