Zdieľať cez

Použite spravované identity pre Azure s úložiskom Azure Data Lake

  • Článok

Azure Data Lake Storage poskytuje vrstvený bezpečnostný model. Tento model vám umožňuje zabezpečiť a riadiť úroveň prístupu k vašim úložným účtom, ktoré vyžadujú vaše aplikácie a podnikové prostredia, na základe typu a podmnožiny používaných sietí alebo zdrojov. Keď sú sieťové pravidlá nakonfigurované, k účtu úložiska môžu pristupovať iba aplikácie požadujúce údaje cez zadanú množinu sietí alebo cez zadanú množinu prostriedkov Azure. Prístup k svojmu účtu úložiska môžete obmedziť na požiadavky pochádzajúce zo zadaných adries IP, rozsahov IP, podsietí vo virtuálnej sieti Azure (VNet) alebo inštancií prostriedkov niektorých služieb Azure.

Spravované identity pre Azure, predtým známe ako Managed Service Identity (MSI), pomáhajú so správou tajomstiev. Microsoft Dataverse zákazníci využívajúci možnosti Azure vytvárajú spravovanú identitu (súčasť vytvárania podnikovej politiky), ktorú možno použiť pre jedno alebo viac Dataverse prostredí. Túto spravovanú identitu, ktorá bude poskytnutá vášmu nájomníkovi, potom použije Dataverse na prístup k vášmu dátovému jazeru Azure.

So spravovanými identitami je prístup k vášmu účtu úložiska obmedzený na žiadosti pochádzajúce z Dataverse prostredia spojeného s vaším nájomníkom. Keď sa Dataverse pripája k úložisku vo vašom mene, obsahuje dodatočné kontextové informácie, ktoré dokazujú, že žiadosť pochádza zo zabezpečeného dôveryhodného prostredia. To umožňuje úložisku poskytnúť Dataverse prístup k vášmu účtu úložiska. Spravované identity sa používajú na podpisovanie informácií o kontexte, aby sa vytvorila dôvera. Okrem zabezpečenia siete a infraštruktúry, ktoré poskytuje Azure pre pripojenia medzi službami Azure, sa tým pridáva zabezpečenie na úrovni aplikácií.

Predtým, ako začnete

  • Na vašom lokálnom počítači sa vyžaduje Azure CLI. Stiahnite si a nainštalujte
  • Potrebujete tieto dva moduly PowerShell. Ak ich nemáte, otvorte PowerShell a spustite tieto príkazy:
    • Modul Azure Az PowerShell: Install-Module -Name Az
    • Modul Azure Az.Resources PowerShell: Install-Module -Name Az.Resources
    • Power Platform admin modul PowerShell: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Prejdite na tento komprimovaný súbor priečinka na GitHub. Potom výberom možnosti Stiahnuť ju stiahnite. Extrahujte komprimovaný súbor priečinka do počítača na miesto, kde môžete spúšťať príkazy PowerShell. Všetky súbory a priečinky extrahované z komprimovaného priečinka by sa mali zachovať na ich pôvodnom mieste.
  • Na integráciu tejto funkcie vám odporúčame vytvoriť nový kontajner úložiska v rámci rovnakej skupiny prostriedkov Azure.

Povoľte podnikovú politiku pre vybraté predplatné Azure

Dôležité

Na dokončenie tejto úlohy musíte mať vlastník predplatného Azure . Získajte svoje Azure ID predplatného na stránke prehľadu pre skupinu prostriedkov Azure.

  1. Otvorte Azure CLI so spustením ako správca a prihláste sa do svojho predplatného Azure pomocou príkazu: az login Ďalšie informácie: prihlás sa pomocou Azure CLI
  2. (Voliteľné) Ak máte viacero predplatných Azure, nezabudnite spustiť Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } a aktualizujte predvolené predplatné.
  3. Rozbaľte komprimovaný priečinok, ktorý ste si stiahli ako súčasť Skôr než začnete pre túto funkciu, na miesto, kde môžete spustiť PowerShell.
  4. Ak chcete povoliť podnikovú politiku pre vybraté predplatné Azure, spustite skript PowerShell ./SetupSubscriptionForPowerPlatform.ps1.
    • Zadajte ID predplatného Azure.

Vytvorte podnikovú politiku

Dôležité

Na dokončenie tejto úlohy musíte mať vlastník skupiny prostriedkov Azure . Získajte svoje Azure ID predplatného, Poloha a Skupinu zdrojov name zo stránky prehľadu pre skupinu prostriedkov Azure.

  1. Vytvorte podnikovú politiku. Spustite skript PowerShell ./CreateIdentityEnterprisePolicy.ps1

    • Zadajte ID predplatného Azure.
    • Zadajte názov skupiny prostriedkov Azure.
    • Zadajte preferovaný názov podnikovej politiky.
    • Zadajte umiestnenie skupiny prostriedkov Azure.

  2. Po vytvorení politiky si uložte kópiu ResourceId .

Poznámka

Nasledujú platné umiestnenie vstupy podporované pri vytváraní politiky. Vyberte miesto, ktoré je pre vás najvhodnejšie.

Umiestnenia dostupné pre podnikovú politiku

Spojené štáty – EUAP

Spojené štáty americké

Južná Afrika

Spojené kráľovstvo

Austrália

Kórejská republika

Japonsko

India

Francúzsko

Európa

Ázia

Nórsko

Nemecko

Švajčiarsko

Kanada

Brazília

UAE

Singapur

Udeľte čitateľovi prístup k podnikovej politike cez Azure

Globálni správcovia Azure, správcovia Dynamics 365 a Power Platform správcovia môžu pristupovať do Power Platform centra spravovania a priradiť prostredia k podnikovej politike. Na prístup k podnikovým pravidlám sa vyžaduje, aby globálny správca alebo správca služby Azure Key Vault udelil rolu čitateľa správcovi Dynamics 365 alebo Power Platform . Po udelení roly čitateľa sa správcovi Dynamics 365 alebo Power Platform zobrazia podnikové pravidlá v Power Platform centre správcov.

Iba správcovia Dynamics 365 a Power Platform , ktorým bola udelená rola čitateľa k podnikovej politike, môžu do politiky „pridať prostredie“. Iní správcovia Dynamics 365 a PowerPlatform môžu mať možnosť zobraziť podnikovú politiku, ale pri pokuse o pridanie prostredia sa im zobrazí chyba.

Dôležité

Na dokončenie musíte mať - Microsoft.Authorization/roleAssignments/write oprávnenia, ako napríklad Správca prístupu používateľov alebo Vlastník túto úlohu.

  1. Prihláste sa na portál Azure.
  2. Získajte Power Platform správcovské ObjectID administrátora Dynamics 365.
    1. Prejdite do oblasti Používatelia .
    2. Otvorte používateľa Dynamics 365 alebo Power Platform správcu.
    3. Na stránke prehľadu pre používateľa skopírujte ObjectID.
  3. Získajte ID podnikovej politiky:
    1. Prejdite do Azure Resource Graph Explorer.
    2. Spustite tento dotaz: resources | where type == 'microsoft.powerplatform/enterprisepolicies' Spustite dotaz z Azure Resource Graph Explorer
    3. Posuňte sa napravo od stránky s výsledkami a vyberte odkaz Zobraziť podrobnosti .
    4. Na stránke Podrobnosti skopírujte ID.
  4. Otvorte Azure CLI a spustite nasledujúci príkaz, pričom <objId> nahraďte ObjectID používateľa a <EP Resource Id> ID podnikovej politiky.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Prepojte podnikovú politiku s Dataverse prostredím

Dôležité

Na dokončenie tejto úlohy musíte mať rolu Power Platform administrátora alebo správcu Dynamics 365 . Na dokončenie tejto úlohy musíte mať rolu Čítateľ pre podnikovú politiku.

  1. Získajte Dataverse ID prostredia.
    1. Prihláste sa do centra spravovania platformy Power Platform.
    2. Vyberte Prostredia a potom otvorte svoje prostredie.
    3. V sekcii Podrobnosti skopírujte ID prostredia.
    4. Ak chcete vytvoriť prepojenie na Dataverse prostredie, spustite tento skript PowerShell: ./NewIdentity.ps1
    5. Zadajte Dataverse identifikátor prostredia.
    6. Zadajte ResourceId.
      StatusCode = 202 označuje, že prepojenie bolo úspešne vytvorené.
  2. Prihláste sa do centra spravovania platformy Power Platform.
  3. Vyberte Prostredia a potom otvorte prostredie, ktoré ste zadali skôr.
  4. V oblasti Posledné operácie vyberte Úplná história na overenie pripojenia novej identity.

Nakonfigurujte sieťový prístup k Azure Data Lake Storage Gen2

Dôležité

Na dokončenie tejto úlohy musíte mať rolu Azure Data Lake Storage Gen2 Owner .

  1. Prejdite na portál Azure.

  2. Otvorte účet úložiska pripojený k vášmu profilu Azure Synapse Link for Dataverse .

  3. Na ľavom navigačnom paneli vyberte Sieť. Potom na karte Brány firewall a virtuálne siete vyberte nasledujúce nastavenia:

    1. Povolené z vybraných virtuálnych sietí a adries IP.
    2. V časti Inštancie prostriedkov vyberte Povoliť službám Azure v zozname dôveryhodných služieb prístup k tomuto účtu úložiska

  4. Vyberte Uložiť.

Nakonfigurujte sieťový prístup k pracovnému priestoru Azure Synapse

Dôležité

Na dokončenie tejto úlohy musíte mať rolu správcu Synapse Azure.

  1. Prejdite na portál Azure.
  2. Otvorte Azure Synapse pracovný priestor pripojený k vášmu Azure Synapse Link for Dataverse profilu.
  3. Na ľavom navigačnom paneli vyberte Sieť.
  4. Vyberte Povoliť službám a prostriedkom Azure prístup k tomuto pracovnému priestoru.
  5. Ak existujú pravidlá brány firewall IP pre celý rozsah IP adries, odstráňte ich, aby ste obmedzili prístup k verejnej sieti. Azure Synapse nastavenia siete pracovného priestoru
  6. Pridajte nové pravidlo brány firewall IP na základe adresy IP klienta.
  7. Po dokončení vyberte Uložiť . Ďalšie informácie: Azure Synapse Analytics Pravidlá brány firewall IP

Dôležité

Dataverse: Musíte mať Dataverse správcu systému rola zabezpečenia. Okrem toho tabuľky, ktoré chcete exportovať cez Azure Synapse Link , musia mať povolenú vlastnosť Sledovať zmeny . Viac informácií: Rozšírené možnosti

Azure Data Lake Storage Gen2: Musíte mať účet Azure Data Lake Storage Gen2 a rolu prístupu Vlastník a Prispievateľ dát do úložiska Blob. Váš účet úložiska musí povoliť hierarchický priestor názvov na úvodné nastavenie aj delta synchronizáciu. Vyžaduje sa prístup ku kľúču účtu úložiska len pre počiatočné nastavenie.

Pracovný priestor Synapse: Musíte mať pracovný priestor Synapse a rolu prístupu Správca Synapse v rámci Synapse Studio. Pracovný priestor Synapse musí byť v rovnakej oblasti ako váš účet Azure Data Lake Storage Gen2. Účet úložiska musí byť pridaný ako prepojená služba v aplikácii Synapse Studio. Ak chcete vytvoriť pracovný priestor Synapse, prejdite na Vytvorenie pracovného priestoru Synapse.

Keď vytvoríte prepojenie, Azure Synapse Link for Dataverse získa podrobnosti o aktuálne prepojenej podnikovej politike v Dataverse prostredí a potom uloží do vyrovnávacej pamäte tajnú adresu URL klienta identity na pripojenie k Azure.

  1. Prihláste sa Power Apps a vyberte svoje prostredie.
  2. Na ľavej navigačnej table vyberte Azure Synapse Link a potom vyberte + Nový odkaz. Ak sa položka nenachádza na table bočného panela, vyberte položku … Viac a potom vyberte požadovanú položku.
  3. Vyberte Vyberte Podnikovú politiku s identitou spravovanej služby a potom vyberte Ďalej.
  4. Pridajte tabuľky, ktoré chcete exportovať, a potom stlačte možnosť Uložiť.

Poznámka

Ak chcete sprístupniť príkaz Použiť spravovanú identitu v Power Apps, musíte dokončiť vyššie uvedené nastavenie, aby ste pripojili podnikovú politiku k svojmu Dataverse životné prostredie. Ďalšie informácie: Prepojenie podnikovej politiky s Dataverse prostredím

  1. Prejdite na existujúci profil Synapse Link z Power Apps (make.powerapps.com).
  2. Vyberte Použiť spravovanú identitu a potom potvrďte. Použite príkaz spravovanej identity v Power Apps

Riešenie problémov

Ak sa počas vytvárania prepojenia zobrazí chyba 403:

  • Spravovaným identitám trvá udelenie prechodného povolenia počas úvodnej synchronizácie dlhší čas. Dajte tomu nejaký čas a skúste operáciu zopakovať neskôr.
  • Uistite sa, že prepojený ukladací priestor nemá existujúci kontajner Dataverse (dataverse-environmentName-organizationUniqueName) z rovnakého prostredia.
  • Prepojenú podnikovú politiku môžete identifikovať a policyArmId spustením skriptu PowerShell ./GetIdentityEnterprisePolicyforEnvironment.ps1 s Azure ID predplatného a Názov skupiny zdrojov .
  • Podnikovú politiku môžete zrušiť spustením skriptu PowerShell ./RevertIdentity.ps1 s Dataverse ID prostredia a policyArmId.
  • Podnikovú politiku môžete odstrániť spustením skriptu PowerShell .\RemoveIdentityEnterprisePolicy.ps1 s policyArmId.

Známe obmedzenie

Iba jedna podniková politika sa môže súčasne pripojiť k Dataverse prostrediu. Ak potrebujete vytvoriť viacero Azure Synapse Link prepojení s povolenou spravovanou identitou, uistite sa, že všetky prepojené prostriedky Azure sú v rovnakej skupine prostriedkov.

Pozrite si tiež

Čo je to Azure Synapse Link for Dataverse?