Користите контролисане идентитете за Азуре са складиштем Азуре језера са подацима

Azure Data Lake Storage обезбеђује слојевит безбедносни модел. Овај модел вам омогућава да обезбедите и контролишете ниво приступа налозима за складиштење које захтевају апликације и пословна окружења, на основу типа и подскупа мрежа или ресурса који се користе. Када су мрежна правила конфигурисана, само апликације које захтевају податке преко наведеног скупа мрежа или преко наведеног скупа Азуре ресурса могу да приступе налогу за складиштење. Приступ налогу за складиштење можете ограничити на захтеве који потичу из наведених ИП адреса, ИП опсега, подмрежа у Азуре виртуелној мрежи (ВНет) или инстанци ресурса неких Азуре услуга.

Контролисани идентитети за Азуре, раније познате као Управљани идентитет услуге (МСИ), помажу у управљању тајнама. Microsoft Dataverse клијенти који користе Азуре могућности креирају управљани идентитет (део креирања смерница предузећа) који се може користити за једно или више Dataverse окружења. Овај управљани идентитет који ће бити обезбеђен код вашег станара се затим користи за приступ Dataverse вашем Азуре језеру са подацима.

Са контролисаним идентитетима, приступ налогу за складиштење је ограничен на захтеве који потичу из окружења Dataverse повезаног са вашим закупцем. Када Dataverse се повеже са складиштем у ваше име, он укључује додатне информације о контексту да би се доказало да захтев потиче из безбедног окружења од поверења. Ово омогућава складишту да одобри Dataverse приступ вашем налогу за складиштење. Контролисани идентитети се користе за потписивање информација о контексту да би се успоставила поузданост. Ово додаје безбедност на нивоу апликације поред мрежне и инфраструктурне безбедности коју обезбеђује Азуре за везе између Азуре услуга.

Пре него што почнете

• Азуре ЦЛИ је обавезан на вашој локалној машини. Преузимање и инсталирање
• Потребна су вам ова два ПоwерСхелл модула. Ако их немате, отворите ПоwерСхелл и покрените ове команде:
  • Азуре Аз ПоwерСхелл модул: Install-Module -Name Az
  • Азуре Аз.Ресоурцес ПоwерСхелл модул: Install-Module -Name Az.Resources
  • Power Platform админ ПоwерСхелл модул: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
• Идите на ову датотеку компримоване фасцикле на ГитХуб-у. Затим кликните на дугме "Преузми " да бисте га преузели. Издвојите датотеку компримоване фасцикле на рачунар на локацији на којој можете да покренете поwерСхелл команде. Све датотеке и фасцикле издвојене из компримоване фасцикле треба да буду очуване на оригиналној локацији.
• Препоручујемо да креирате нови контејнер за складиштење под истом групом ресурса Азуре да бисте се укрцали на ову функцију.

Омогући смернице предузећа за изабрану Азуре претплату

Важно

Морате имати приступ улози власника Азуре претплате да бисте довршили овај задатак. Набавите свој Азуре ИД претплате са странице за преглед Азуре групе ресурса.

1. Отворите Азуре ЦЛИ са покретањем као администратор и пријавите се на Азуре претплату користећи команду: az login Више информација: пријавите се помоћу Азуре ЦЛИ
2. (Опционално ) Ако имате више Азуре претплата, обавезно покрените да бисте Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } ажурирали подразумевану претплату.
3. Развијте компримовану фасциклу коју сте преузели као део функције Пре него што почнете са овом функцијом на локацију на којој можете да покренете ПоwерСхелл.
4. Да бисте омогућили смернице предузећа за изабрану Азуре претплату, покрените ПоwерСхелл скрипту./СетупСубсцриптионФорПоwерПлатформ.ps1.
   • Наведите ИД Азуре претплате.

Креирање смерница предузећа

Важно

Да бисте довршили овај задатак, морате имати приступ улози Азуре групе ресурса Власник. Набавите свој ИД Азуре претплате ,, Локација " и име групе ресурса са странице за преглед групе ресурса Азуре.

1. Креирајте смернице предузећа. Покрени ПоwерСхелл скрипту ./CreateIdentityEnterprisePolicy.ps1

   • Наведите ИД Азуре претплате.
   • Наведите име групе ресурса Азуре.
   • Наведите жељено име смерница предузећа.
   • Наведите локацију групе ресурса Азуре.

2. Сачувајте копију ИД-а ресурса након креирања смерница.

Напомена

Следе важећи уноси локације подржани за креирање смерница. Изаберите локацију која вам највише одговара.

Доступне локације за смернице предузећа

САД – EUAP

Сједињене Државе

Јужноафричка Република

Уједињено Краљевство

Аустралија

Јужна Кореја

Јапан

Индија

Француска

Европа

Азија

Норвешка

Немачка

Швајцарска

Канада

Бразил

УАЕ

Сингапур

Одобрите читалац приступ политици предузећа путем Азуре

Азуре глобални администратори, Дyнамицс 365 администратори и Power Platform администратори могу да Power Platform приступе административном центру да би доделили окружења смерницама предузећа. Да бисте приступили смерницама предузећа, потребан је глобални или Азуре кеy админ трезора да би доделио читалац улогу Дyнамицс 365 или Power Platform администратору. Када читалац улогу, Дyнамицс 365 Power Platform или администратори ће видети смернице предузећа у администратор Power Platform центру.

Смерници могу да "додају окружење" само Дyнамицс 365 Power Platform и администратори којима је додељена читалац улогу предузећа. Други Дyнамицс 365 и ПоwерПлатформ администратори ће можда моћи да виде смернице предузећа, али ће добити грешку када покушају да додају окружење.

Важно

Морате да имате дозволе Microsoft.Authorization/roleAssignments/write , као што су администратор корисничког приступа или власник да бисте довршили овај задатак.

1. пријавите се на Азуре портал.
2. Набавите Дyнамицс 365 Power Platform ИД администраторског корисника.
   1. Идите у област "Корисници ".
   2. Отворите Дyнамицс 365 или администраторски Power Platform корисник.
   3. Испод странице за преглед корисника копирајте ИД објекта.
3. Прибавите ИД смерница предузећа:
   1. Идите у Азуре Ресоурце Грапх Еxплорер.
   2. Покрени овај упит: resources | where type == 'microsoft.powerplatform/enterprisepolicies'
   3. Померите се са десне стране странице са резултатима и изаберите везу Погледајте детаље.
   4. На страници " Детаљи" копирајте ИД.
4. Отворите Азуре ЦЛИ и покрените следећу команду <objId> , замењујући је ИД-ом · <EP Resource Id> објекта корисника и ИД-ом смерница предузећа.
   • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Повезивање смерница предузећа са окружењем Dataverse

Важно

Морате имати улогу администратора Power Platform или Дyнамицс 365 администратора да бисте довршили овај задатак. Морате да имате читалац да би смернице предузећа довршене.

1. Набавите ИД Dataverse окружења.
   1. Пријавите се у Power Platform центар администрације.
   2. Изаберите окружења, а затим отворите окружење.
   3. У одељку Детаљи копирајте ИД окружења.
   4. Да бисте се повезали са Dataverse окружењем, покрените ову ПоwерСхелл скрипту: ./NewIdentity.ps1
   5. Обезбедите ИД Dataverse окружења.
   6. Наведите ИД ресурса.
      СтатусЦоде = 202 означава да је веза успешно креирана.
2. Пријавите се у Power Platform центар администрације.
3. Изаберите окружења, а затим отворите окружење које сте раније навели.
4. У области недавних · операција изаберите пуну историју да бисте проверили везу новог идентитета.

Конфигурисање мрежног приступа gen2 Azure Data Lake Storage

Важно

Морате имати улогу власника Azure Data Lake Storage gen2 да бисте довршили овај задатак.

1. Иди на Азуре портал.

2. Отворите налог за складиштење повезан са вашим профилом Azure Synapse Link for Dataverse .

3. У левом окну за навигацију изаберите ставку Умрежавање. Затим на картици Заштитни зидови и виртуелне мреже изаберите следеће поставке:

   1. Омогућено са изабраних виртуелних мрежа и ИП адреса.
   2. У оквиру Инстанце ресурса изаберите дозволи Азуре услуге на листи поузданих услуга да бисте приступили овом налогу за складиштење

4. Изаберите Сачувај.

Конфигурисање мрежног приступа радном Azure Synapse простору

Важно

Морате имати улогу администратора синапсе Азуре да бисте довршили овај задатак.

1. Иди на Азуре портал.
2. Отворите радни Azure Synapse простор повезан са вашим профилом Azure Synapse Link for Dataverse .
3. У левом окну за навигацију изаберите ставку Умрежавање.
4. Изаберите опцију Дозволи Азуре услугама и ресурсима да приступе овом радном простору.
5. Ако постоје правила ИП заштитног зида креирана за цео ИП опсег, избришите их да бисте ограничили приступ јавној мрежи.
6. Додајте ново правило ИП заштитног зида засновано на ИП адреси клијента.
7. Изаберите сачувај · када завршите. Више информација:Правила Azure Synapse Analytics ИП заштитног зида

Креирање новог са контролисаним Azure Synapse Link for Dataverse идентитетом

Важно

Dataverse: Морате имати администратора Dataverse система < ДИЦТ__безбедносна улога > сецуритy роле</ДИЦТ__безбедносна улога >. Поред тога, табеле преко којих желите да извезете Azure Synapse Link морају да имају омогућено својство "Прати промене". Више информација: напредне опције

Azure Data Lake Storage Gen2: Морате имати Azure Data Lake Storage Gen2 налог и приступ улогама Власник и Сарадник за податке складишта блоб објеката. Налог за складиштење мора да омогући хијерархијски простор за име за почетно подешавање и за синхронизацију делте. За почетно подешавање потребан је приступ кључу налога за складиштење.

Synapse радни простор: Морате имати приступ улогама Synapse радни простор и Synapse администратор у оквиру Synapse студија. Synapse радни простор мора да буде у истој области као и ваш Azure Data Lake Storage Gen2 налог. Налог за складиштење мора да буде додат као повезана услуга у програму Synapse Studio. Да бисте креирали Synapse радни простор, идите на Креирање Synapse радног простора.

Када креирате везу, добијате детаље о Azure Synapse Link for Dataverse тренутно повезаним смерницама предузећа у Dataverse оквиру окружења, а затим кеши тајну УРЛ адресу клијента идентитета да бисте се повезали са Азуре.

1. пријавите се Power Apps и изаберите окружење.
2. У левом окну за навигацију изаберите Azure Synapse Link ставку, а затим изаберите ставку + Нова веза. Ако се ставка не налази у окну бочне табле, изаберите …Више, а затим изаберите ставку коју желите.
3. Изаберите ставку Изаберите смернице предузећа са контролисаним идентитетом услуге, а затим кликните на дугме Даље.
4. Додајте табеле које желите да извезете, а затим изаберите Сачувај.

Омогућавање контролисаног идентитета за постојећи Azure Synapse Link профил

Напомена

Да бисте команду " Користи управљани идентитет" учинили доступном Power Apps, потребно је да довршите горе наведено подешавање да бисте повезали смернице предузећа са окружењем Dataverse . Више информација:Повежите смернице предузећа са окружењем Dataverse

1. Идите на постојећи профил сyнапсе Линк из Power Apps (#пии_ијфидејз).
2. Изаберите опцију Користи управљани идентитет, а затим потврдите.

Решавање проблема

Ако током креирања везе добијете 403 грешке:

• Контролисаним идентитетима је потребно додатно време да дају пролазну дозволу током почетне синхронизације. Дајте јој мало времена и покушајте операцију касније.
• Уверите се да повезано складиште нема постојећи контејнер Dataverse (датаверсе-енвиронментНаме-организатионУниqуеНаме) из истог окружења.
• Повезане смернице предузећа и покретањем policyArmId ПоwерСхелл скрипте са ./GetIdentityEnterprisePolicyforEnvironment.ps1 ИД-ом Азуре претплате и именом групе ресурса можете да идентификујете .
• Смернице предузећа можете да раскинете покретањем ПоwерСхелл скрипте ./RevertIdentity.ps1 са ИД-ом Dataverse окружења и policyArmId.
• Смернице предузећа можете уклонити покретањем ПоwерСхелл скрипте .\РемовеИдентитyЕнтерприсеПолицy.ps1 са смерницамаАрмИд.

Познато ограничење

Само једна смерница предузећа може истовремено да се повеже Dataverse са окружењем. Ако је потребно да креирате више веза Azure Synapse Link са омогућеним контролисаним идентитетом, уверите се да су сви повезани Азуре ресурси под истом групом ресурса.

Погледајте и

Шта је то Azure Synapse Link for Dataverse?