Deli putem

Koristite upravljane identitete za Azure sa skladištem Azure Data Lake

  • Članak

Azure Data Lake Storage Pruža slojeviti bezbednosni model. Ovaj model vam omogućava da obezbedite i kontrolišete nivo pristupa vašim računima za skladištenje koje vaše aplikacije i poslovna okruženja zahtevaju, na osnovu vrste i podskupa mreža ili resursa koji se koriste. Kada su mrežna pravila konfigurisana, samo aplikacije koje zahtevaju podatke preko određenog skupa mreža ili preko određenog skupa Azure resursa mogu pristupiti računu za skladištenje. Možete ograničiti pristup svom računu za skladištenje na zahteve koji potiču iz određenih IP adresa, IP opsega, podmreža u Azure virtuelnoj mreži (VNet) ili instanci resursa nekih Azure usluga.

Upravljani identiteti za Azure, ranije poznati kao Managed Service Identity (MSI), pomažu u upravljanju tajnama. Microsoft Dataverse korisnici koji koriste Azure mogućnosti kreiraju upravljani identitet (deo kreiranja politike preduzeća) koji se može koristiti za jedno ili više Dataverse okruženja. Ovaj upravljani identitet koji će biti obezbeđen u vašem klijentu se zatim koristi Dataverse za pristup vašem Azure jezeru podataka.

Sa upravljanim identitetima, pristup vašem nalogu za skladištenje je ograničen na zahteve koji potiču iz okruženja povezanog Dataverse sa vašim klijentom. Kada Dataverse se poveže sa skladištem u vaše ime, uključuje dodatne informacije o kontekstu kako bi se dokazalo da zahtev potiče iz sigurnog, pouzdanog okruženja. Ovo omogućava skladištenje da odobri Dataverse pristup vašem računu za skladištenje. Upravljani identiteti se koriste za potpisivanje informacija o kontekstu kako bi se uspostavilo poverenje. Ovo dodaje sigurnost na nivou aplikacije pored sigurnosti mreže i infrastrukture koju pruža Azure za veze između Azure usluga.

Pre nego što počnete

  • Azure CLI je potreban na vašoj lokalnoj mašini. Preuzmite i instalirajte
  • Potrebna su vam ova dva PoverShell modula. Ako ih nemate, otvorite PoverShell i pokrenite ove komande:
    • Azure Az PowerShell modul: Install-Module -Name Az
    • Azure Az.Resources PoverShell modul: Install-Module -Name Az.Resources
    • Power Platform admin PoverShell modul: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Idite na ovu komprimovanu datoteku fascikle na GitHub-u. Zatim izaberite Preuzmi da biste ga preuzeli. Izvadite komprimovanu datoteku fascikle na računar na lokaciji na kojoj možete pokrenuti PoverShell komande. Sve datoteke i fascikle izvađene iz komprimovanog foldera treba da budu sačuvane na prvobitnoj lokaciji.
  • Preporučujemo da kreirate novi kontejner za skladištenje pod istom grupom resursa Azure da biste uključili ovu funkciju.

Omogućite politiku preduzeća za izabranu pretplatu na Azure

Važno

Morate imati pristup ulozi vlasnika pretplate Azure da biste dovršili ovaj zadatak. Nabavite svoj Azure ID pretplate sa stranice pregleda za grupu resursa Azure.

  1. Otvorite Azure CLI sa pokretanjem kao administratorom i prijavite se na pretplatu na Azure pomoću komande: az login Više informacija: prijavite se sa Azure CLI
  2. (Opciono) ako imate više pretplata na Azure, obavezno pokrenite Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id } da biste ažurirali podrazumevanu pretplatu.
  3. Proširite komprimovanu fasciklu koju ste preuzeli kao deo Pre nego što počnete za ovu funkciju na lokaciju na kojoj možete pokrenuti PoverShell.
  4. Da biste omogućili politiku preduzeća za izabranu pretplatu na Azure, pokrenite PoverShell skriptu ./SetupSubscriptionForPoverPlatform.ps1.
    • Navedite Azure ID pretplate.

Kreirajte politiku preduzeća

Važno

Da biste dovršili ovaj zadatak, morate imati pristup ulozi vlasnika grupe resursa Azure. Nabavite svoj Azure ID pretplate, lokaciju i ime grupe resursa sa stranice pregleda za grupu resursa Azure.

  1. Kreirajte politiku preduzeća. Pokrenite PoverShell skriptu ./CreateIdentityEnterprisePolicy.ps1

    • Navedite Azure ID pretplate.
    • Navedite ime grupe resursa Azure.
    • Navedite željeno ime politike preduzeća.
    • Navedite lokaciju grupe resursa Azure.

  2. Sačuvajte kopiju ResourceId-a nakon kreiranja politike.

Belešku

Slede važeći ulazi lokacije podržani za kreiranje politike. Izaberite lokaciju koja vam najviše odgovara.

Lokacije dostupne za politiku preduzeća

SAD – EUAP

Sjedinjene Države

Južnoafrčka Republika

Ujedinjeno Kraljevstvo

Australija

Južna Koreja

Japan

Indija

Francuska

Evropa

Azija

Norveška

Nemačka

Švajcarska

Kanada

Brazil

UAE

Singapur

Odobrite čitalac pristup politici preduzeća preko Azure

Dynamics 365 administratori i administratori Power Platform mogu pristupiti administratorskom Power Platform centru kako bi dodelili okruženja politici preduzeća. Da biste pristupili politikama preduzeća, Azure Kei Vault admin članstvo je potrebno da odobri ulogu čitalac Dynamics 365 ili Power Platform admin. Kada se odobri uloga čitalac, Dynamics 365 ili Power Platform administratori će videti pravila preduzeća u administratorskom centru Power Platform .

Samo Dynamics 365 i administratori kojima je dodeljena uloga čitalac u politici Power Platform preduzeća mogu "dodati okruženje" politici. Ostali administratori Dynamics 365 i PoverPlatform možda će moći da vide politiku preduzeća, ali će dobiti grešku kada pokušaju da dodaju okruženje.

Važno

Morate imati - Microsoft.Authorization/roleAssignments/write permissions, kao što su Administrator korisničkog pristupa ili Vlasnik da biste završili ovaj zadatak.

  1. Prijavite se na Azure portal .
  2. Nabavite ObjectID Power Platform korisnika administratora Dynamics 365.
    1. Idi na oblast Korisnici .
    2. Otvorite Dynamics 365 ili Power Platform admin korisnika.
    3. Ispod stranice pregleda za korisnika, kopirajte ObjectID.
  3. Dobijte ID politike preduzeća:
    1. Idite na Azure Resource Graph Ekplorer.
    2. Pokreni ovaj upit: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Pokrenite upit iz Azure Resource Graph Ekplorer
    3. Dođite desno od stranice sa rezultatima i izaberite vezu See details .
    4. Na stranici Detalji kopirajte ID.
  4. Otvorite Azure CLI i pokrenite sledeću komandu, zamenjujući <objId> sa korisničkim ObjectID-om i <EP Resource Id> ID-om politike preduzeća.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Povežite politiku preduzeća sa Dataverse životnom sredinom

Važno

Morate imati ulogu administratora Power Platform ili administratora Dynamics 365 da biste dovršili ovaj zadatak. Morate imati ulogu čitalac za politiku preduzeća da biste završili ovaj zadatak.

  1. Dobijte Dataverse ID životne sredine.
    1. Prijavite se u Power Platform admin centar.
    2. Izaberite Okruženja, a zatim otvorite okruženje.
    3. U odeljku Detalji kopirajte ID okruženja.
    4. Da biste se povezali sa Dataverse okruženjem, pokrenite ovu PoverShell skriptu: ./NewIdentity.ps1
    5. Navedite Dataverse ID životne sredine.
    6. Navedite ResourceId.
      StatusCode = 202 označava da je veza uspešno kreirana.
  2. Prijavite se u Power Platform admin centar.
  3. Izaberite Okruženja, a zatim otvorite okruženje koje ste ranije naveli.
  4. U oblasti Nedavne operacije izaberite Puna istorija da biste potvrdili vezu novog identiteta.

Konfigurišite mrežni pristup Gen2 Azure Data Lake Storage

Važno

Morate imati ulogu vlasnika Azure Data Lake Storage Gen2 da biste dovršili ovaj zadatak.

  1. Idite na Azure portal. ...

  2. Otvorite račun za skladištenje povezan sa vašim Azure Synapse Link for Dataverse profilom.

  3. U levom oknu za navigaciju izaberite Umrežavanje. Zatim, na kartici Zaštitni zidovi i virtuelne mreže izaberite sledeća podešavanja:

    1. Omogućeno iz odabranih virtuelnih mreža i IP adresa.
    2. U odjeljku Instance resursa izaberite Dozvoli Azure usluge na listi pouzdanih usluga da biste pristupili ovom nalogu za skladištenje

  4. Izaberite stavku Sačuvaj.

Konfigurišite mrežni pristup radnom Azure Synapse prostoru

Važno

Morate imati ulogu administratora Azure Sinapse da biste dovršili ovaj zadatak.

  1. Idite na Azure portal. ...
  2. Otvorite Azure Synapse radni prostor povezan sa vašim Azure Synapse Link for Dataverse profilom.
  3. U levom oknu za navigaciju izaberite Umrežavanje.
  4. Izaberite Dozvoli Azure usluge i resurse za pristup ovom radnom prostoru.
  5. Ako postoje pravila IP zaštitnog zida stvorena za sve IP opsege, izbrišite ih da biste ograničili pristup javnoj mreži. Azure Synapse Podešavanja mreže radnog prostora
  6. Dodajte novo pravilo IP zaštitnog zida na osnovu IP adrese klijenta.
  7. Izaberite Sačuvaj kada završite. Više informacija: Azure Synapse Analytics Pravila IP zaštitnog zida

Važno

Dataverse: Morate imati bezbednosnu uloga administratora Dataverse sistema. Dodatno, tabele koje želite da izvezete preko Azure Synapse Link moraju imati omogućenu osobinu Track changes . Više informacija: Napredne opcije

Azure Data Lake Storage GenKSNUMKS: Morate imati Azure Data Lake Storage GenKSNUMKS nalog i pristup ulozi vlasnika i Storage Blob Data saradnika . Vaš račun za skladištenje mora da omogući hijerarhijski imenski prostor za početno podešavanje i delta sinhronizaciju. Dozvoli pristup ključu računa za skladištenje je potreban samo za početno podešavanje.

Radni prostor Sinapse: Morate imati radni prostor Sinapse i pristup ulozi administratora Sinapse u okviru Sinapse Studio-a. Synapse radni prostor mora da bude u istoj oblasti kao i vaš Azure Data Lake Storage Gen2 nalog. Nalog za skladištenje mora da bude dodat kao povezana usluga u programu Synapse Studio. Da biste kreirali radni prostor Sinapse, idite na Kreiranje radnog prostora Sinapse.

Kada kreirate vezu, Azure Synapse Link for Dataverse dobija detalje o trenutno povezanoj politici preduzeća u okruženju, Dataverse a zatim kešira tajni URL identiteta klijenta za povezivanje sa Azure.

  1. Prijavite se Power Apps i izaberite svoje okruženje.
  2. U levom oknu za navigaciju izaberite Azure Synapse Link, a zatim izaberite + Nova veza. Ako stavka nije u panelu bočnog panela, izaberite ... Više , a zatim izaberite stavku koju želite.
  3. Popunite odgovarajuća polja, u skladu sa predviđenim podešavanjem. Izaberite pretplatu , grupu resursa i nalog za skladištenje. Da biste se povezali Dataverse sa radnim prostorom Sinapse, izaberite opciju Povežite se sa radnim Azure Synapse prostorom . Za konverziju podataka Delta Lake izaberite Spark bazen.
  4. Izaberite Izaberi politiku preduzeća sa Managed Service Identiti, a zatim izaberite Dalje .
  5. Dodajte tabele koje želite da izvezete, a zatim izaberite Sačuvaj.

Belešku

Da bi komanda Koristi upravljani identitet dostupna u Power Apps, potrebno je da završite gore podešavanje da biste povezali politiku preduzeća sa vašim Dataverse okruženjem. Više informacija: Povežite politiku preduzeća sa Dataverse životnom sredinom

  1. Idite na postojeći profil Synapse Link from Power Apps (make.powerapps.com).
  2. Izaberite Koristi upravljani identitet, a zatim potvrdite. Koristite komandu upravljanog identiteta u Power Apps

Rešavanje problema

Ako primite 403 greške tokom kreiranja linka:

  • Upravljani identiteti uzimaju dodatno vreme da daju prolaznu dozvolu tokom početne sinhronizacije. Dajte mu malo vremena i pokušajte ponovo operaciju kasnije.
  • Uverite se da povezano skladište nema postojeći Dataverse kontejner (dataverse-environmentName-organizationUniqueName) iz istog okruženja.
  • Možete identifikovati povezanu politiku preduzeća i policyArmId pokretanjem PoverShell skripte ./GetIdentityEnterprisePolicyforEnvironment.ps1 sa Azure Subscription ID i imenom grupe resursa.
  • Možete da prekinete vezu sa politikom preduzeća tako što ćete pokrenuti PoverShell skriptu ./RevertIdentity.ps1 sa ID-om Dataverse okruženja i policyArmId.
  • Možete ukloniti politiku preduzeća tako što ćete pokrenuti PoverShell skriptu .\RemoveIdentityEnterprisePolicy.ps1 sa policyArmId.

Poznato ograničenje

Samo jedna politika preduzeća može da se poveže Dataverse sa okolinom istovremeno. Ako želite da kreirate više Azure Synapse Link veza sa omogućenim upravljanim identitetom, uverite se da su svi povezani Azure resursi u istoj grupi resursa.

Pogledajte i ovo

Šta je Azure Synapse Link for Dataverse?