Jaa

Hallittujen käyttäjätietojen käyttäminen Azure Azure Data Lake Storagen kanssa

Azure Data Lake Storage tarjoaa monikerroksisen suojausmallin. Tämän mallin avulla voit suojata ja hallita käyttöoikeustasoja, joita sovellukset ja yritysympäristöt vaativat käytettyjen verkkojen tyyppien ja alijoukkojen perusteella. Kun verkkosääntöjä määritetään, vain sovellukset, jotka pyytävät tietoja määritetyn verkkojoukon kautta tai määritettyjen Azure resurssien kautta, voivat käyttää tallennustiliä. Voit rajoittaa tallennustilisi käyttöoikeuksia pyyntöihin, jotka ovat peräisin määritetyistä IP-osoitteista, IP-alueista, Azure Virtual Network (VNet) aliverkoista tai joidenkin Azure palveluiden resurssiesiintymistä.

Azure hallitut käyttäjätiedot, joita tunnettiin aiemmin nimellä Hallitun palvelun käyttäjätiedot (MSI), auttavat salaisten koodien hallinnassa. Microsoft Dataverse asiakkaat luovat Azure ominaisuuksia käyttävien asiakkaiden luomat hallitut käyttäjätiedot (osa yrityskäytännön luomista), joita voidaan käyttää yhdessä tai useammassa Dataverse-ympäristössä. Dataverse käyttää näitä hallittuja käyttäjätietoja, jotka valmistellaan vuokraajassasi, Azure Data Lake -tallennustilan käyttämiseksi.

Hallittuja tunnistetietoja käytettäessä tallennustilatilin käyttöoikeudet rajoitetaan pyyntöihin, jotka ovat peräisin vuokraajaan yhdistetystä Dataverse-ympäristöstä. Kun Dataverse muodostaa yhteyden tallennustilaan puolestasi, se sisältää ylimääräisiä kontekstitietoja sen todistamista varten, että pyyntö on peräisin suojatusta ja luotetusta ympäristöstä. Tämä sallii tallennustilan myöntää Dataverselle käyttöoikeudet tallennustilatiliin. Hallittuja tunnistetietoja käytetään kontekstitietojen allekirjoittamiseen luottamuksen vahvistamiseksi. Tämä lisää sovellustason suojauksen sekä Azure tarjoaman verkon ja infrastruktuurin suojauksen Azure palveluiden välisille yhteyksille.

Ennen aloittamista

  • Azure CLI on pakollinen paikallisessa tietokoneessa. Lataa ja asenna
  • Tarvitset seuraavat PowerShell-moduulit. Jos niitä ei ole, avaa PowerShell ja suorita seuraavat komennot:
    • Azure Az PowerShell -moduuli: Install-Module -Name Az
    • Azure Az.Resources PowerShell -moduuli: Install-Module -Name Az.Resources
    • Power Platform -järjestelmänvalvojan PowerShell-moduuli: Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
  • Kloonaa PowerApps-Samples-säilö GitHub paikkaan, jossa voit suorittaa PowerShell-komentoja: git clone https://github.com/microsoft/PowerApps-Samples.git. Komentosarjat on järjestetty alikansioihin kohdassa powershell/managed-identities/Source. Suorita jokainen komentosarja sen tietystä alikansiosta, Source\Identityesimerkiksi .
  • Suosittelemme, että luot uuden tallennussäilön samaan Azure resurssiryhmään, jotta voit ottaa tämän ominaisuuden käyttöön.

Tärkeää

Älä siirrä komentosarjoja niiden kansioista. Komentosarjat ovat riippuvaisia suhteellisista poluista ja jaetuista tiedostoista säilön rakenteessa.

Ota yrityskäytäntö käyttöön valitulle Azure -tilaukselle

Tärkeää

Tämän tehtävän suorittaminen edellyttää Azure-tilauksen omistaja-roolin käyttöoikeutta. Hanki Azure Subscription ID Azure-resurssiryhmän yleiskatsaussivulta.

  1. Avaa Azure CLI suorita järjestelmänvalvojana -toiminnolla ja kirjaudu sisään Azure-tilaukseesi -komennolla: az login Lisätietoja: Sign in with Azure CLI
  2. (Valinnainen) Jos sinulla on useita Azure tilauksia, päivitä oletustilauksesi suorittamalla Update-AzConfig -DefaultSubscriptionForLogin { Azure subscription id }.
  3. Vaihda PowerShellissä hakemiston Source säilön sisällä, jonka kloonasit osana Ennen aloittamista.
  4. Jos haluat ottaa yrityskäytännön käyttöön valitussa Azure tilauksessa, suorita PowerShell-komentosarja ./SetupSubscriptionForPowerPlatform.ps1.
    • Anna Azure tilaustunnus.

Luo yrityskäytäntö

Tärkeää

Tämän tehtävän suorittaminen edellyttää Azure-resurssiryhmän omistaja käyttöoikeuksia. Hanki Azure Subscription ID, Location ja Resource group nimi Azure resurssiryhmän yleiskatsaussivulta.

  1. Muuta PowerShellissä alikansioon Source\Identity ja luo yrityskäytäntö suorittamalla komentosarja:

    cd <path-to-repo>\powershell\managed-identities\Source\Identity
.\CreateIdentityEnterprisePolicy.ps1
    • Anna Azure tilaustunnus.
    • Anna Azure resurssiryhmän nimi.
    • Anna ensisijainen yrityskäytännön nimi.
    • Anna Azure resurssiryhmän sijainti.

  2. Tallenna ResourceId kopio käytännön luomisen jälkeen.

Muistiinpano

Seuraavassa esitetään käytännön luonnissa tuetut sijainti-syötteet. Valitse sopivin sijainti.

Yrityskäytännössä käytettävissä olevat sijainnit

Yhdysvallat EUAP

United States

Etelä-Afrikka

Yhdistynyt kuningaskunta

Australia

Etelä-Korea

Japani

Intia

Ranska

Eurooppa

Aasia

Norja

saksa

Sveitsi

Kanada

Brasilia

UAE

Singapore

Myönnä lukijalle käyttöoikeus yrityskäytäntöön Azure kautta

Dynamics 365 järjestelmänvalvojat ja Power Platform -järjestelmänvalvojat voivat käyttää Power Platform -hallintakeskusta ympäristöjen määrittämiseksi yrityskäytäntöön. Jotta voit käyttää yrityskäytäntöjä, Azure Key Vault -järjestelmänvalvojajäsenyyttä vaaditaan Reader-roolille Dynamics 365 tai Power Platform -järjestelmänvalvojalle. Kun lukijarooli on myönnetty, Dynamics 365 tai Power Platform -järjestelmänvalvojat näkevät yrityskäytännöt Power Platform -hallintakeskuksessa.

Vain Dynamics 365 ja Power Platform -järjestelmänvalvojat, joille on myönnetty yrityskäytännön lukijarooli, voivat lisätä käytäntöön ympäristön. Muut Dynamics 365 ja PowerPlatform-järjestelmänvalvojat voivat ehkä tarkastella yrityskäytäntöä, mutta he saavat virheen yrittäessään lisätä ympäristöä.

Tärkeää

Tämän tehtävän suorittaminen vaatii Microsoft.Authorization/roleAssignments/write-oikeudet, kuten Käyttäjän käyttöoikeuksien järjestelmänvalvoja tai Omistaja.

  1. Kirjaudu sisään Azure-portaaliin.
  2. Hanki Power Platform Dynamics 365 -järjestelmänvalvojakäyttäjän ObjectID.
    1. Siirry Käyttäjät-alueelle.
    2. Avaa Dynamics 365 tai Power Platform -järjestelmänvalvojakäyttäjä.
    3. Kopioi käyttäjän yleiskatsaussivulla ObjectID.
  3. Hanki yrityskäytäntöjen tunnus seuraavasti:
    1. Siirry kohtaan Azure Resource Graph Explorer.
    2. Suorita tämä kysely: resources | where type == 'microsoft.powerplatform/enterprisepolicies'Suorita kysely Azure Resource Graph Explorerista
    3. Vieritä tulossivun oikealle puolelle ja valitse Näytä tiedot -linkki.
    4. Kopioi tunnus Tiedot-sivulta.
  4. Avaa Azure CLI ja suorita seuraava komento, joka korvaa <objId> käyttäjän ObjectID ja <EP Resource Id> yrityskäytäntötunnuksella.
    • New-AzRoleAssignment -ObjectId <objId> -RoleDefinitionName Reader -Scope <EP Resource Id>

Yhdistä yrityskäytäntö Dataverse-ympäristöön

Tärkeää

Sinulla on oltava Power Platform -järjestelmänvalvoja tai Dynamics 365 administrator -rooli, jotta voit suorittaa tämän tehtävän. Tämän tehtävän suorittaminen vaatii yrityskäytännön Lukija-roolin.

  1. Hanki Dataverse-ympäristön tunnus.
    1. Kirjaudu Power Platform -hallintakeskukseen.
    2. Valitse Hallinta>Ympäristöt ja avaa ympäristö.
    3. Kopioi Tiedot-osassa Ympäristön tunnus.
  2. Source\Identity Suorita alikansiossa tämä PowerShell-komentosarja:./NewIdentity.ps1
    • Anna Dataverse-ympäristön tunnus.
    • Anna ResourceId.
      StatusCode = 202 ilmaisee, että linkin luonti onnistui.
  3. Kirjaudu Power Platform -hallintakeskukseen.
  4. Valitse Hallinta>Ympäristöt ja avaa aiemmin määritetty ympäristö.
  5. Vahvista uusien tunnistetietojen yhteys valitsemalla Viimeaikaiset toiminnot -alueella Täysi historia.

Azure Data Lake Storage Gen2 verkkokäytön määrittäminen

Tärkeää

Sinulla on oltava Azure Data Lake Storage Gen2 Owner -rooli, jotta voit suorittaa tämän tehtävän.

  1. Siirry Azure -portaaliin.

  2. Avaa Azure-Synapse Link yhdistetty tallennustili Dataverse-profiilia varten.

  3. Valitse vasemmassa siirtymisruudussa Verkkopalvelut. Valitse sitten Palomuurit ja näennäisverkot -välilehdessä seuraavat asetukset:

    1. Sallittu valituista näennäisverkoista ja IP-osoitteista.
    2. Valitse kohdan Resource instances alta Allow Azure -palvelut luotettujen palvelujen luettelosta, jotta voit käyttää tätä tallennustiliä

  4. Valitse Tallenna.

Azure Synapse työtilan verkkokäytön määrittäminen

Tärkeää

Sinulla on oltava Azure Synapse-järjestelmänvalvoja rooli, jotta voit suorittaa tämän tehtävän.

  1. Siirry Azure -portaaliin.
  2. Avaa Azure Synapse Link for Dataverse -profiiliisi yhdistetty Azure Synapse työtila.
  3. Valitse vasemmassa siirtymisruudussa Verkkopalvelut.
  4. Valitse Salli Azure palvelut ja resurssit, jotta voit käyttää tätä työtilaa.
  5. Jos koko IP-osoitealueelle on luotu IP-palomuurisäännöt, poista ne julkisen verkon käytön rajoittamiseksi. Azure Synapse työtilan verkkoasetukset
  6. Lisää uusi IP-palomuurisääntö asiakkaan IP-osoitteen perusteella.
  7. Kun olet valmis, valitse Tallenna. Lisätietoja: Azure Synapse Analytics IP-palomuurisäännöt

Tärkeää

Dataverse: Sinulla on oltava Dataverse järjestelmänvalvojan käyttöoikeusrooli. Lisäksi taulukoissa, jotka haluat viedä Azure Synapse Link kautta, on oltava käytössä Track-ominaisuuden muutoksetominaisuus. Lisätietoja: Lisäasetukset

Azure Data Lake Storage Gen2: Sinulla on oltava Azure Data Lake Storage Gen2-tili ja Owner ja Storage Blob Data Contributor roolikäyttö. Tallennustilisi on otettava Hierarkkinen nimitila käyttöön sekä alkuasetuksissa että deltasynkronoinnissa. Tallennustilin avaimen käyttöoikeuden salliminen vaaditaan vain alkuasetusten yhteydessä.

Synapse-työtila: Sinulla on oltava Synapse-työtila ja Synapse-järjestelmänvalvoja roolikäyttöoikeus Synapse Studio. Synapse-työtilan on oltava samalla alueella kuin Azure Data Lake Storage Gen2 tilisi. Tallennustili on lisättävä linkitettynä palveluna Synapse Studio. Jos haluat luoda Synapse-työtilan, siirry kohtaan Synapse-työtilan luominen.

Kun luot linkin, Azure Synapse Link for Dataverse hakee tietoja tällä hetkellä linkitetystä yrityskäytännöstä Dataverse-ympäristössä, tallentaa sitten käyttäjätietojen asiakasohjelman salaisen URL-osoitteen välimuistiin muodostaakseen yhteyden Azure.

  1. Kirjaudu sisään Power Apps ja valitse ympäristösi.
  2. Valitse vasemmassa siirtymisruudussa Azure Synapse Link ja valitse sitten + Uusi linkki. Jos nimikettä ei ole sivupaneelissa, valitse ... Lisää ja valitse sitten haluamasi nimike.
  3. Täytä asianmukaiset kentät käyttötarkoituksen mukaan. Valitse Tilaus, Resurssiryhmä ja Tallennustili. Jos haluat yhdistää Dataversen Synapse-työtilaan, valitse Yhdistä Azure Synapse-työtilaan -vaihtoehto. Valitse Spark-varanto Delta Lake -tietojen muuntamista varten.
  4. Valitse Valitse yrityskäytäntö, jossa on hallitun palvelun käyttäjätiedot ja valitse sitten Seuraava.
  5. Lisää vietävät taulukot ja valitse sitten Tallenna.

Muistiinpano

Jotta Käytä hallittuja käyttäjätietoja-komentoa Power Apps, sinun on tehtävä edellä mainitut asetukset loppuun, jotta voit yhdistää yrityskäytännön Dataverse-ympäristöösi. Lisätietoja: Yrityksen käytännön yhdistäminen Dataverse-ympäristöön

  1. Siirry aiemmin luotuun Synapse Link -profiiliin Power Apps (make.powerapps.com).
  2. Valitse Käytä hallittuja tunnistetietoja ja vahvista valinta. Hallitun käyttäjätietokomennon käyttäminen Power Apps

Vianmääritys

Jos saat 403-virheitä linkin luonnin aikana:

  • Hallitut tunnistetiedot tarvitsevat enemmän aikaa tilapäisten oikeuksien myöntämiseen ensimmäisen synkronoinnin yhteydessä. Anna synkronoinnille aikaa ja kokeile toimintoa uudelleen myöhemmin.
  • Varmista, että linkitetyllä tallennustilalla ei ole olemassa olevaa Dataverse-säilöä (dataverse-environmentName-organizationUniqueName) samasta ympäristöstä.
  • Voit tunnistaa linkitetyn yrityskäytännön ja policyArmId suorittamalla PowerShell-komentosarjan ./GetIdentityEnterprisePolicyforEnvironment.ps1Source\Identity-alikansiosta Azure Subscription ID ja Resource-ryhmä nimi.
  • Voit poistaa yrityskäytännön linkityksen suorittamalla PowerShell-komentosarjan ./RevertIdentity.ps1 alikansiosta Source\Identity , käyttäen Dataverse-ympäristötunnusta ja policyArmId.
  • Voit poistaa yrityskäytännön suorittamalla PowerShell-komentosarjan .\RemoveIdentityEnterprisePolicy.ps1 alikansiosta Source\Identity parametrilla policyArmId.

Tunnettu rajoitus

Vain yksi yrityskäytäntö voi muodostaa yhteyden Dataverse-ympäristöön samanaikaisesti. Jos sinun on luotava useita Azure Synapse Link linkkejä, joissa hallitut käyttäjätiedot ovat käytössä, varmista, että kaikki linkitetyt Azure resurssit ovat samassa resurssiryhmässä.

Katso myös

Mikä on Azure-Synapse Link Dataverselle?

  • Last updated on