Zum Hauptinhalt springen

Systemanforderungen für Fabric-Verbindungen

Wichtig

Die Connections sind eine Erweiterung für dab Nexus. Es ist erforderlich, diese separat zu lizenzieren.

Hinweis

Wenn Sie die Managed App über den Azure Marketplace beziehen, wird automatisch ein App Service erstellt. Alle nachfolgenden Hinweise zum App Service sind in diesem Fall für Sie relevant!

1. Authentifizierungsmethoden

Hinweis

Die folgenden Ressourcen dienen als Beispiele (Sie können diese Ressourcen beliebig umbenennen):

Resource Group: rg-azure-vm-Nexus

User Assigned Managed Identity: mi-azure-vm-Nexus

App Service: app-dabnexus-1234

Azure Virtual Machine: vm-dabnexus

App Registration: app-azure-vm-Nexus

Application: dab-Nexus

  • a. Service User

    • MFA (Multi-Faktor-Authentifizierung): muss deaktiviert sein
    • Authentifizierung in dab Nexus: Sie müssen einen Benutzernamen und ein Kennwort für die Fabric-Verbindung angeben

  • b. Service Principal

    • Suchen Sie den Service Principal-Schlüssel:
    • Öffnen Sie das Azure Portal > App Registrations > öffnen Sie Ihre Nexus App
    • Verwalten > Zertifikate & Geheimnisse > Client secrets
    • Wert: Dies ist der Service Principal-Schlüssel
    • Client ID: ebenfalls notwendig für die Verbindung in dab Nexus

  • c. Systemzugewiesene Managed Identity (App Service ODER Azure VM)

    • App Service > Systemzugewiesene Managed Identity finden:
      • Öffnen Sie Azure Portal > öffnen Sie Ihre Resource Group > öffnen Sie App Service (z. B. app-dabnexus-1234)
      • Einstellungen > Identität: Systemzugewiesen Status EIN
    • Azure VM > Systemzugewiesene Managed Identity finden:
      • Öffnen Sie Azure Portal > öffnen Sie Ihre Resource Group > öffnen Sie die Virtual Machine (z. B. vm-dabnexus)
      • Sicherheit > Identität: Systemzugewiesen Status EIN

  • d. Benutzerzugewiesene Managed Identity (Managed App: UAMI wird automatisch erstellt)

    • Benutzerzugewiesene Managed Identity finden:
      • Öffnen Sie Azure Portal > öffnen Sie Ihre Resource Group > öffnen Sie App Service (z. B. app-dabnexus-1234)
      • Wert: Name der Managed Identity

2. Anforderungen

  • a. App Registration (nur bei Verwendung von Service User oder Service Principal)
    • Öffnen Sie die App Registrations im Azure Portal und klicken Sie auf + Neue Registrierung
    • Name: Geben Sie den Namen der Registrierung ein (z. B. dab-Nexus)
    • Unterstützte Kontotypen: Wählen Sie die Option Nur Konten im Verzeichnis dieser Organisation (einzelner Mandant)
    • Redirect-URI (nur für Service User): Wählen Sie Web in der Dropdown-Liste (Nexus ist eine Webanwendung) & geben Sie die Application-URL von dab Nexus ein
      • Application-URL (On-Premise): Diese finden Sie in der Configuration.json
      • Application-URL (Managed App): Öffnen Sie die Resource Group im Azure Portal, öffnen Sie die Übersichtsauflistung mit dem Typ App Service und Sie finden die Standard-Domain oben rechts Nachdem Sie alle Informationen eingegeben haben, können Sie unten auf Registrieren klicken: sysReq_fabCon1

API-Berechtigungen

Unterschied zwischen Application-Berechtigungen und Delegierten Berechtigungen

Im Folgenden erfahren Sie die Unterschiede zwischen Application Permissions und Delegated Permissions.

Delegierte Berechtigungen werden vererbt. Die Vererbung erfolgt zum Beispiel von der Subscription auf die Resource Group oder von der Resource Group auf die einzelnen Ressourcen.

Anwendungsberechtigungen werden direkt in der Anwendung (z. B. dab-Nexus) im Azure Portal hinterlegt. Sie müssen mehrere Berechtigungen eintragen.

Klicken Sie dazu auf Berechtigung hinzufügen und wählen Sie Microsoft APIs aus. Weitere Informationen finden Sie in dieser Microsoft-Dokumentation.

  1. Delegierte Berechtigungen (nur Service User)

    • Power BI Service
      • MirroredDatabase.ReadWrite.All
      • Workspace.Read.All
      • Lakehouse.ReadWrite.All
    • SparkJobDefinition
      • SparkJobDefinition.Execute.All
      • SparkJobDefinition.ReadWrite.All
    • Azure Storage
      • user_impersonation

  2. Application Permissions (nur Service Principal)

    • Power BI Service
      • Tenant.Read.All
      • Tenant.ReadWrite.All

Nachdem Sie alle Berechtigungen eingetragen haben, klicken Sie auf Grant Admin consent for Tenant name und bestätigen Sie die Nachricht mit Ja. Weitere Informationen hierzu finden Sie in diesem Abschnitt der Microsoft-Dokumentation.

Die Liste der API-Berechtigungen für Delegated Permissions (Service Users) sollte wie folgt aussehen:

sysReq_fabCon2

Die Liste der API-Berechtigungen für Application Permissions (Service Principal) sollte wie folgt aussehen:

sysReq_fabCon3

Nach erfolgreicher Durchführung aller Punkte in dieser Dokumentation erhalten Sie die für die Verbindung zu Ihrer dab Nexus-Anwendung erforderlichen Client ID.

  • b. Überprüfen Sie die Tenant-Einstellungen in der Fabric Admin Portal (Service Principal & beide Managed Identities)

    • Öffnen Sie die Fabric Admin Portal und melden Sie sich an
    • Folgen Sie den Schritten im Abschnitt Service principals can call Fabric public APIs in der Microsoft-Dokumentation: Diese Einstellungen müssen für Service Principals und Managed Identities aktiviert sein

  • c. Zugriff in dab Nexus gewähren (nur Service User)

    • Basis-Authentifizierung
      • Benutzername & Passwort: Geben Sie Benutzernamen und Passwort des Fabric-Users ein
      • API-Zustimmung anfordern: Hier müssen Sie die erforderlichen Berechtigungen einmalig akzeptieren sysReq_fabCon4

  • d. Rollen im Fabric Workspace vergeben

Wichtig

In Microsoft Fabric muss der Benutzer mindestens die Rolle Contributor besitzen.

  • Öffnen Sie Fabric: URL https://app.powerbi.com
  • Anmelden: mit Ihrem Benutzer
  • Klicken Sie auf Workspaces
  • Bewegen Sie die Maus über den allgemeinen Workspace-Namen und klicken Sie auf die drei Punkte
  • Klicken Sie auf Workspace Access
  • Benutzer und deren Rollen: Diese sehen Sie auf der rechten Seite
  • Service User
    • Tragen Sie die E-Mail-Adresse des Service Users ein
  • Service Principal
    • Geben Sie den Namen der App Registration ein: z. B. app-azure-vm-Nexus
  • Zugriff für die systemzugewiesene Managed Identity gewähren:
    • Geben Sie den Namen der Ressource ein: Name des App Service oder Name der Azure VM (z. B. app-dabnexus-1234 oder z. B. azure-vm-Nexus)
  • Zugriff für die benutzerzugewiesene Managed Identity (Managed App: UAMI wird automatisch erstellt) gewähren:
    • Geben Sie den Namen der Managed Identity ein: z. B. mi-azure-vm-Nexus