Requisitos del sistema para las conexiones Fabric
Las Conexiones son una Extensión para dab Nexus. Es necesario licenciarlas por separado.
Si usted adquiere el Managed App a través del Azure Marketplace, se creará automáticamente un App Service. ¡Todos los siguientes puntos relacionados con el App Service serán relevantes para usted en este caso!
1. Métodos de autenticación
Los siguientes recursos se dan como ejemplo (usted puede renombrar estos recursos como desee):
Resource Group: rg-azure-vm-Nexus
User Assigned Managed Identity: mi-azure-vm-Nexus
App Service: app-dabnexus-1234
Azure Virtual Machine: vm-dabnexus
App Registration: app-azure-vm-Nexus
Application: dab-Nexus
-
a. Usuario de servicio
- MFA (autenticación multifactor): debe estar desactivada
- Autenticación en dab Nexus: debe especificar un nombre de usuario y una contraseña para la conexión Fabric
-
b. Service Principal
- Localice la Service Principal Key:
- Abra el Azure Portal > App Registrations > abra su App Nexus
- Manage > Certificates & secrets > Client secrets
- Value: este es el Service Principal Key
- Client ID: también necesario para la conexión en dab Nexus
-
c. Managed Identity asignada por el sistema (App Service O Azure VM)
- App Service > localice la managed identity asignada por el sistema:
- Abra Azure Portal > abra su Resource Group > abra el App Service (por ejemplo, app-dabnexus-1234)
- Settings > Identity: System assigned Status ON
- Azure VM > localice la managed identity asignada por el sistema:
- Abra Azure Portal > abra su Resource Group > abra la Virtual Machine (por ejemplo, vm-dabnexus)
- Security > Identity: System assigned Status ON
- App Service > localice la managed identity asignada por el sistema:
-
d. Managed identity asignada por el usuario (Managed App: UAMI se creará automáticamente)
- Localice la managed identity asignada por el usuario:
- Abra Azure Portal > abra su Resource Group > abra el App Service (por ejemplo, app-dabnexus-1234)
- Value: nombre de la Managed Identity
- Localice la managed identity asignada por el usuario:
2. Requisitos
- a. App Registration (solo al utilizar el Usuario de Servicio o Service Principal)
- Abra el menú App Registrations en el Azure Portal y haga clic en + New Registration
- Name: introduzca el nombre de la inscripción (por ejemplo, dab-Nexus)
- Supported account types: seleccione la opción Only accounts in this organisation directory (single client)
- Redirect-URI (solo para Usuario de Servicio): elija Web en la lista desplegable (Nexus es una aplicación web) e introduzca la Application-URL de dab Nexus
- Application-URL (On-Premise): puede localizarla en el Configuration.json
- Application-URL (Managed App): abra el Resource Group en el Azure Portal, abra el listado Overview con el Type App Service y encontrará el dominio Default en la parte superior derecha
Una vez que haya introducido toda la información, puede hacer clic en Registrar en la parte inferior:
Permisos de la API
Diferencia entre permisos de aplicación y permisos delegados
A continuación, conocerá las diferencias entre permisos de aplicación y permisos delegados.
Los permisos delegados se heredan. La herencia ocurre, por ejemplo, de la suscripción al grupo de recursos o del grupo de recursos a los recursos individuales.
Los permisos de aplicación se establecen directamente en la aplicación (por ejemplo, dab-Nexus) en el Azure Portal. Debe introducir varios permisos.
Para ello, haga clic en Add a permission y seleccione Microsoft APIs. Para más información, consulte esta documentación de Microsoft.
-
Permisos delegados (solo Usuario de Servicio)
- Power BI Service
- MirroredDatabase.ReadWrite.All
- Workspace.Read.All
- Lakehouse.ReadWrite.All
- SparkJobDefinition
- SparkJobDefinition.Execute.All
- SparkJobDefinition.ReadWrite.All
- Azure Storage
- user_impersonation
- Power BI Service
-
Permisos de aplicación (solo Service Principal)
- Power BI Service
- Tenant.Read.All
- Tenant.ReadWrite.All
- Power BI Service
Cuando haya configurado todos los permisos, haga clic en Grant Admin consent for Tenant name y confirme el mensaje con Sí. Para más información, consulte esta sección de la documentación de Microsoft.
El listado de permisos API para permisos delegados (usuarios de servicio) debería verse así:
El listado de permisos API para permisos de aplicación (Service Principal) debería verse así:
Después de completar todos los pasos de la documentación, usted recibirá la Client ID necesaria para conectar con su aplicación dab Nexus.
-
b. Verifique la configuración del Tenant en la Admin Portal de Fabric (Service Principal y ambas Managed Identities)
- abra la Admin Portal de Fabric e inicie sesión
- siga los pasos en Service principals can call Fabric public APIs en la documentación de Microsoft: estas configuraciones deben estar habilitadas para Service Principals y Managed Identities
-
c. Conceda acceso en dab Nexus (solo usuario de servicio)
- Autenticación básica
- Username & Password: introduzca el nombre de usuario y la contraseña de los usuarios Fabric
- Request API consent: aquí debe aceptar los permisos requeridos una vez
- Autenticación básica
-
d. Asigne roles en Fabric Workspace
En Microsoft Fabric, el usuario debe tener al menos el rol Contributor.
- Abra Fabric: URL https://app.powerbi.com
- Inicie sesión: con su usuario
- Haga clic en Workspaces
- Pase el ratón sobre el nombre general del espacio de trabajo y haga clic en los tres puntos
- Haga clic en Workspace Access
- Usuarios y sus roles: puede verlos en el lado derecho
- Usuario de servicio
- Introduzca la dirección de correo del usuario de servicio
- Service Principal
- Introduzca el nombre del App Registration: por ejemplo, app-azure-vm-Nexus
- Conceda acceso a la managed identity asignada por el sistema:
- Introduzca el nombre del recurso: nombre del App Service o nombre de la Azure VM (por ejemplo, app-dabnexus-1234 o azure-vm-Nexus)
- Conceda acceso a la managed identity asignada por el usuario (Managed App: UAMI se creará automáticamente):
- Introduzca el nombre de la Managed Identity: por ejemplo, mi-azure-vm-Nexus