Przejdź do głównej treści

Wymagania systemowe dla polaczen Fabric

Wazne

Polaczenia stanowia rozszerzenie dla dab Nexus. Konieczne jest dodatkowe licencjonowanie.

Wskazowka

W przypadku pozyskania Managed App przez Azure Marketplace automatycznie zostanie utworzony App Service. Wszystkie ponizsze informacje dotyczace App Service beda mialy zastosowanie w tym przypadku!

1. Metody uwierzytelniania

Wskazowka

Ponizsze zasoby podano jako przyklady (nazwy tych zasobow mozna dowolnie zmienic):

Resource Group: rg-azure-vm-Nexus

User Assigned Managed Identity: mi-azure-vm-Nexus

App Service: app-dabnexus-1234

Azure Virtual Machine: vm-dabnexus

App Registration: app-azure-vm-Nexus

Application: dab-Nexus

  • a. Uzytkownik uslugowy

    • MFA (uwierzytelnianie wieloskadnikowe): nalezy wylaczyc
    • Uwierzytelnianie w dab Nexus: konieczne jest podanie nazwy uzytkownika oraz hasla dla polaczenia Fabric

  • b. Service Principal

    • Lokalizowanie Service Principal Key:
    • Otworzyc Azure Portal > App Registrations > wybrac wlasna Nexus aplikacje
    • Manage > Certificates & secrets > Client secrets
    • Value: to wlasnie Service Principal Key
    • Client ID: rowniez niezbedny do polaczenia w dab Nexus

  • c. Zarzadzana tozsamosc systemowa (App Service LUB Azure VM)

    • App Service > odnalezienie zarzadzanej tozsamosci systemowej:
      • Otworzyc Azure Portal > wybrac Resource Group > wybrac App Service (np. app-dabnexus-1234)
      • Settings > Identity: System assigned Status ON
    • Azure VM > odnalezienie zarzadzanej tozsamosci systemowej:
      • Otworzyc Azure Portal > wybrac Resource Group > wybrac Virtual Machine (np. vm-dabnexus)
      • Security > Identity: System assigned Status ON

  • d. Zarzadzana tozsamosc przypisana uzytkownikowi (Managed App: UAMI zostanie utworzony automatycznie)

    • Lokalizowanie user-assigned managed identity:
      • Otworzyc Azure Portal > wybrac Resource Group > wybrac App Service (np. app-dabnexus-1234)
      • Value: nazwa zarzadzanej tozsamosci

2. Wymagania

  • a. App Registration (tylko w przypadku korzystania z uzytkownika uslugowego lub Service Principal)
    • Otworzyc App Registrations w Azure Portal i kliknac + New Registration
    • Name: wpisac nazwe rejestracji (np. dab-Nexus)
    • Supported account types: wybrac opcje Only accounts in this organisation directory (single client)
    • Redirect-URI (tylko dla Service User): na liscie rozwijanej wybrac Web (Nexus jest aplikacja webowa) i podac Application-URL do dab Nexus
      • Application-URL (On-Premise): mozna odnalezc w Configuration.json
      • Application-URL (Managed App): otworzyc Resource Group w Azure Portal, otworzyc przeglad z lista Type App Service i w prawym gornym rogu widoczna bedzie Default domain Po podaniu wszystkich danych nalezy kliknac Register na dole: sysReq_fabCon1

Uprawnienia API

Roznica miedzy Application Permissions a Delegated Permissions

Poniżej przedstawiono roznice miedzy Application Permissions a Delegated Permissions.

Uprawnienia delegowane (Delegated permissions) sa dziedziczone. Dziedziczenie wystepuje na przyklad z poziomu Subscription do Resource Group lub z Resource Group do poszczegolnych zasobow.

Application permissions sa przypisywane bezposrednio w aplikacji (np. dab-Nexus) w Azure Portal. Wymagane jest zadeklarowanie kilku uprawnien.

W tym celu nalezy kliknac Add a permission i wybrac Microsoft APIs. Szczegolowe informacje znajduja sie w dokumentacji Microsoft.

  1. Delegated Permissions (tylko dla Service User)

    • Power BI Service
      • MirroredDatabase.ReadWrite.All
      • Workspace.Read.All
      • Lakehouse.ReadWrite.All
    • SparkJobDefinition
      • SparkJobDefinition.Execute.All
      • SparkJobDefinition.ReadWrite.All
    • Azure Storage
      • user_impersonation

  2. Application Permissions (tylko dla Service Principal)

    • Power BI Service
      • Tenant.Read.All
      • Tenant.ReadWrite.All

Po zadeklarowaniu wszystkich uprawnien nalezy kliknac Grant Admin consent for Tenant name i potwierdzic komunikat klikajac Yes. Szczegoly mozna odnalezc w odpowiedniej czesci dokumentacji Microsoft.

Lista uprawnien API dla Delegated Permissions (Service Users) powinna wygladac nastepujaco:

sysReq_fabCon2

Lista uprawnien API dla Application Permissions (Service Principal) powinna wygladac nastepujaco:

sysReq_fabCon3

Po zrealizowaniu wszystkich krokow opisanych w dokumentacji otrzymaja Panstwo wymagany Client ID do polaczenia z aplikacja dab Nexus.

  • b. Sprawdzenie ustawien Tenant-Settings w Fabric Admin Portal (Service Principal i obie Managed Identities)

    • nalezy otworzyc Fabric Admin Portal oraz sie zalogowac
    • wykonac instrukcje z czesci Service principals can call Fabric public APIs w dokumentacji Microsoft: ustawienia te musza byc aktywowane dla Service Principals i Managed Identities

  • c. Nadanie dostepu w dab Nexus (tylko Service User)

    • Podstawowe uwierzytelnianie (Basic Authentication)
      • Username & Password: wpisac dane uzytkownika Fabric-User
      • Request API consent: konieczne jest jednorazowe zaakceptowanie wymaganych uprawnien sysReq_fabCon4

  • d. Nadanie ról w Fabric Workspace

Wazne

W Microsoft Fabric uzytkownik musi posiadac minimum role Contributor.

  • Otworzyc Fabric: URL https://app.powerbi.com
  • Zalogowac sie: swoim uzytkownikiem
  • Kliknac w Workspaces
  • Najechac kursorem na ogolna nazwe workspace'u i kliknac trzy kropki
  • Wybrac Workspace Access
  • Uzytkownicy i ich role: widoczne po prawej stronie
  • Service User
    • Wpisac adres e-mail uzytkownika uslugowego
  • Service Principal
    • Wpisac nazwe App Registration: np. app-azure-vm-Nexus
  • Nadanie dostepu dla systemowej tozsamosci zarzadzanej:
    • Podac nazwe zasobu: nazwa App Service lub Azure VM (np. app-dabnexus-1234 lub np. azure-vm-Nexus)
  • Nadanie dostepu dla user-assigned managed identity (Managed App: UAMI zostanie utworzony automatycznie):
    • Wpisac nazwe zarzadzanej tozsamosci: np. mi-azure-vm-Nexus