Включение аутентификации служебного главного средства для административных API

В этой статье показано, как включить проверку подлинности субъекта-службы для Power BI read-only API администрирования и Microsoft Fabric update API администрирования.

Субъект-служба — это метод проверки подлинности, который можно использовать для предоставления приложению Microsoft Entra доступа к содержимому и API Microsoft Fabric.

При создании приложения Microsoft Entra создается объект субъекта-службы службы. Объект субъекта-службы, также известный как субъект-служба, позволяет Microsoft Entra ID проходить проверку подлинности приложения. После проверки подлинности приложение может получить доступ к ресурсам клиента Microsoft Entra.

Включение проверки подлинности принципала службы

Чтобы ввести проверку подлинности учетной записи службы для API Fabric, выполните следующие действия.

1. Создать приложение Microsoft Entra. Этот шаг можно пропустить, если у вас уже есть Microsoft Entra приложение, которое вы хотите использовать. Запишите идентификатор приложения, который вам понадобится в последующих шагах.

   Это важно

   Убедитесь, что используемое вами приложение не имеет разрешений, требующих согласия администратора для Fabric, на портале Azure. Узнайте, есть ли у вашего приложения такие разрешения.

2. Создайте группу Microsoft Entra Security Group и обязательно выберите Security в качестве типа группы. Этот шаг можно пропустить, если у вас уже есть группа безопасности Microsoft Entra, которую вы хотите использовать.

3. Добавьте идентификатор приложения в качестве члена созданной группы безопасности. Для этого:

4. Перейдите на портал Azure > Microsoft Entra ID > Группы и выберите группу безопасности, созданную на Шаге 2.

   1. Выберите "Добавить участников".

5. Включите параметры администратора Fabric:

   1. Войдите на портал администрирования Fabric. Чтобы просмотреть страницу параметров клиента, необходимо быть администратором Fabric.

   2. В разделе "Параметры API администратора" выберите параметр для типа API администратора, который требуется включить:

      • Принципы служб могут получить доступ к API-интерфейсам администрирования только для чтения (см. API администрирования Power BI, которые поддерживаются)
      • Субъекты-службы могут получить доступ к API администрирования, используемым для обновлений (см. поддерживаемые API администрирования Fabric)

6. Установите для переключателя значение "Включено".

7. Нажмите переключатель "Определенные группы безопасности ". В текстовом поле, отображаемом ниже, добавьте группу безопасности, созданную на шаге 2.

8. Нажмите кнопку "Применить".

Поддерживаемые API администрирования Power BI только для чтения

Следующие администраторские API только для чтения поддерживают аутентификацию с использованием субъектов-служб. Этот список может не быть исчерпывающим; Последние сведения об API, не перечисленных здесь, см. в документации Power BI REST API.

• Приложения GetAppsAsAdmin
• Приложения GetAppUsersAsAdmin
• Информационные панели GetDashboardsAsAdmin
• Панели мониторинга GetDashboardsInGroupAsAdmin
• Панели мониторинга GetDashboardSubscriptionsAsAdmin
• Панели мониторинга GetDashboardUsersAsAdmin
• Панели мониторинга GetTilesAsAdmin
• Потоки данных ExportDataflowAsAdmin
• Потоки данных GetDataflowDatasourcesAsAdmin
• Потоки данных ("GetDataflowsAsAdmin")
• Потоки данных GetDataflowsInGroupAsAdmin
• Потоки данных GetDataflowUsersAsAdmin
• Потоки данных GetUpstreamDataflowsInGroupAsAdmin
• Наборы данных GetDatasetsAsAdmin
• Наборы данных GetDatasetsInGroupAsAdmin
• Наборы данных GetDatasetToDataflowsLinksInGroupAsAdmin
• Наборы данных: GetDatasetUsersAsAdmin
• Наборы данных GetDatasourcesAsAdmin
• Получение событий активности
• Запрос прав доступа в качестве администратора
• Get Power BI ключи шифрования
• Получить обновляемый элемент для повышения ёмкости
• Получение обновляемых компонентов для емкости
• Получение обновлений
• Группы GetGroupAsAdmin
• Группы GetGroupsAsAdmin
• Группы GetGroupUsersAsAdmin
• Группы GetUnusedArtifactsAsAdmin
• Импорт GetImportsAsAdmin
• Пайплайны GetPipelinesAsAdmin
• Пайплайны GetPipelineUsersAsAdmin
• Профили GetProfilesAsAdmin
• Отчеты GetReportsAsAdmin
• Отчеты GetReportsInGroupAsAdmin
• Отчеты GetReportSubscriptionsAsAdmin
• Отчеты GetReportUsersAsAdmin
• Пользователи GetUserArtifactAccessAsAdmin
• Пользователи GetUserSubscriptionsAsAdmin
• ШирокоРазделяемыеАртефакты СсылкиРазделенныеСЦелойОрганизацией
• ШирокоДоступныеАртефакты ОпубликованоВИнтернет
• WorkspaceInfo GetModifiedWorkspaces
• WorkspaceInfo GetScanResult
• WorkspaceInfo GetScanStatus
• WorkspaceInfo PostWorkspaceInfo

Как проверить, есть ли у приложения необходимые разрешения на согласие администратора

Приложение, использующее аутентификацию служебного принципала и вызывающее администраторские API только для чтения, не должно иметь разрешения, требующие согласия администратора для Power BI в портале Azure. Чтобы проверить назначенные разрешения, выполните следующие действия.

1. Войдите на портал Azure.

2. Выберите Microsoft Entra ID, а затем Enterprise applications.

3. Выберите приложение, которому вы хотите предоставить доступ к Power BI.

4. Выберите разрешения. Для приложения не должно быть зарегистрировано разрешений типа Application, для которых требуется согласие администратора.

Поддерживаемые администраторские API Fabric для обновлений

Настройка "Субъекты-службы могут получить доступ к API администрирования, используемым для обновлений" применяется к API администрирования Fabric, таким как "Рабочие области — API восстановления рабочей области".

Чтобы узнать, поддерживается ли в определенном API администратора Fabric проверка подлинности сервисного принципала, ознакомьтесь с документацией в справочном руководстве по REST API Fabric. Найдите раздел "поддерживаемые удостоверения Microsoft Entra", который указывает, поддерживается ли проверка подлинности служебного принципала.

Соображения и ограничения

• Субъект-служба может вызывать rest API, но не удается открыть Fabric с учетными данными субъекта-службы.

• Права администратора Fabric необходимы для включения субъекта-службы в параметрах API администрирования на портале администрирования Fabric.

Связанный контент

• Справочник по REST API Fabric
• Обзор сканирования метаданных
• Настройка сканирования метаданных
• Запуск сканирования метаданных