Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Fabric obsługuje scenariusze obejmujące wiele obszarów roboczych, takie jak centrum danych, ulubione, linia pochodzenia, wyszukiwanie, katalog OneLake oraz inne funkcje zapewniania ładu i odkrywania za pośrednictwem interfejsów API dla wielu obszarów roboczych. Te interfejsy API umożliwiają użytkownikom dostęp do uproszczonych metadanych z wielu obszarów roboczych, do których mogą uzyskiwać dostęp poza konfiguracjami sieci obszarów roboczych. Interfejsy API obsługują ujednolicone wyszukiwanie, organizację i nawigację między platformą bez uwidaczniania podstawowej zawartości danych.
Interfejsy API z wieloma obszarami roboczymi nie zawsze są widoczne jako autonomiczne punkty końcowe REST. W wielu przypadkach te interfejsy API są wywoływane pośrednio. Na przykład mogą być wywoływane w ramach szerszego wywołania REST API, procesu w tle lub operacji portalu (na przykład ładowania strony w Fabric UI). Niezależnie od tego, jak są one wyzwalane, są dokładnie ograniczone, aby upewnić się, że zwracają tylko metadane, do których użytkownik ma uprawnienia dostępu.
Kategorie interfejsów API dla wielu obszarów roboczych
Interfejsy API z wieloma obszarami roboczymi należą do następujących dwóch kategorii. Każda z nich obsługuje określone scenariusze i wymusza kontrolę dostępu na różne sposoby.
Interfejsy API tylko do odczytu dla wielu obszarów roboczych, bez filtrów
- Zaprojektowano tak, aby zwracać metadane we wszystkich dostępnych obszarach roboczych dla użytkownika.
- Nie wymuszaj ograniczeń dostępu opartych na sieci.
- Z założenia tylko do odczytu i nieobsługiwane przez prywatne połączenia punktu końcowego obszaru roboczego.
- Zazwyczaj używane w globalnych scenariuszach agregacji, takich jak indeksowanie na całej platformie lub katalogowanie.
Filtrowane interfejsy API z wieloma obszarami roboczymi
- Wymuszaj kontrolę dostępu na podstawie źródła sieci żądania API.
- Obsługa bezpiecznego użycia z prywatnego łącza obszaru roboczego, prywatnego łącza dzierżawy oraz konfiguracji sieci publicznej.
- Zwraca metadane tylko dla obszarów roboczych, które są dostępne na podstawie kontekstu sieciowego żądania.
Te interfejsy API obsługują agregację metadanych na dużą skalę i są kategoryzowane na podstawie sposobu obsługi kontroli dostępu i zabezpieczeń sieci. W poniższej tabeli podsumowano, jak różne typy interfejsów API w środowisku z wieloma obszarami roboczymi zwracają metadane na podstawie typu połączenia sieciowego.
| Typ interfejsu API z wieloma obszarami roboczymi | Przychodzące połączenie sieciowe | Zwrócone metadane |
|---|---|---|
| Tylko do odczytu, niefiltrowane | Publiczny Internet, prywatny punkt końcowy dzierżawcy | Wszystkie obszary robocze, do których użytkownik może uzyskać dostęp |
| Filtered | Publiczny Internet, prywatny punkt końcowy najemcy | Obszary robocze, które nie są zabezpieczone poprzez prywatny punkt końcowy obszaru roboczego |
| Filtered | Prywatny punkt końcowy obszaru roboczego | Tylko obszar roboczy powiązany z prywatnym punktem końcowym tego obszaru roboczego |
Przykładowy scenariusz
Załóżmy, że użytkownik ma dostęp do pięciu obszarów roboczych usługi Fabric:
- Obszary robocze 1 i Obszar roboczy 2 są zabezpieczone odpowiednio prywatnymi punktami końcowymi obszaru roboczego WSPE 1 i WSPE 2.
- Obszary robocze 3, 4 i 5 są dostępne za pośrednictwem sieci publicznej lub prywatnego łącza dzierżawcy.
W tym przykładowym scenariuszu użytkownik chce wywołać API Get Workspace w różnych konfiguracjach sieci. Interfejs API Pobierania obszaru roboczego to interfejs API agregacji tylko do odczytu, który umożliwia użytkownikom pobieranie metadanych dotyczących wszystkich obszarów roboczych, do których mogą uzyskiwać dostęp. Zachowanie tego interfejsu API może ulec zmianie (lub zachować spójność) w różnych konfiguracjach sieciowych na platformie Microsoft Fabric.
Kiedy użytkownik wywołuje API Pobierania Obszaru Roboczego (niefiltrowanego):
- Z publicznej sieci: API zwraca wszystkie pięć przestrzeni roboczych. Żadne ograniczenia sieci nie są wymuszane, a dostęp jest oparty wyłącznie na uprawnieniach użytkowników.
- Z prywatnego łącza dzierżawcy: działa tak samo jak w przypadku sieci publicznej. Zwracane są wszystkie pięć obszarów roboczych. Link prywatny dzierżawy nie nakłada ograniczeń na poziomie przestrzeni roboczej na nieprzefiltrowane interfejsy API.
- Z prywatnego punktu końcowego obszaru roboczego: wywołanie interfejsu API kończy się niepowodzeniem. Niefiltrowane interfejsy API nie są obsługiwane za pośrednictwem łącza prywatnego obszaru roboczego, ponieważ te izolowane sieci zostały zaprojektowane w celu zapobiegania narażeniu danych między obszarami roboczymi.
W tym scenariuszu pokazano, jak niefiltrowane interfejsy API agregacji zachowują się spójnie w otwartych sieciach, ale są celowo blokowane w prywatnych środowiskach ograniczonych do obszaru roboczego ze względów bezpieczeństwa.
Zakres danych i ich użycie
-
Uprawnienia, własność i informacje o twórcach: metadane, które zawierają pola identyfikujące, kto jest właścicielem lub zarządza elementem, kto go utworzył lub ostatnio zmodyfikował, oraz jaki poziom dostępu mają różni użytkownicy. Przykłady obejmują
Artifact.CurrentPrincipalPermissions,Artifact.OwnerOrContact,Workspace.PrincipalPermissions, iWorkspace.OwnerOrContact. -
Szczegóły dostępu i modyfikacji: Metadane, które przechwytują, kiedy i przez kogo utworzono element lub obszar roboczy, do którego ostatnio uzyskano dostęp lub który został zmodyfikowany. Przykłady obejmują
Artifact.CreateAccessModifyTime,Artifact.CreateAccessModifyUser,Workspace.CreateAccessModifyTimeoraz powiązane pola w obszarzeJobScheduleiInformationProtection. -
Identyfikatory, typy i atrybuty opisowe: Metadane obejmujące unikatowe identyfikatory, nazwy wyświetlane, typy artefaktów, informacje o połączeniu i adresy URL do lokalizowania lub klasyfikowania elementów. Pola mogą obejmować
Artifact.Id, ,Artifact.TypeOrSubtype,Artifact.NameOrDisplayNameArtifact.UrlOrConnectionString,Workspace.TypeOrSubtype, iWorkspace.NameOrDisplayName. -
Klasyfikacja danych, etykietowanie i tagi: Metadane zawierające pola używane do celów ładu i zgodności, takie jak etykiety ochrony informacji, stany klasyfikacji, tagi zawartości i ograniczenia zabezpieczeń. Przykłady obejmują
Artifact.ContentTag,Artifact.InformationProtection.StateOrStatus,Artifact.InformationProtection.Restrictions, iTenant.MipLabel. -
Atrybuty na poziomie organizacji i platformy: metadane odzwierciedlające miejsce, w którym znajduje się element na szerszej platformie lub w strukturze dzierżawy, w tym domenie, pojemności, regionie i metadanych platformy. Pola mogą zawierać
Tenant.Domain, ,Tenant.CapacityWorkspace.StorageInfoiWorkspace.SecuritySettings. -
Relacje i hierarchie: metadane wskazujące, w jaki sposób element lub obszar roboczy jest powiązany z innymi obiektami (relacje nadrzędne/podrzędne, podartefakty, linie pochodzenia zadań i pogrupowane byty). Może zawierać pola, takie jak
Artifact.RelationToArtifactParentChild, ,Artifact.SubArtifactWorkspace.RelationToWorkspaceParentChild,Workspace.Subfolder, iTenant.Group.
Ten dostęp do metadanych jest tylko do odczytu i jest ograniczony w zakresie. Nie wiąże się to z dostępem do zawartości danych bazowych ani ładunków generowanych przez użytkownika w ramach artefaktów. Jest przeznaczona do wspierania scentralizowanego odkrywania i zarządzania w ramach platformy Fabric.