为管理员 API 启用服务主体身份验证

本文介绍如何为 Power BI 只读 管理员 API 和 Microsoft Fabric 更新 管理员 API 启用服务主体身份验证。

服务主体是一种身份验证方法，可用于让 Microsoft Entra 应用程序访问 Microsoft Fabric 内容和 API。

创建Microsoft Entra 应用时，会创建 服务主体对象 。 服务主体对象（也称为服务主体）允许Microsoft Entra ID 对应用进行身份验证。 身份验证后，应用可以访问 Microsoft Entra 租户资源。

启用服务主体身份验证

若要为 Fabric API 启用服务主体身份验证，请执行以下步骤：

1. 创建Microsoft Entra 应用。 如果已有要使用的 Microsoft Entra 应用，则可以跳过此步骤。 记下应用 ID，在后续步骤中需要用到该 ID。

   重要

   请确保你在 Azure 门户中使用的应用没有设定任何需要管理员权限批准的 Fabric 权限。 了解如何检查应用是否具有任何此类权限。

2. 创建新的Microsoft Entra 安全组 ，并确保选择“ 安全 ”作为组类型。 如果已有要使用的 Microsoft Entra 安全组，则可以跳过此步骤。

3. 将应用 ID 添加为创建的安全组的成员。 为此，做以下事情：

   1. 导航到 Azure 门户 > Microsoft Entra ID > 组，然后选择在 步骤 2 中创建的安全组。
   2. 选择 “添加成员”。

4. 启用 Fabric 管理员设置：

   1. 登录到 Fabric 管理门户。 需要是 Fabric 管理员才能查看租户设置页。
   2. 在 “管理员 API 设置”下，选择要启用的管理员 API 类型的开关：
      • 服务主体可以访问只读管理员 API （请参阅 支持的 Power BI 管理员 API）
      • 服务主体可以访问用于更新的管理员 API （请参阅 支持的 Fabric 管理员 API）

5. 将切换设置为“启用”。

6. 选择 “特定安全组 ”单选按钮。 在下方显示的文本字段中，添加在 步骤 2 中创建的安全组。

7. 选择应用。

支持用于只读的 Power BI 管理员 API

以下只读管理员 API 目前支持服务主体身份验证。

• 具有$expand的GetGroupsAsAdmin，包括仪表板、语义模型、报表和数据流
• GetGroupUsersAsAdmin
• 具有$expand磁贴的 GetDashboardsAsAdmin
• GetDashboardUsersAsAdmin
• GetAppsAsAdmin
• GetAppUsersAsAdmin
• GetDatasourcesAsAdmin（以管理员身份获取数据源）
• 获取数据集到数据流链接作为管理员
• GetDataflowDatasourcesAsAdmin
• GetDataflowUpstreamDataflowsAsAdmin
• GetCapacitiesAsAdmin（以管理员身份获取容量）
• 获取容量用户作为管理员
• GetActivityLog
• GetModifiedWorkspaces
• WorkspaceGetInfo
• WorkspaceScanStatus
• WorkspaceScanResult
• GetDashboardsInGroupAsAdmin (以管理员身份获取组中仪表板)
• GetTilesAsAdmin
• ExportDataflowAsAdmin
• GetDataflowsAsAdmin
• GetDataflowUsersAsAdmin
• GetDataflowsInGroupAsAdmin
• GetDatasetsAsAdmin
• GetDatasetUsersAsAdmin
• GetDatasetsInGroupAsAdmin
• 获取 Power BI 加密密钥
• 获取可刷新容量
• 获取可刷新内容
• 获取可刷新容量项
• GetImportsAsAdmin
• GetReportsAsAdmin
• GetReportUsersAsAdmin
• 以管理员身份获取组中的报告

如何检查应用是否具有管理员许可所需的权限

使用服务主体身份验证的应用来调用只读管理员 API 的应用，不得 在 Azure 门户中设置任何需要管理员同意的 Power BI 权限。 检查分配的权限：

1. 登录到 Azure 门户。

2. 选择 Microsoft Entra ID，然后选择 企业应用程序。

3. 选择要授予对 Power BI 的访问权限的应用程序。

4. 选择“权限”。 对于为应用注册的应用程序类型，必须没有管理员许可所需的权限。

用于更新的受支持 Fabric 管理 API

服务主体可以访问用于更新的管理员 API，指的是 Fabric 管理员 API，例如工作区 - 还原工作区 API。

若要了解特定 Fabric 管理员 API 是否支持服务主体身份验证，请查看 Microsoft Fabric REST API 参考中的 API 文档。 查找“Microsoft Entra 支持的标识”部分，该部分指示是否支持服务主体身份验证。

注意事项和限制

• 服务主体可以进行 rest API 调用，但无法使用服务主体凭据打开 Fabric。

• 在 Fabric 管理门户的管理员 API 设置中启用服务主体需要具备 Fabric 管理员权限。

相关内容

• 元数据扫描概述

• 设置元数据扫描

• 运行元数据扫描