Arquitectura de puerta de enlace de datos local

  • Artículo

Los usuarios de la organización pueden acceder a los datos locales a los que ya tienen acceso autorizado de servicios en la nube como Power BI, Power Platform y Microsoft Fabric. Pero para que estos usuarios puedan conectar el servicio en la nube a su origen de datos local, se debe instalar y configurar una puerta de enlace de datos local.

La puerta de enlace facilita la comunicación rápida y segura en segundo plano. Esta comunicación fluye de un usuario en la nube a su local origen de datos y luego regresa a la nube.

Un administrador suele ser el que instala y configura una puerta de enlace. Estas acciones pueden requerir un conocimiento especial de los servidores locales o permisos de Administrador del servidor.

En este artículo no se proporcionan instrucciones paso a paso acerca de cómo instalar y configurar una puerta de enlace. Para obtener esas instrucciones, vaya a Instalación en una puerta de enlace de datos local. El objetivo de este artículo es profundizar acerca del funcionamiento de la puerta de enlace.

Cómo funciona la puerta de enlace

Relationship among cloud services, gateway, and data sources.

Veamos primero lo que sucede cuando se interactúa con un elemento que está conectado a un origen de datos local.

Nota:

Dependiendo del servicio en la nube, es posible que deba configurar un origen de datos para la puerta de enlace.

  1. El servicio en la nube crea una consulta y las credenciales cifradas para el origen de datos local. La consulta y las credenciales se envían a la cola de puerta de enlace para su procesamiento cuando la puerta de enlace sondea periódicamente el servicio. Para más información sobre el cifrado de credenciales en Power BI, vaya a Notas del producto sobre la seguridad de Power BI.
  2. El servicio en la nube de la puerta de enlace analiza la consulta e inserta la solicitud en Azure Relay.
  3. Azure Relay envía las solicitudes pendientes a la puerta de enlace cuando sondea periódicamente. Tanto la puerta de enlace como el servicio Power BI está implementado para aceptar solo tráfico TLS 1.2.
  4. La puerta de enlace obtiene la consulta, descifra las credenciales y se conecta a uno o varios orígenes de datos con ellas.
  5. La puerta de enlace envía la consulta al origen de datos para su ejecución.
  6. Los resultados se envían desde el origen de datos a la puerta de enlace y luego al servicio en la nube. El servicio usa entonces los resultados.

En el paso 6, consultas como las actualizaciones de Power BI y de Azure Analysis Services pueden devolver grandes cantidades de datos. Para tales consultas, los datos se almacenan temporalmente en la máquina de la puerta de enlace. Este almacenamiento de datos continúa hasta que se reciban todos los datos del origen de datos. Los datos se envían al servicio en la nube. Este proceso se llama "spooling". Recomendamos que utilice una unidad de estado sólido (SSD) como almacenamiento de "spooling".

Autenticación a orígenes de datos locales

Una credencial almacenada se usa para conectarse desde la puerta de enlace a los orígenes de datos locales. Independientemente del usuario, la puerta de enlace usa la credencial almacenada para conectarse. Pero puede haber excepciones de autenticación como DirectQuery y LiveConnect para Analysis Services en Power BI. Para más información sobre el cifrado de credenciales en Power BI, vaya a Notas del producto sobre la seguridad de Power BI.

Cuenta de inicio de sesión

Se inicia sesión con una cuenta profesional o educativa. Esta cuenta es la cuenta de la organización. Si se suscribió una oferta de Office 365 y no proporcionó su dirección de correo electrónico real del trabajo, el nombre de su cuenta podría parecerse a nancy@contoso.onmicrosoft.com. Un servicio en la nube almacena su cuenta dentro de un inquilino en Microsoft Entra ID. En la mayoría de los casos, el nombre principal de usuario (UPN) de la cuenta de Microsoft Entra ID coincide con la dirección de correo electrónico.

Seguridad del tráfico de red

El tráfico va desde la puerta de enlace de Azure Relay hasta el clúster del backend de Power BI. Este tráfico no atraviesa la red pública de Internet. Todo el tráfico interno de Azure pasa por la red troncal de Azure.

Microsoft Entra ID

Los servicios en la nube de Microsoft usan Microsoft Entra ID para autenticar a los usuarios. Microsoft Entra ID es el inquilino que contiene grupos de nombres de usuario y seguridad. Normalmente, la dirección de correo con la que se inicia sesión coincide con el UPN de la cuenta. Para más información sobre la autenticación en Power BI, vaya a Notas del producto sobre la seguridad de Power BI.

¿Cómo sé cuál es mi UPN?

Es posible que no conozca su UPN y que no sea un administrador de dominio. Para averiguar el UPN de su cuenta, ejecute el siguiente comando desde su estación de trabajo: whoami /upn.

Aunque el resultado parece una dirección de correo electrónico, es el UPN de su cuenta de dominio local.

Sincronizar una instancia de Active Directory local con Microsoft Entra ID

Desea que cada una de sus cuentas locales de Active Directory coincida con una cuenta de Microsoft Entra ID, porque el UPN para ambas cuentas debe ser el mismo.

Los servicios en la nube solo reconocen las cuentas de Microsoft Entra ID. No importa si ha agregado una cuenta en su instancia de Active Directory local. Si la cuenta no existe en Microsoft Entra ID, no se puede usar.

Hay diferentes formas de hacer coincidir sus cuentas locales de Active Directory con Microsoft Entra ID.

  • Agregue cuentas manualmente a Microsoft Entra ID.

    Cree una cuenta en Azure Portal o en el centro de administración de Microsoft 365. Asegúrese de que el nombre de la cuenta coincida con el UPN de la cuenta de Active Directory local.

  • Use la herramienta Microsoft Entra ID Connect para sincronizar las cuentas locales con el inquilino de Microsoft Entra ID.

    La herramienta Microsoft Entra ID Connect proporciona opciones para la sincronización de directorios y la configuración de autenticación. Estas opciones incluyen la sincronización de hash de contraseñas, la autenticación de paso a través y la federación. Si no es un administrador de inquilinos o un administrador de dominio local, póngase en contacto con el administrador de TI para configurar Microsoft Entra ID Connect.

Microsoft Entra ID Connect garantiza que el UPN de Microsoft Entra ID coincida con el UPN local de Active Directory. Esta coincidencia ayuda si usa las conexiones en vivo de Analysis Services con funcionalidades de inicio de sesión único (SSO) o Power BI.

Nota:

La sincronización de cuentas con la herramienta Microsoft Entra ID Connect crea nuevas cuentas dentro del inquilino de Microsoft Entra ID.

Pasos siguientes