Arquitetura do gateway de dados local

Os usuários em sua organização podem acessar dados locais aos quais já têm autorização de acesso por meio de serviços na nuvem, como Power BI, Power Platform e Microsoft Fabric. Mas, para que esses usuários possam conectar o serviço de nuvem à fonte de dados local, um gateway de dados local deve ser instalado e configurado.

O gateway facilita a comunicação rápida e segura nos bastidores. Essa comunicação flui de um usuário na nuvem para a fonte de dados local e depois de volta para a nuvem.

O administrador geralmente é quem instala e configura um gateway. Essas ações podem exigir conhecimento especial dos servidores locais ou permissões de administrador do servidor.

Este artigo não fornece diretrizes passo a passo de como instalar e configurar o gateway. Para obter essas diretrizes, acesse Instalar um gateway de dados local. Este artigo fornece uma compreensão detalhada de como o gateway funciona.

Como o gateway funciona

Relationship among cloud services, gateway, and data sources.

Primeiro vamos examinar o que acontece quando você interage com um elemento que está conectado a uma fonte de dados local.

Observação

Dependendo do serviço de nuvem, pode ser necessário configurar uma fonte de dados para o gateway.

  1. O serviço de nuvem cria uma consulta e as credenciais criptografadas para a fonte de dados local. A consulta e as credenciais são enviadas para a fila de gateway para processamento quando o gateway sonda o serviço periodicamente. Para obter mais informações sobre a criptografia de credencial no Power BI, acesse o whitepaper de segurança do Power BI.
  2. O serviço de nuvem do gateway analisa a consulta e envia por push a solicitação para a Retransmissão do Azure.
  3. A Retransmissão do Azure envia as solicitações pendentes para o gateway quando ele sonda periodicamente. O gateway e o serviço do Power BI são implementados para aceitar apenas o tráfego TLS 1.2.
  4. O gateway obtém a consulta, descriptografa as credenciais e conecta-se a uma ou mais fontes de dados com essas credenciais.
  5. O gateway envia a consulta para fonte de dados a ser executada.
  6. Os resultados são enviados da fonte de dados de volta para o gateway e para o serviço de nuvem. Depois o serviço usa os resultados.

Na etapa 6, consultas como atualizações do Power BI e do Azure Analysis Services podem retornar grandes quantidades de dados. Para essas consultas, os dados são armazenados temporariamente no computador do gateway. Esse armazenamento de dados continua até que todos os dados sejam recebidos da fonte de dados. Depois, os dados são retornados ao serviço de nuvem. Esse processo é chamado de spool. Recomendamos que você use uma SSD (unidade de estado sólido) como armazenamento de spool.

Autenticação para fontes de dados locais

Uma credencial armazenada é usada para se conectar do gateway em fontes de dados locais. Qualquer que seja o usuário, o gateway usará a credencial armazenada para se conectar. Mas pode haver exceções de autenticação, como DirectQuery e LiveConnect para o Analysis Services no Power BI. Para obter mais informações sobre a criptografia de credencial no Power BI, acesse o whitepaper de segurança do Power BI.

Conta de logon

Você entra com uma conta corporativa ou de estudante. Essa conta é da sua organização. Se você se inscreveu para uma oferta do Office 365 e não forneceu seu email de trabalho real, o endereço de entrada pode ser semelhante a este: nancy@contoso.onmicrosoft.com. Um serviço de nuvem armazena sua conta em um locatário no Microsoft Entra ID. Na maioria dos casos, o nome UPN da sua conta do Microsoft Entra ID corresponde ao seu endereço de email.

Segurança de tráfego de rede

O tráfego vai do gateway para a Retransmissão do Azure para o cluster de back-end do Power BI. Esse tráfego não percorre a Internet pública. Todo o tráfego interno do Azure passa pelo backbone do Azure.

Microsoft Entra ID

Os serviços de nuvem da Microsoft usam o Microsoft Entra ID para autenticar usuários. O Microsoft Entra ID é o locatário que contém nomes de usuário e grupos de segurança. Normalmente, o endereço de email que você usa para entrar é o mesmo que o UPN da sua conta. Para obter mais informações sobre a autenticação no Power BI, acesse o whitepaper de segurança do Power BI.

Como saber qual é a minha UPN?

Talvez você não saiba seu UPN e talvez não seja um administrador de domínio. Para descobrir o UPN da sua conta, execute o seguinte comando em sua estação de trabalho: whoami /upn.

Embora o resultado pareça um endereço de email, ele é o UPN da conta de domínio local.

Sincronizar um Active Directory local com o Microsoft Entra ID

Você deseja que cada uma de suas contas do Active Directory local corresponda a uma conta do Microsoft Entra ID, pois o UPN para ambas as contas deve ser o mesmo.

Os serviços de nuvem sabem apenas sobre contas dentro do Microsoft Entra ID. Não basta adicionar uma conta no Active Directory local. Se a conta não existir no Microsoft Entra ID, ela não poderá ser usada.

Há diferentes maneiras de corresponder suas contas do Active Directory local com o Microsoft Entra ID.

  • Adicione contas manualmente ao Microsoft Entra ID.

    Crie uma conta no portal do Azure ou no centro de administração do Microsoft 365. Verifique se o nome da conta corresponde ao UPN da conta do Active Directory local.

  • Use a ferramenta Microsoft Entra ID Connect para sincronizar contas locais com o locatário do Microsoft Entra ID.

    A ferramenta Microsoft Entra ID Connect fornece opções para sincronização de diretórios e configuração de autenticação. Essas opções incluem sincronização de hash de senha, autenticação de passagem e federação. Se você não for um administrador de locatários ou um administrador de domínio local, entre em contato com o administrador de TI para configurar o Microsoft Entra ID Connect.

O Microsoft Entra ID Connect garante que o UPN do Microsoft Entra ID corresponda ao UPN do Active Directory local. Essa correspondência será útil se você estiver usando conexões ativas do Analysis Services com recursos do Power BI ou de SSO.

Observação

Sincronizar contas com a ferramenta Microsoft Entra ID Connect cria novas contas no locatário do Microsoft Entra ID.

Próximas etapas