本地数据网关体系结构

您组织中的用户可以访问他们已经具有访问授权的本地数据。 但是,在这些用户可以连接到本地数据源之前,需要先安装和配置本地数据网关。

网关可以促进快速、安全的后台通信。 此通信从云中的用户流到本地数据源,然后又回到云。

管理员通常是安装和配置网关的管理员。 这些操作可能需要对本地服务器或服务器管理员权限有特别的了解。

本文不提供有关如何安装和配置网关的分步指导。 对于该指导,请务必参阅安装本地数据网关。 本文提供对网关如何工作的深入了解。

网关工作原理

云服务、网关和数据源之间的关系

让我们首先看一下当您与连接到本地数据源的元素交互时,会发生什么情况。

备注

根据云服务的不同,您可能需要为网关配置数据源。

  1. 云服务将创建查询以及本地数据源的加密凭据。 查询和凭据将发送到网关队列进行处理。 有关 Power BI 中凭据加密的详细信息,请参阅 Power BI 安全白皮书
  2. 网关云服务将分析该查询,并将请求推送到 Azure 服务总线消息
  3. Azure 服务总线将挂起请求发送到网关。
  4. 网关获取查询、解密凭据并使用这些凭据连接到一个或多个数据源。
  5. 网关将查询发送到要运行的数据源。
  6. 结果将从数据源发回到网关,然后发送到云服务。 服务随后使用结果。

在步骤 6 中,诸如 Power BI 刷新和 Azure Analysis Services 刷新之类的查询会返回大量数据。 对于此类查询,数据会暂时存储在网关计算机上。 此数据存储将一直持续到从数据源接收到所有数据为止。 然后,数据被发送回云服务。 这一过程称为假脱机。 建议您使用固态硬盘 (SSD) 作为假脱机存储。

向本地数据源进行身份验证

存储的凭据用于从网关连接到本地数据源。 无论是哪个用户,该网关都使用存储的凭据进行连接。 但是 Power BI 中可能存在身份验证例外,例如 DirectQuery 和 LiveConnect for Analysis Services。 有关 Power BI 中凭据加密的详细信息,请参阅 Power BI 安全白皮书

登录帐户

您将使用工作帐户或学校帐户登录。 此帐户是您的组织帐户。 如果您注册了 Office 365 产品/服务,但未提供您的实际工作电子邮件地址,您的帐户名称可能类似于 like nancy@contoso.onmicrosoft.com。 云服务将您的帐户存储在 Azure Active Directory (Azure AD) 中的租户中。 在大多数情况下,您的 Azure AD 帐户的用户主体名称 (UPN) 与您的电子邮件地址匹配。

Azure Active Directory

Microsoft 云服务使用 Azure AD 对用户进行身份验证。 Azure AD 是包含用户名和安全组的租户。 通常情况下,您用于登录的电子邮件地址与您的帐户的 UPN 相同。 有关 Power BI 中身份验证的详细信息,请参阅 Power BI 安全白皮书

如何辨别我的 UPN?

您可能不知道您的 UPN,并且您可能不是域管理员。要找到您帐户的 UPN,请从您的工作站运行以下命令:whoami /upn

尽管结果看起来像一个电子邮件地址,但这是您本地域帐户上的 UPN。

将本地 Active Directory 与 Azure Active Directory 同步

您希望每个本地 Active Directory 帐户都与 Azure AD 帐户匹配,因为两个帐户的 UPN 必须相同。

云服务只知道 Azure AD 中的帐户。 如果在本地 Active Directory 中添加了帐户,则这并不重要。 如果帐户在 Azure AD 中不存在,则无法使用。

有多种方法可以将本地 Active Directory 帐户与 Azure AD 进行匹配。

  • 将帐户手动添加到 Azure AD 中。

    在 Azure 门户或 Microsoft 365 管理中心内创建帐户。 确保帐户名称与本地 Active Directory 帐户的 UPN 匹配。

  • 使用 Azure Active Directory Connect 工具将本地帐户同步到 Azure AD 租户。

    Azure AD Connect 工具提供了选项以用于目录同步和身份验证设置。 这些选项包括密码哈希同步、传递身份验证和联合身份验证。 如果您不是租户管理员或本地域管理员,请联系 IT 管理员配置 Azure AD Connect。

Azure AD Connect 可确保您的 Azure AD UPN 与本地 Active Directory UPN 匹配。 如果您使用的是具有 Power BI 或单一登录 (SSO) 功能的 Analysis Services 实时连接,进行此匹配会有所帮助。

备注

使用 Azure AD Connect 工具同步帐户时,将在您的 Azure AD 租户内创建新帐户。

后续步骤