內部部署資料閘道架構
組織中的使用者可存取他們已擁有存取授權的內部部署資料。 必須先安裝並設定內部部署的資料閘道,使用者才可連線到您的內部部署資料來源。
閘道有助於安全快速地進行通訊。 這項通訊會從雲端的使用者流向您的內部部署資料來源,再傳回雲端。
系統管理員通常是安裝和設定閘道的那位。 這些動作可能需要對內部部署伺服器有特定知識或有伺服器系統管理員權限。
本文不會提供安裝和設定閘道器的逐步指引。 如需該指引,請務必查看安裝內部部署資料閘道。 本文旨在讓您深入了解閘道器的運作方式。
閘道的運作方式
我們先來看看當你與連線至內部部署資料來源的項目互動時的情形。
注意
視雲端服務而定,您可能需要為閘道設定資料來源。
- 雲端服務為內部部署資料來源的建立查詢和加密認證。 查詢和認證會傳送至閘道佇列進行處理。 如需有關 Power BI 認證加密的詳細資訊,請參閱 Power BI 安全性白皮書。
- 閘道的雲端服務會分析該查詢,並將要求推送至 Azure 服務匯流排通訊。
- Azure 服務匯流排會將待完成的要求傳送至閘道。 閘道和 Power BI 服務均可實施,以接受 TLS 1.2 流量。
- 閘道收到查詢,將認證解密,並使用該認證連線到一個或多個資料來源。
- 閘道將查詢傳送到資料來源,讓查詢能被執行。
- 資料來源會將結果傳回給閘道,再傳給雲端服務。 服務接著使用該結果。
在步驟 6 中,像 Power BI 重新整理和 Azure Analysis Services 重新整理可能會傳回大量的資料。 對於這類查詢,資料會暫時儲存在閘道電腦上。 此資料儲存會持續到從資料來源接收完所有資料為止。 然後資料會送回雲端服務。 這個程序稱為多工緩衝處理。 我們建議使用固態硬碟 (SSD) 做為多工緩衝儲存空間。
內部部署資料來源的驗證
已儲存認證是用來從閘道連線到內部部署的資料來源。 不論哪位使用者,閘道都會使用已儲存的認證進行連線。 但可能會有驗證例外,像是在 Power BI 中 Analysis Services 的 DirectQuery 和 LiveConnect for。 如需有關 Power BI 認證加密的詳細資訊,請參閱 Power BI 安全性白皮書。
登入帳戶
使用公司帳戶或學校帳戶登入。 此帳戶是您的組織帳戶。 如果您登入 Office 365 供應項目,而且未提供真實公司電子郵件地址,您的帳號名稱看起來會像 nancy@contoso.onmicrosoft.com。 雲端服務會在 Azure Active Directory (Azure AD) 的用戶中儲存您的帳戶。 在大多數案例中,Azure AD 帳戶的使用者主要名稱 (UPN) 與電子郵件地址相似。
Azure Active Directory
Microsoft 雲端服務使用Azure AD來驗證使用者。 Azure AD 是包含使用者名稱和安全性群組的用戶。 一般而言,您登入時使用的電子郵件地址與帳戶的 UPN 相同。 如需有關 Power BI 驗證的詳細資訊,請參閱 Power BI 安全性白皮書。
如何知道我的 UPN 為何?
您可能不知道您的 UPN,而且您可能不是網域管理員。若要找出帳戶的 UPN,請在您的工作站執行下面命令: whoami /upn。
雖然結果看起來像是電子郵件地址,但是它是本機網域帳戶的 UPN。
同步處理內部部署 Active Directory 和 Azure Active Directory
您希望您的每個內部部署 Active Directory 帳戶能對應一個 Azure AD 帳戶,因為這兩個帳戶的 UPN 必須相同。
雲端服務只知道 Azure AD 內的帳戶。 是否將帳戶新增至您的內部部署的 Active Directory 並不重要。 如果帳戶不存在於 Azure AD 中,就無法使用。
您可以使用不同的方式,將您的內部部署 Active Directory 帳戶與 Azure AD 搭配使用。
將帳戶新增至 Azure AD。
在 Azure 入口網站或 Microsoft 365 系統管理中心中建立帳戶。 請確定帳戶名稱與內部部署 Active Directory 帳戶的 UPN 相同。
使用 Azure Active Directory 連線工具將本機帳戶同步處理至您的 Azure AD 用戶。
Azure AD Connect 工具提供目錄同步作業和驗證設定的選項。 選項包括密碼雜湊同步處理、通過驗證和同盟。 如果您不是租用戶系統管理員或本機網域系統管理員,請連絡 IT 管理員來完成 Azure AD Connect 設定。
Azure ADConnect 可確保您的 Azure AD UPN 與本機 Active DIRECTORY UPN 相同。 當您透過 Power BI 或單一登入 (SSO) 功能使用 Analysis Services 即時連線,這些互相符合會有所幫助。
注意
使用 Azure AD Connect 工具同步處理帳戶會在 Azure AD 租用戶內建立新的帳戶。
後續步驟
意見反映
提交及檢視以下的意見反映: