如何授予对 DWH Fabric 中整个 Azure AD 组的访问权限？

Question

我目前正在使用 Microsoft DWH Fabric，我需要授予对整个 Azure Active Directory (AAD) 组的只读访问权限。具体来说，我想将该组添加到我的数据库中的 db_datareader 角色。

这是我迄今为止尝试过的：

我使用以下 SQL 命令来添加组：

ALTER ROLE db_datareader ADD MEMBER [group:group-id-or-name];

不幸的是，我收到以下错误：

找不到主体“group:group-id-or-name”或不支持此主体类型。

我验证了该组存在于 Azure AD 中，并尝试使用该组的名称和对象 ID，带或不带像 group: 这样的前缀。

但是，这也没有解决问题。

Answer 1

找不到主体“group:group-id-or-name”或不支持此主体类型。

确保您已启用 服务主体可以在 Fabric 工作区中使用 Fabric APIs，否则您可能会收到上述错误。此设置位于开发人员设置部分，并标记为服务主体可以使用 Fabric API。

Screenshot from the Fabric portal of the Developer Settings page in Tenant Settings.

之后创建 Active Directory 组的用户并使用以下命令添加角色：

create  user [<ADGroupName>] from  external  provider
ALTER  ROLE db_datareader ADD  MEMBER [<ADGroupName>];

enter image description here

您在命令中提到了

[group:group-id-or-name]

，这可能是导致无法找到主要“组：组ID或名称”的原因。除此之外，请确保您提供了正确的组名称。欲了解更多信息，您可以参考以下文档：