Arquitetura de gateway de dados no local

Os usuários em sua organização podem acessar dados locais aos quais já têm autorização de acesso de serviços na nuvem, como Power BI, Power Platform e Microsoft Fabric. Mas antes que esses usuários possam conectar o serviço de nuvem à sua fonte de dados local, um gateway de dados local precisa ser instalado e configurado.

O gateway facilita uma comunicação rápida e segura nos bastidores. Essa comunicação flui de um usuário na nuvem para sua fonte de dados local e, em seguida, de volta para a nuvem.

Um administrador geralmente é aquele que instala e configura um gateway. Essas ações podem exigir conhecimento especial de seus servidores locais ou permissões de Administrador do Servidor.

Este artigo não fornece orientação passo a passo sobre como instalar e configurar o gateway. Para obter essa orientação, vá para Instalar um gateway de dados local. Este artigo fornece uma compreensão aprofundada de como o gateway funciona.

Como funciona o gateway

Relacionamento entre serviços de nuvem, gateway e fontes de dados.

Vamos primeiro examinar o que acontece quando você interage com um elemento que está conectado a uma fonte de dados local.

Nota

Dependendo do serviço de nuvem, talvez seja necessário configurar uma fonte de dados para o gateway.

  1. O serviço cloud cria uma consulta e as credenciais encriptadas para a origem de dados no local. A consulta e as credenciais são enviadas para a fila do gateway para processamento quando o gateway sonda o serviço periodicamente. Para obter mais informações sobre criptografia de credenciais no Power BI, vá para o whitepaper de segurança do Power BI.
  2. O serviço de nuvem de gateway analisa a consulta e envia a solicitação para o Azure Relay.
  3. O Azure Relay envia as solicitações pendentes para o gateway quando ele sonda periodicamente. O gateway e o serviço do Power BI são implementados para aceitar apenas o tráfego TLS 1.2.
  4. O gateway obtém a consulta, desencripta as credenciais e estabelece ligação a uma ou mais origens de dados com essas credenciais.
  5. O gateway envia a consulta para a origem de dados para ser executada.
  6. Os resultados são enviados da origem de dados de volta para o gateway e, em seguida, para o serviço cloud. Em seguida, o serviço utiliza os resultados.

Na etapa 6, consultas como atualizações do Power BI e do Azure Analysis Services podem retornar grandes quantidades de dados. Para essas consultas, os dados são armazenados temporariamente na máquina do gateway. Esse armazenamento de dados continua até que todos os dados sejam recebidos da fonte de dados. Os dados são então enviados de volta para o serviço de nuvem. Esse processo é chamado de spooling. Recomendamos que você use uma unidade de estado sólido (SSD) como armazenamento de spooling.

Autenticação em fontes de dados locais

Uma credencial armazenada é usada para se conectar do gateway a fontes de dados locais. Independentemente do usuário, o gateway usa a credencial armazenada para se conectar. Mas pode haver exceções de autenticação como DirectQuery e LiveConnect para Analysis Services no Power BI. Para obter mais informações sobre criptografia de credenciais no Power BI, vá para o whitepaper de segurança do Power BI.

Conta de início de sessão

Você entra com uma conta corporativa ou uma conta de estudante. Esta conta é a conta da sua organização. Se se inscreveu numa oferta do Office 365 e não forneceu o seu endereço de e-mail profissional real, o nome da sua conta poderá ter o aspeto nancy@contoso.onmicrosoft.comde . Um serviço de nuvem armazena sua conta dentro de um locatário no Microsoft Entra ID. Na maioria dos casos, o Nome Principal do Usuário (UPN) da sua conta do Microsoft Entra ID corresponde ao seu endereço de email.

Segurança do tráfego de rede

O tráfego vai do gateway para o Azure Relay para o cluster de back-end do Power BI. Ao usar a rota expressa, você pode garantir que esse tráfego não atravesse a internet pública. Todo o tráfego interno do Azure passa pelo backbone do Azure.

Microsoft Entra ID

Os serviços de nuvem da Microsoft usam o Microsoft Entra ID para autenticar usuários. Microsoft Entra ID é o locatário que contém nomes de usuário e grupos de segurança. Normalmente, o endereço de e-mail que utiliza para iniciar sessão é o mesmo que o UPN da sua conta. Para obter mais informações sobre autenticação no Power BI, vá para o whitepaper de segurança do Power BI.

Como posso saber qual é a minha UPN?

Talvez você não conheça seu UPN e talvez não seja um administrador de domínio. Para descobrir o UPN da sua conta, execute o seguinte comando a partir da sua estação de trabalho: whoami /upn.

Embora o resultado pareça um endereço de e-mail, é o UPN na sua conta de domínio local.

Sincronizar um Ative Directory local com o Microsoft Entra ID

Você deseja que cada uma das suas contas locais do Ative Directory corresponda a uma conta de ID do Microsoft Entra, porque o UPN para ambas as contas deve ser o mesmo.

Os serviços de nuvem sabem apenas sobre contas dentro do Microsoft Entra ID. Não importa se você adiciona uma conta ao Ative Directory local. Se a conta não existir no Microsoft Entra ID, ela não poderá ser usada.

Há diferentes maneiras de fazer a correspondência entre suas contas locais do Ative Directory e a ID do Microsoft Entra.

  • Adicione contas manualmente ao Microsoft Entra ID.

    Crie uma conta no portal do Azure ou no centro de administração do Microsoft 365. Verifique se o nome da conta corresponde ao UPN da conta do Ative Directory local.

  • Use a ferramenta Microsoft Entra ID Connect para sincronizar contas locais com seu locatário do Microsoft Entra ID.

    A ferramenta Microsoft Entra ID Connect fornece opções para sincronização de diretórios e configuração de autenticação. Estas opções incluem a sincronização do hash de palavras-passe, a autenticação pass-through e a federação. Se você não for um administrador de locatário ou um administrador de domínio local, entre em contato com o administrador de TI para configurar o Microsoft Entra ID Connect.

O Microsoft Entra ID Connect garante que o UPN do Microsoft Entra ID corresponda ao UPN local do Ative Directory. Esta correspondência ajuda se estiver a utilizar ligações ao vivo dos Serviços de Análise com capacidades de Power BI ou de sso simples .

Nota

A sincronização de contas com a ferramenta Microsoft Entra ID Connect cria novas contas dentro do locatário do Microsoft Entra ID.

Próximos passos