我们有一个 Azure 托管应用程序,它作为托管资源组安装到客户 AD 租户中,我们拥有所有者 RBAC 角色并可以对其进行管理。
我们希望将 Microsoft Synapse 作为我们解决方案的一部分,但它似乎并未设计为作为托管应用程序的一部分工作。当我们尝试部署到客户租户时,我们无法访问 Workspace Studio:
它无法进行身份验证,因为它似乎期望客户的 AD 租户中存在用户对象 ID。我们的部署服务主体和用户帐户不在客户的租户中(我们显然无法创建 AD B2B 帐户)。托管资源组部署授权机制应该允许我们编辑托管资源中的资源,就像我们可以编辑所有其他 Azure 服务一样。但是,STUDIO RBAC 似乎有一个错误,并且不适用于同一模型。
很容易重现:
- 创建包含 Synapse Analytics 的托管应用程序
- 将此托管应用程序部署到不同的 AD 租户并确认 Synapse 已在托管资源组中创建
- 您的用户或服务主体现在将通过 RBAC 设置为第一个 Synapse Workspace 管理员(ARM 属性 "cspWorkspaceAdminProperties": { "initialWorkspaceAdminObjectId": "string" }, )
- 打开 Synapse 工作区并为防火墙设置客户端 IP
- 尝试使用指定为 initialWorkspaceAdminObjectId 的用户打开Synapse Studio
- 您将收到此错误:
所选用户帐户在租户“默认目录”中不存在,并且无法访问该租户中的应用程序“ec52d13d-xxxx-410e-xxxx-8c79fb6a32ac”。需要先将该帐户添加为租户中的外部用户。请使用其他帐户。
这意味着无法将 Synapse Analytics 用作托管应用程序中的组件。
是否有人将 Synapse Analytics 用作托管应用程序解决方案的一部分?