Visual Studio を使ったデプロイ向け設定

ここまでは手動や CI を使う前提でコマンドベースで書いてきましたが、Visual Studio を使ったデプロイ時にもターゲットのプラットフォームを指定してビルド可能です。

Visual Studio で作成された App Service や Azure Functions のプロファイル設定を開くと、ビルドに関連する設定を選べるようになっています。重要なのは配置モードとターゲットランタイムです。

デフォルトではそれぞれフレームワーク依存と移植可能即ちポータブルになっていますが、ターゲットランタイムを実際にデプロイする先のプラットフォームに合わせた RID を選択するだけです。

ARM64 向けの RID は選べませんが、App Service と Azure Functions では使わないので問題ないです。

この設定を保存してデプロイを実行すると、指定した RID 向けのライブラリのみが含まれたパッケージが生成されて、App Service や Azure Functions にデプロイされます。

今は Visual Studio を使ったデプロイは開発の極々初期か趣味アプリぐらいでしか行わないと思いますが、検証向けとしては手軽なので一応残しておきます。

OpenID Connect Provider を使う時の共通手順

OpenID Connect Provider の設定は Resource Manager レベルでの対応が正式にはまだ行われていないので、以下のドキュメントにあるようにファイルベースの設定を有効にする必要があります。

アプリケーションと一緒に管理出来ますが、本来なら ARM Template や Terraform で管理するべき項目だと思います。Static Web App の場合にはどうなるのか気になるところです。

既に Auth0 での手順を Azure Functions チームの Anthony Chu 氏が書いているので、こちらも見つつ進めた方が良いですね。特に設定の有効化は ARM Explorer か Azure CLI が必要になるので若干分かりにくいです。

App Service Authentication の設定が定義されたファイルは auth.json という名前で wwwroot 以下に保存しておきます。ファイル名やパスは変更出ますが、ドキュメント通りにしておいた方が安全です。

wwwroot の下にあるのでアプリケーションと一緒にデプロイが出来るという仕組みです。

ファイルを置いたら設定を有効にするコマンドを実行します。とりあえず自分は ARM Explorer で行いましたが、以下のように既存のプロパティをほぼ全て消して上書きするので若干抵抗があります。

一目でわかると思いますが isAuthFromFile と authFilePath が今回追加になっているプロパティです。

この設定後は Azure Portal から App Service Authentication の設定が出来なくなるので、もし戻す場合は同じように ARM Explorer か Azure CLI を使う必要があります。

Azure AD B2C を使う

説明と準備が長かったですが、実際に OpenID Connect Provider を追加して試していきます。まずは使う機会が地味に多い Azure AD B2C からです。

中々このエントリを公開できなかった理由が Azure AD B2C だと動かないことにありました。フィードバックをし続けた結果、最近のアップデートで使えるようになりました。

それ以外は設定としては他の OpenID Connect Provider の時と代わり映えしません。

wellKnownOpenIdConfiguration に User Flow 毎に用意されているメタデータの URL を設定して、ClientId と Client Secret を追加すれば大体終わりです。

{
  "platform": {
    "enabled": true
  },
  "globalValidation": {
    "requireAuthentication": true,
    "unauthenticatedClientAction": "RedirectToLoginPage",
    "redirectToProvider": "aadb2c"
  },
  "identityProviders": {
    "openIdConnectProviders": {
      "aadb2c": {
        "enabled": true,
        "registration": {
          "clientId": "00000000-0000-0000-0000-000000000000",
          "clientCredential": {
            "secretSettingName": "AADB2C_CLIENT_SECRET"
          },
          "openIdConnectConfiguration": {
            "wellKnownOpenIdConfiguration": "https://***.b2clogin.com/***.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1A_signup_signin"
          }
        },
        "login": {
          "nameClaimType": "name",
          "scope": [ "openid" ],
          "loginParameterNames": []
        }
      }
    }
  },
  "login": {
    "tokenStore": {
      "enabled": true
    }
  }
}

ClientId は JSON にそのまま書きますが、Client Secret は App Settings 経由で読み込むので JSON にはキー名を書いて、実際の値は App Settings に追加する形になります。

これで設定はすべて完了なので、ファイルをアップロードした後に App Service を再起動して反映すれば、ページへアクセスしたタイミングで Azure AD B2C のログイン画面へリダイレクトされるはずです。

App Service の再起動ではなくワーカープロセスが再起動出来ればよいので、アプリケーションのデプロイと同時に行うと常に再読み込みが行われるので安全ではあります。

ログイン後に /.auth/me へアクセスすると id_token が取得できるので、適当に jwt.ms などに張り付けると含まれているクレームを確認できます。

ちゃんと Azure AD B2C が発行した id_token であることが確認できました。

Yahoo! ID連携 v2 を使う

Azure AD B2C は User Flow 単位の関係上、特殊な形式になっていたので他の OpenID Connect Provider でも試します。Auth0 は既に試されていたので、調べていて目についた Yahoo! ID連携 v2 を試してみました。

ドキュメントを読む限りは極めて普通な OpenID Connect のようなので動くはずです。

Azure AD B2C は id_token に含めるクレームを設定可能でしたが、Yahoo! ID連携 v2 では必要最低限のクレームのみ含まれていて、ユーザー情報は User Info API を叩く必要があるようです。

App Service Authentication は User Info API までは面倒を見てくれないので、この辺りの情報が必要な場合は自前で実装する必要があります。

{
  "platform": {
    "enabled": true
  },
  "globalValidation": {
    "requireAuthentication": true,
    "unauthenticatedClientAction": "RedirectToLoginPage",
    "redirectToProvider": "yahoo"
  },
  "identityProviders": {
    "openIdConnectProviders": {
      "yahoo": {
        "enabled": true,
        "registration": {
          "clientId": "*******************************",
          "clientCredential": {
            "secretSettingName": "YAHOO_CLIENT_SECRET"
          },
          "openIdConnectConfiguration": {
            "wellKnownOpenIdConfiguration": "https://auth.login.yahoo.co.jp/yconnect/v2/.well-known/openid-configuration"
          }
        },
        "login": {
          "nameClaimType": "name",
          "scope": [ "openid", "profile" ],
          "loginParameterNames": []
        }
      }
    }
  },
  "login": {
    "tokenStore": {
      "enabled": true
    }
  }
}

id_token には名前は返ってきませんが、一応 nameClaimType は適当に残しておきます。

例によって Client Secret は App Settings に追加した後にアクセスしてみると、Yahoo! のログイン画面にリダイレクトされました。ログインすると App Service に戻ってきてページが正しく表示されます。

リクエストヘッダー経由で id_token と access_token が渡されるので、必要であれば User Info API を実行してユーザー情報を取得すれば良いと思います。

Sign in with Apple は要注意

Sign in with Apple に関しては最新バージョンで専用の設定が用意されましたが、中身は他の OpenID Connect Provider と同じなので設定方法で悩むことはないでしょう。

ドキュメントも OpenID Connect 関連で Apple だけはちゃんと追加されています。

結論から言えばドキュメントの通りに設定すれば動きますが、Sign in with Apple は他のプロバイダーと異なり Client Secret を 180 日毎に更新する必要があるので、恐らく確実に 180 日後に事故ります。

この辺りは Azure AD B2C にも言えることですが、Client Secret の生成まで実装されるのを待つか、CI などで定期的に作って更新するかなどの方法が必要になります。

LINE Login は使えない

App Service Authentication でどうしても使えなかったのが LINE Login でした。理由としては LINE Login の id_token が HS256 で署名されているという 1 点だけです。

ID の偉い人が言っているように LINE Login はメタデータでは ES256 と宣言しつつも、実際の id_token では HS256 で署名されるというよく分からない仕様です。

実装して理解するLINE LoginとOpenID Connect入門

一応 App Service チームの人と話はしましたが「なんで宣言通り ES256 じゃないの？」みたいな返事だったので LINE Login はちょっと期待薄かもしれません。

認可コードフローの実装

WPF と WebView2 の導入に関しては今回は本質的な部分ではないのでまるっと省略します。適当に .NET Core な WPF プロジェクトを作成して、WebView2 をインストールするだけです。

認可コードフローについては Azure AD のドキュメントに説明があるので参考にしてください。そんなに難しくないのですぐに理解できると思います。

今回は Azure AD B2C を使うのでエンドポイントが異なりますが、フロー自体は同じなので違いは僅かです。

Azure AD へのアプリケーション登録時に Mobile and Desktop Client を選択してリダイレクト URI を追加しますが、今回は MSAL only となっている方を使ってみます。結局のところリダイレクトされた URL を WebView のイベントで取るので、判別できるものなら何でも良いです。

Win32 のデスクトップアプリケーションではリダイレクト先を用意できないので、WebView + 特殊なリダイレクト先を使っているという流れです。UWP や iOS / Android アプリケーションではリダイレクト先を用意できるので、システムブラウザからリダイレクトして戻ってくることも簡単に実装可能です。

早速実装に入っていきますが、最初からコードを全て載せてしまうことにします。

やっていることは単純で authorize エンドポイントへの URL を組み立てて、WebView を使ってアプリ内からアクセスしつつ、ナビゲーションイベントで特殊なリダイレクト先の場合は token エンドポイントを叩いて id_token を貰っているだけです。

public partial class MainWindow : Window
{
    public MainWindow()
    {
        InitializeComponent();
    }

    private const string TenantBase = "https://***.b2clogin.com/***.onmicrosoft.com";
    private const string ClientId = "00000000-0000-0000-0000-000000000000";
    private const string PolicyId = "B2C_1_SignUp_SignIn_v2";
    private const string RedirectUri = "msal00000000-0000-0000-0000-000000000000://auth";

    private readonly HttpClient _httpClient = new HttpClient();

    private void Window_Loaded(object sender, RoutedEventArgs e)
    {
        var authorizeUri = new StringBuilder();

        authorizeUri.Append(TenantBase)
                    .Append("/oauth2/v2.0/authorize")
                    .Append($"?p={PolicyId}")
                    .Append($"&client_id={ClientId}")
                    .Append($"&nonce=defaultNonce")
                    .Append($"&redirect_uri={WebUtility.UrlEncode(RedirectUri)}")
                    .Append($"&scope=openid")
                    .Append($"&response_type=code")
                    .Append($"&prompt=login");

        webView2.Source = new Uri(authorizeUri.ToString());
    }

    private async void WebView2_NavigationStarting(object sender, CoreWebView2NavigationStartingEventArgs e)
    {
        if (!e.Uri.StartsWith(RedirectUri))
        {
            return;
        }

        var code = ExtractAuthCode(e.Uri.Replace(RedirectUri, ""));

        var content = new FormUrlEncodedContent(new Dictionary<string, string>
        {
            { "grant_type", "authorization_code" },
            { "code", code }
        });

        var tokenUri = new StringBuilder();

        tokenUri.Append(TenantBase)
                .Append("/oauth2/v2.0/token")
                .Append($"?p={PolicyId}");

        var response = await _httpClient.PostAsync(tokenUri.ToString(), content);

        var result = await response.Content.ReadAsStringAsync();

        MessageBox.Show(result);
    }

    private string ExtractAuthCode(string query)
    {
        return query.TrimStart('?').Replace("code=", "");
    }
}

一番長いのは URL を組み立てている部分なので、それを除くとコード量は大したことは無いですね。

WebView2 固有の挙動としては、表示するページ URL は Source プロパティで指定するのが安心というものがあります。良くある Navigate メソッドは CoreWebView2 に用意されていますが、遅延初期化されているようでタイミングによって null が返ってきます。

CoreWebView2Ready イベントを待ってから実行すれば良いですが、Source プロパティを使うとその辺りを気にしなくても良い感じに扱ってくれます。実行するとお馴染みのログイン画面が表示されます。

メールアドレスとパスワードを入力してログインすると、認可コードフローが実行されて id_token が取得されました。リダイレクトのイベントによって処理を行っているのでぱっと見は良く分からないと思いますが、ブレークポイントを仕掛けると理解しやすいはずです。

今回は WebView2 を使っているので、Google などの IdP を選んだ場合もちゃんとページが表示されます。

認可コードフローの基本的な実装はこれで完成ですが、最近は認可コードの横取り対策を入れることが推奨されているので追加で実装していきます。

PKCE に対応させる

ネイティブアプリケーションの場合は Web アプリケーションとは異なり、カスタム URI スキームを定義して起動できるので、認可コードの横取りが簡単に行えます。

この辺りの理解には RFC を読んでおきました。元ソースに当たるのは重要ですね。

仕様としてはログインを開始したアプリケーションしか知らない値を都度ランダム生成し、それぞれのリクエストに渡すだけなので簡単です。

具体的には authorize エンドポイントには code_challenge code_challenge_method を追加して、token エンドポイントには code_verifier を渡します。

ちなみに code_verifier はランダムで生成した文字列、code_challenge は一般的には SHA-256 を計算した値です。以下のメソッドを見てもらった方が理解は早そうです。

private string GenerateCodeVerifier()
{
    var buffer = new byte[32];

    _random.NextBytes(buffer);

    return ToBase64Url(buffer);
}

private string ComputeCodeChallenge(string codeVerifier)
{
    var sha256 = SHA256.Create();

    var hash = sha256.ComputeHash(Encoding.ASCII.GetBytes(codeVerifier));

    return ToBase64Url(hash);
}

private string ToBase64Url(byte[] input)
{
    return Convert.ToBase64String(input)
                    .TrimEnd('=')
                    .Replace('+', '-')
                    .Replace('/', '_');
}

処理としてはログイン開始時に code_verifier を生成して、更に code_challenge を計算してクエリパラメータとして追加します。今回は SHA-256 を使うので code_challenge_method には S256 を設定します。

この時に code_verifier をセッション中は保持しておかないといけません。

private void Window_Loaded(object sender, RoutedEventArgs e)
{
    _codeVerifier = GenerateCodeVerifier();

    var codeChallenge = ComputeCodeChallenge(_codeVerifier);

    var authorizeUri = new StringBuilder();

    authorizeUri.Append(TenantBase)
                .Append("/oauth2/v2.0/authorize")
                .Append($"?p={PolicyId}")
                .Append($"&client_id={ClientId}")
                .Append($"&nonce=defaultNonce")
                .Append($"&redirect_uri={WebUtility.UrlEncode(RedirectUri)}")
                .Append($"&scope=openid")
                .Append($"&response_type=code")
                .Append($"&prompt=login")
                .Append($"&code_challenge={codeChallenge}")
                .Append($"&code_challenge_method=S256");

    webView2.Source = new Uri(authorizeUri.ToString());
}

ログインが完了し特殊なリダイレクト先に認可コード付きでリダイレクトされた後、token エンドポイントに code_verifier を追加で渡すようにします。

PKCE 付きで実行していた場合は省略できませんし、一致しない場合はエラーとなります。

private async void WebView2_NavigationStarting(object sender, CoreWebView2NavigationStartingEventArgs e)
{
    // 省略

    var content = new FormUrlEncodedContent(new Dictionary<string, string>
    {
        { "grant_type", "authorization_code" },
        { "code", code },
        { "code_verifier", _codeVerifier }
    });

    // 省略
}

これで認可コードフローと PKCE を自前で実装出来ました。思ったより簡単でした。

MSAL などのライブラリを使った方が楽ですが、WPF の WebBrowser 問題のようにどうしようもない時もあるのと、フローを知っておくのは良いことなので勉強になります。

使用したスライド

Speaker Deck にもアップロードしていますが、スライド中のリンクが全て失われてしまったので Azure Storage にアップロードしたものを iframe で張り付けておきます。

今回は初めてスライドの作成に Marp を使いました。何も考えなくてもいい感じのスライドが出来上がったので便利でした。Windows で書きましたが問題なく動きました。

Twitter まとめと YouTube アーカイブ、文字起こし

開催中のハッシュタグ付きツイートに関してはまとめています。日本語でフィルタリングしたので若干抜け漏れはあると思いますが、グローバルイベントなので仕方ない部分もあります。

配信のアーカイブも既に YouTube で見られるようになっているので、当日都合が悪くて見られなかった方や見るのを忘れてしまった方はこちらからどうぞ。

この若干の圧を感じるサムネはみつばたんに作ってもらいました。素材が少なくて苦労していました。

そして id:orangeclover さんが 2 時間のトークを文字起こししてくださったので、感謝と共に紹介しておきます。かなり喋っていたはずなので大変だったと思いますが、テキストで読むのはまた違って良かったです。

どこまで使えるのかは分からないですが Teams にも文字起こしの機能があるようなので、機会があれば試してみたいと思いました。個人的には字幕よりも記事として読む方が好みでした。

.NET ランタイムのサポートポリシー

.NET 5 はリリースされましたが、Build 2020 の時の発表にもあったように LTS は 1 年後の .NET 6 まで待つ必要があります。正直なところ 1 年毎にアップデートが決まっている状態で、LTS と Current はあまり意味を持たないのかもしれません。

サポートポリシーは松村さんが Qiita で都度アップデートされています。ありがたく参照させてもらいます。

基本的には 1 年毎に Current を追いかけていくのが最適な選択なのではないかと考えています。

GitHub Actions / Azure Pipelines での .NET 5 サポート

コメントがあったので拾ってきました。結論から言うと GitHub Actions と Azure Pipelines ではプレビューの時から .NET 5 を使うことは出来ていました。ただし正式版までは VM にインストールされません。

VM にインストールされているソフトウェアの情報は以下のリポジトリから入手できます。

しばらく前から GitHub Actions と Azure Pipelines はこのリポジトリで作成された Image が利用されているので、ここだけを確認しておけば問題ありません。

当然ながら高頻度で Image を作成して更新することは難しいので、新しい SDK がインストールされるのは時間がかかりますが、それぞれの Action / Task を使うことで実行時にインストールが可能です。

Image のアップデートによって CI が不安定になるのを避けるために、常に使用するバージョンを明示的に指定するようにしています。Node.js などでも同じことがいえるので注意が必要です。

Blazor WebAssenbly

本編では基本的に坂本さんに全てを任せる形でしたが多少補足しておきます。.NET 5 に置ける ASP.NET Core のアップデートは Blazor がメインだったので、リリースノートはしっかり確認しておいた方が良いです。

dll がそのまま落ちてくるのがあまり好きではなかったのですが、最近は Brotli での圧縮を行うのが定石のようですね。アセンブリは Application Cache に保存されるというのは知りませんでした。

ダウンロードサイズが飲めない場合は Blazor WebAssembly は諦めという話はありましたが、少し前からアセンブリの Lazy Loading にも対応しているようなので、改善していきそうです。

WinForms や WPF アプリと同様に IL Trimming を利用することで、不要なコードを削減してダウンロードサイズを減らせるようです。個人的には動作が壊れるのが心配なので様子見です。

YARP のベンチマーク

配信中は YARP のベンチマークが存在しないという話をしましたが、ASP.NET Core で共通のベンチマークに組み込まれていたので、以下の Power BI から YARP と他のメジャーなリバースプロキシとのパフォーマンス比較が出来るようになっていました。

14 ページ目にある Proxies が YARP のベンチマーク結果になっています。

ベンチマーク結果から明らかにおかしい部分を削りましたが、まだ YARP は nginx より若干遅いようです。とは言え nginx は ARR の 2 倍以上早いので、プレビューにしては良い結果が出ているとも言えます。

Envoy や HAProxy とは大差を付けられていますが、素の HttpClient を使ったシンプルな Proxy は早いので、ルーティングや書き換え周りの最適化がまだ進んでいないようです。

MAUI / Uno Platform / WinUI など

紆余曲折あるクライアントアプリケーション開発については、今回の話を聞いた限りでは Uno Platform がかなり有望ではないかと感じました。MAUI を評価するには時期尚早ですが、若干の不安はあります。

Uno Platforrm は .NET 5 リリースとほぼ同時に対応を表明している点も評価が高いです。

そして配信中にも少し出たと思うのですが、WinUI 3.0 については元々来年リリースだったという話です。そして XAML Island は生きているらしいです。

この辺りは正直どうなるのか想像がつかないですが、正直なところ .NET Framework 4.8 の WinForms / WPF が長生きしそうだなと感じています。Project Reunion も若干心配です。

.NET の ARM64 対応

.NET Conf 2020 の前週に Apple Silicon の Mac が発表されて盛り上がっていましたが、現時点では .NET 6 でのサポートが予定されていました。TFM は osx-arm64 になるようです。

既に基本的な ARM64 のコードジェネレータなどは実装されているので、進捗はかなり良さそうです。

そして WPF の ARM64 対応は 21H1 となっているので、来年には .NET 5.0.1 とか 5.1 がリリースされるのかもしれません。バージョンの上げ方については続報を待ちたいです。

あまり関係ないですが、この Issue は Pro X を所有する人柱が集まっているので熱意が凄いです。

.NET 5 Early Access と Self-contained

最後は既に Self-contained を使って App Service に .NET 5 アプリケーションをデプロイしている場合について、軽く補足しておきます。.NET 5 Early Access に関しては以前書いたのでこちらを参照してください。

.NET 5 の Self-contained は実行に必要なライブラリなどを全て含んだ形になっているので、App Service の Runtime Stack を変更しても影響ありません。なので以下の手順で Early Access に変更すると安全です。

1. .NET 5 Early Access を有効にする (この時点では Self-contained なアプリケーションが動作)
2. Framework Dependent に切り替えて再デプロイ

Early Access が提供されるようになったので、Self-contained を使う場面はクライアントアプリケーションが多くなりそうです。App Service ではパッケージのサイズがパフォーマンスへ影響します。

Twitter まとめと YouTube アーカイブ

例によってツイートのまとめと YouTube のレコーディングは既に公開しています。今回は畠山さんのデモとトークに価値があるので、YouTube でのレコーディングは必見ですね。

今回は内容が濃かったのでツイートは少なめでしたね。自分も最後の方は「わからん」しか書いていません。

Synapse Analytics + Cosmos DB = 強い

Cosmos DB はスキーマレスで JSON での構造を持っていて、I/O に非常に強いデータストレージですが、それと引き換えにクエリには割と制約が多いです。最近は色々なクエリが使えるようになってきましたが、RDB には太刀打ちできません。

その辺りの制限を Synapse Analytics と Analytical Store を使うことで、解消できるというのが今回のメイントピックでした。Analytical Store はコストが安く、Synapse Link 経由でクエリを投げることが出来ます。

Synapse Analytics と Cosmos DB を組み合わせることで、サクッとデータ分析が行えるのはかなり強いですね。ちょまどさんのこのツイートが面白かったので貼っておきます。

#HackAzure

Microsoft MVP 三宅さん👨「ぼくの注目している Azure Synapse Analytics と Cosmos DB がリンクしたんです！すごい！！」

私「つまり、つよつよカップリングってわけですね！」

三宅さん👨「そう！」https://t.co/0zgvowXBNZ pic.twitter.com/ZcTXFlnRPb

— ちょまど (@chomado) 2020年11月2日

Analytical Store 関連

Cosmos DB の Analytical Store は Synapse Link 経由でしか触れないのと、Analytical Store を使わないとコスト的にもやばいことになるので必須です。Cosmos DB はドキュメントがよくまとまっています。

いろいろな話が出てきましたが、気になった部分とはまりそうな部分についてピックアップしました。

Spark pool も結構良さそうな話

Synapse SQL Serverless で Analytical Store を触れるようになった関係上多く取り上げましたが、後半では Spark pool を立ち上げて Notebook からクエリを書いてメタデータテーブルを作成していました。

専用の Pool を立ち上げるのは微妙だと思っていましたが、必要な時だけ立ち上げて自動で落とせるらしいので、割とありかなと思い始めました。

Notebook 上で Python ではなくて C# と LINQ で書きたい気持ちが高まってますが、今のところは出来なさそうです。この辺りは MS と .NET for Apache Spark の頑張り次第な気がします。*1

Query Acceleration との関係

Ignite 2020 のセッションでは Synapse Analytics と Deeply integrated と言われていた Query Acceleration との関連も少し話題に出ました。Synapse Analytics はブラウザからサクサク弄るのがメインですが、Query Acceleration はアプリケーションから使う前提になっています。

対応するファイルフォーマットは CSV / JSON で、単一の Blob に対してしかクエリを書けないですがアプリケーションから使う分にはこれで十分だと思います。Blob Index Tags と組み合わせて検索出来ればかなり強いと思っています。

共有メタデータと仮想 DWH の話

この辺りから理解が追いつかなくなってきましたが、頑張って適当にまとめます。Synapse SQL Serverless で扱われるテーブルはデータ自体は持っておらず、必要なメタデータだけを保持しているらしいです。

そして Spark もテーブルを作成出来ますが SQL Serverless から利用することが出来るので、1 つのクエリ内で複数データベースを同時に参照できるようです。正直 Spark 力が無さ過ぎて混乱の極みです。

畠山さんは最後の方で Power BI と Synapse SQL Serverless を使って、DWH を用意するのではなくオンデマンドで利用する仮想 DWH という話をされていました。この辺りも理解が正しいのか不安です。

Power BI から利用する場合には Import と DirectQuery の 2 つのモードがあるようですが、まずは Import を使うのが良いそうです。Power BI 力も低いので混乱の極みです。

ひとつだけ言っておきます。 #PowerBI で DirectQuery を使う際は、十分にご注意を。初学者が使おうとすると、だいたい失敗します。基本は インポート モードでまずやって、できるようになってからを強くオススメします #hackazure

— Yugo SHIMIZU | Power BI MVP (@yugoes1021) 2020年11月2日

個人的には SQL pool ってほとんど必要ないのだなぁという感想でした。ML 周りでは必要らしいですが。

Synapse で使われている分散 SQL エンジンの論文

最後の最後で英語の論文が出てくるとは完全に思っていませんでしたが、きっとムッシュが詳しい解説をしてくれると信じて論文のリンクだけを貼っておきます。

POLARIS: The Distributed SQL Engine in Azure Synapse

色んなソースからのデータをハッシュで分散して 1 つの Data Cell として扱うことで、効率的かつデータソースに寄らない分散クエリを実現しているっぽいのですが、正直よくわかりませんでした。