Ověřování pomocí identity pracovního prostoru

Identita pracovního prostoru Infrastruktury je automaticky spravovaný instanční objekt, který je možné přidružit k pracovnímu prostoru Fabric. Identitu pracovního prostoru můžete použít jako metodu ověřování při připojování položek infrastruktury v pracovním prostoru k prostředkům, které podporují ověřování Microsoft Entra. Identita pracovního prostoru je zabezpečená metoda ověřování, protože není potřeba spravovat klíče, tajné kódy a certifikáty. Když identitě pracovního prostoru udělíte oprávnění k cílovým prostředkům, jako je ADLS Gen2, může prostředek Fabric použít k získání tokenů Microsoft Entra pro přístup k prostředku.

Důvěryhodný přístup k účtům úložiště a ověřování s identitou pracovního prostoru je možné kombinovat. Identitu pracovního prostoru můžete použít jako metodu ověřování pro přístup k účtům úložiště, které mají veřejný přístup omezený na vybrané virtuální sítě a IP adresy.

Tento článek popisuje, jak použít identitu pracovního prostoru k ověření při připojování zástupců OneLake a datových kanálů ke zdrojům dat. Cílová cílová skupina je datoví inženýři a kdokoli, kdo má zájem o vytvoření zabezpečeného připojení mezi položkami infrastruktury a zdroji dat.

Krok 1: Vytvoření identity pracovního prostoru

Abyste mohli vytvořit a spravovat identitu pracovního prostoru, musíte být správcem pracovního prostoru.

1. Přejděte do pracovního prostoru a otevřete nastavení pracovního prostoru.

2. Vyberte kartu Identita pracovního prostoru.

3. Vyberte tlačítko + Identita pracovního prostoru.

Po vytvoření identity pracovního prostoru se na kartě zobrazí podrobnosti o identitě pracovního prostoru a seznam autorizovaných uživatelů.

Identitu pracovního prostoru můžou vytvářet a odstraňovat správci pracovního prostoru. Identita pracovního prostoru má v pracovním prostoru roli přispěvatele pracovního prostoru. Správci, členové a přispěvatelé v pracovním prostoru můžou identitu nakonfigurovat jako metodu ověřování v připojeních Azure Data Lake Storage (ADLS) Gen2, která se používají v datových kanálech a zkratkách.

Další podrobnosti najdete v tématu Vytvoření a správa identity pracovního prostoru.

Krok 2: Udělení oprávnění identity k účtu úložiště

1. Přihlaste se k webu Azure Portal a přejděte k účtu úložiště, ke který chcete získat přístup z OneLake.

2. Na levém bočním panelu vyberte kartu Řízení přístupu (IAM) a vyberte Přiřazení rolí.

3. Vyberte tlačítko Přidat a vyberte Přidat přiřazení role.

4. Vyberte roli, kterou chcete přiřadit k identitě, například Čtenář dat objektů blob služby Storage nebo Přispěvatel dat objektů blob služby Storage.

   Poznámka:

   Role musí být poskytována na úrovni účtu úložiště.

5. Vyberte Přiřadit přístup k uživateli, skupině nebo instančnímu objektu.

6. Vyberte a vyberte členy a vyhledejte podle názvu nebo ID aplikace identity pracovního prostoru. Vyberte identitu přidruženou k vašemu pracovnímu prostoru.

7. Vyberte Zkontrolovat a přiřadit a počkejte na dokončení přiřazení role.

Krok 3: Vytvoření položky fabric

Zástupce OneLake

Postupujte podle kroků uvedených v části Vytvoření zástupce Azure Data Lake Storage Gen2. Jako metodu ověřování vyberte identitu pracovního prostoru (podporovaná pouze pro ADLS Gen2).

Datové kanály s aktivitami Kopírování, Vyhledávání a GetMetadata

Postupujte podle kroků uvedených v modulu 1 – Vytvořte kanál se službou Data Factory a vytvořte datový kanál. Jako metodu ověřování vyberte identitu pracovního prostoru (podporovaná pouze pro aktivity ADLS Gen2 a kopírování, vyhledávání a GetMetadata).

Poznámka:

Uživatel, který vytváří zástupce s identitou pracovního prostoru, musí mít v pracovním prostoru roli správce, člena nebo přispěvatele. Uživatelé, kteří přistupují ke zkratkám, potřebují oprávnění jenom v jezeře.

Úvahy a omezení

• Identitu pracovního prostoru je možné vytvořit v pracovních prostorech přidružených k jakékoli kapacitě (s výjimkou pracovních prostorů).

• Identitu pracovního prostoru je možné použít k ověřování v libovolné kapacitě, která podporuje zástupce OneLake a datové kanály.

• Důvěryhodný přístup k účtům úložiště s podporou brány firewall se podporuje v libovolné kapacitě F.

• Připojení ADLS Gen2 můžete vytvořit pomocí ověřování založeného na identitě pracovního prostoru v prostředí Spravovat brány a připojení.

• Připojení s ověřováním identit pracovního prostoru se dají používat jenom v klávesových zkratkách a datových kanálech Onelake.

• Kontrola stavu připojení s identitou pracovního prostoru, protože metoda ověřování se nepodporuje.

Související obsah

• Identita pracovního prostoru
• Důvěryhodný přístup k pracovnímu prostoru
• Identity prostředků infrastruktury