Godkend med arbejdsområdeidentitet

En Fabric-arbejdsområdeidentitet er en automatisk administreret tjenesteprincipal, der kan knyttes til et Fabric-arbejdsområde. Du kan bruge arbejdsområdeidentiteten som godkendelsesmetode, når du forbinder Fabric-elementer i arbejdsområdet med ressourcer, der understøtter Microsoft Entra-godkendelse. Arbejdsområdeidentitet er en sikker godkendelsesmetode, da det ikke er nødvendigt at administrere nøgler, hemmeligheder og certifikater. Når du tildeler arbejdsområdeidentiteten med tilladelser til destinationsressourcer, f.eks. ADLS gen 2, kan Fabric bruge identiteten til at hente Microsoft Entra-tokens til at få adgang til ressourcen.

Adgang, der er tillid til, til lagerkonti og godkendelse med arbejdsområdeidentitet kan kombineres. Du kan bruge arbejdsområdeidentitet som godkendelsesmetode til at få adgang til lagerkonti, der har offentlig adgang begrænset til udvalgte virtuelle netværk og IP-adresser.

I denne artikel beskrives det, hvordan du bruger arbejdsområdeidentiteten til at godkende, når du opretter forbindelse mellem OneLake-genveje og -datapipelines til datakilder. Målgruppen er datateknikere og alle, der er interesseret i at etablere en sikker forbindelse mellem Fabric-elementer og datakilder.

Trin 1: Opret arbejdsområdeidentiteten

Du skal være administrator af arbejdsområdet for at kunne oprette og administrere en arbejdsområdeidentitet.

1. Gå til arbejdsområdet, og åbn indstillingerne for arbejdsområdet.

2. Vælg fanen Arbejdsområdeidentitet.

3. Vælg knappen + Identitet for arbejdsområde.

Når arbejdsområdeidentiteten er blevet oprettet, viser fanen oplysninger om arbejdsområdets identitet og listen over godkendte brugere.

Arbejdsområde-id'et kan oprettes og slettes af arbejdsområdeadministratorer. Arbejdsområdeidentiteten har rollen som bidragyder til arbejdsområdet i arbejdsområdet. Administratorer, medlemmer og bidragydere i arbejdsområdet kan konfigurere identiteten som godkendelsesmetode i ADLS-forbindelser (Azure Data Lake Storage) Gen2, der bruges i datapipelines og genveje.

Du kan finde flere oplysninger under Opret og administrer et arbejdsområdeidentitet.

Trin 2: Tildel identitetstilladelserne til lagerkontoen

1. Log på Azure-portal, og naviger til den lagerkonto, du vil have adgang til fra OneLake.

2. Vælg fanen Adgangskontrol (IAM) på venstre margentekst, og vælg Rolletildelinger.

3. Vælg knappen Tilføj , og vælg Tilføj rolletildeling.

4. Vælg den rolle, du vil tildele identiteten, f.eks . Storage Blob Data Reader eller Storage Blob Data Contributor.

   Bemærk

   Rollen skal angives på lagerkontoniveau.

5. Vælg Tildel adgang til bruger, gruppe eller tjenesteprincipal.

6. Vælg + Vælg medlemmer, og søg efter navn eller app-id for arbejdsområdeidentiteten. Vælg den identitet, der er knyttet til dit arbejdsområde.

7. Vælg Gennemse + tildel , og vent på, at rolletildelingen fuldføres.

Trin 3: Opret stofelementet

OneLake-genvej

Følg trinnene i Genvejen Opret en Azure Data Lake Storage Gen2. Vælg arbejdsområdeidentitet som godkendelsesmetode (understøttes kun for ADLS Gen2).

Datapipelines med aktiviteter af typen Kopiér, Opslag og GetMetadata

Følg trinnene i Modul 1 – Opret en pipeline med Data Factory for at oprette datapipelinen. Vælg arbejdsområdeidentitet som godkendelsesmetode (understøttes kun for ADLS Gen2 og for aktiviteter af typen Kopiér, Opslag og GetMetadata).

Bemærk

Den bruger, der opretter genvejen med arbejdsområdeidentiteten, skal have en administrator-, medlem- eller bidragyderrolle i arbejdsområdet. Brugere, der får adgang til genvejene, skal kun have tilladelser til lakehouse.

Overvejelser og begrænsninger

• Arbejdsområdeidentitet kan oprettes i arbejdsområder, der er knyttet til en hvilken som helst kapacitet (undtagen Mine arbejdsområder).

• Arbejdsområdeidentitet kan bruges til godkendelse i en hvilken som helst kapacitet, der understøtter OneLake-genveje og datapipelines.

• Adgang til firewallaktiverede lagerkonti understøttes i alle F-kapaciteter, der er tillid til.

• Du kan oprette ADLS Gen 2-forbindelser med identitetsbaseret godkendelse for arbejdsområdet i oplevelsen Administrer gateways og forbindelser.

• Forbindelser med arbejdsområde-identitetsgodkendelse kan kun bruges i Onelake-genveje og datapipelines.

• Kontrol af status for en forbindelse, der har arbejdsområdeidentitet som godkendelsesmetode, understøttes ikke.

Relateret indhold

• Arbejdsområdeidentitet
• Adgang til arbejdsområde, der er tillid til
• Stofidentiteter