Authentifizieren mit Arbeitsbereichsidentität
Eine Fabric-Arbeitsbereich-Identität ist ein automatisch verwalteter Dienstprinzipal, der einem Fabric-Arbeitsbereich zugeordnet werden kann. Sie können die Arbeitsbereichsidentität als Authentifizierungsmethode verwenden, wenn Sie Fabric-Elemente im Arbeitsbereich mit Ressourcen verbinden, die Microsoft Entra-Authentifizierung unterstützen. Die Arbeitsbereichsidentität ist eine sichere Authentifizierungsmethode, da keine Schlüssel, Geheimnisse und Zertifikate verwaltet werden müssen. Wenn Sie der Arbeitsbereichsidentität Berechtigungen für Zielressourcen wie ADLS Gen 2 erteilen, kann Fabric die Identität verwenden, um Microsoft Entra-Token für den Zugriff auf die Ressource abzurufen.
Der vertrauenswürdige Zugriff auf Speicherkonten und die Authentifizierung mit Arbeitsbereichsidentität können kombiniert werden. Sie können eine Arbeitsbereichsidentität als Authentifizierungsmethode verwenden, um auf Speicherkonten zuzugreifen, für die der öffentliche Zugriff auf ausgewählte virtuelle Netzwerke und IP-Adressen beschränkt ist.
In diesem Artikel wird beschrieben, wie Sie die Arbeitsbereichsidentität für die Authentifizierung beim Verbinden von OneLake-Verknüpfungen und Datenpipelines mit Datenquellen verwenden. Die Zielgruppe sind Datentechniker und alle Personen, die daran interessiert sind, eine sichere Verbindung zwischen Fabric-Elementen und Datenquellen herzustellen.
Schritt 1: Erstellen der Arbeitsbereichsidentität
Sie müssen ein Administrator des Arbeitsbereichs sein, um eine Arbeitsbereich-Identität erstellen und verwalten zu können.
Navigieren Sie zum Arbeitsbereich, und öffnen Sie die Einstellungen des Arbeitsbereichs.
Wählen Sie die Tab Arbeitsbereich-Identität aus.
Wählen Sie die Taste + Arbeitsbereich-Identität.
Wenn die Arbeitsbereichsidentität erstellt wurde, zeigt die Registerkarte deren Details und die Liste der autorisierten Benutzer*innen an.
Arbeitsbereich-Identität kann von Administratoren des Arbeitsbereichs erstellt und gelöscht werden. Die Arbeitsbereich-Identität weist die Rolle des Arbeitsbereich-Mitwirkenden im Arbeitsbereich auf. Administratoren, Mitglieder und Mitwirkende im Arbeitsbereich können die Identität als Authentifizierungsmethode in ADLS Gen2-Verbindungen (Azure Data Lake Storage) konfigurieren, die in Datenpipelines und Verknüpfungen verwendet werden.
Ausführlichere Informationen finden Sie unter Erstellen und Verwalten einer Arbeitsbereichsidentität.
Schritt 2: Erteilen von Berechtigungen für das Speicherkonto für die Identität
Melden Sie beim Azure-Portal an, und navigieren Sie zu dem Speicherkonto, auf das Sie über OneLake zugreifen möchten.
Wählen Sie auf der linken Randleiste die Registerkarte „Zugriffssteuerung (IAM)“ und dann Rollenzuweisungen aus.
Wählen Sie die Schaltfläche Hinzufügen und dann Rollenzuweisung hinzufügen aus.
Wählen Sie die Rolle aus, die Sie der Identität zuweisen möchten, z. B. Storage-Blobdatenleser oder Mitwirkender an Storage-Blobdaten.
Hinweis
Die Rolle muss auf Speicherkontoebene bereitgestellt werden.
Wählen Sie Einem Benutzer, einer Gruppe oder einer App Zugriff zuweisen aus.
Wählen Sie + Mitglieder auswählen aus, und suchen Sie nach Name oder App-ID der Arbeitsbereichsidentität. Wählen Sie die Identität aus, die Ihrem Arbeitsbereich zugeordnet ist.
Wählen Sie Überprüfen + zuweisen aus, und warten Sie, bis die Rollenzuweisung abgeschlossen ist.
Schritt 3: Erstellen des Fabric-Elements
OneLake-Verknüpfung
Führen Sie die Schritte unter Erstellen einer Azure Data Lake Storage Gen2-Verknüpfung aus. Wählen Sie die Arbeitsbereichsidentität als Authentifizierungsmethode aus (nur für ADLS Gen2 unterstützt).
Datenpipelines mit den Aktivitäten „Copy“, „Lookup“ und „GetMetadata“
Führen Sie die Schritte unter Modul 1: Erstellen einer Pipeline mit Data Factory aus, um die Datenpipeline zu erstellen. Wählen Sie die Arbeitsbereichsidentität als Authentifizierungsmethode aus (nur für ADLS Gen2 und für die Aktivitäten „Copy“, „Lookup“ und „GetMetadata“ unterstützt).
Hinweis
Der Benutzer, der die Verknüpfung mit der Arbeitsbereichsidentität erstellt, muss über die Rolle „Administrator“, „Mitglied“ oder „Mitwirkender“ im Arbeitsbereich verfügen. Benutzer, die auf die Verknüpfungen zugreifen, benötigen nur Berechtigungen für das Lakehouse.
Überlegungen und Einschränkungen
Eine Arbeitsbereichsidentität kann nur in Arbeitsbereichen erstellt werden, die einer Kapazität zugeordnet sind (mit Ausnahme von „Meine Arbeitsbereiche“).
Eine Arbeitsbereichsidentität kann für die Authentifizierung in jeder Kapazität verwendet werden, die OneLake-Verknüpfungen und Datenpipelines unterstützt.
Der Zugriff auf vertrauenswürdige Arbeitsbereiche für Speicherkonten mit aktivierter Firewall wird in jeder F-Kapazität unterstützt.
Sie können ADLS Gen 2-Verbindungen mit auf Arbeitsbereichsidentität basierter Authentifizierung in der Umgebung zum Verwalten von Gateways und Verbindungen erstellen.
Verbindungen mit Authentifizierung per Arbeitsbereichsidentität können nur in OneLake-Verknüpfungen und Datenpipelines verwendet werden.
Das Überprüfen des Status einer Verbindung, für die Arbeitsbereichsidentität als Authentifizierungsmethode festgelegt ist, wird nicht unterstützt.