Compartir a través de

Autenticación con la identidad del área de trabajo

  • Artículo

Una identidad del área de trabajo de Fabric es una entidad de servicio administrada automáticamente que se puede asociar a un área de trabajo de Fabric. Puede usar la identidad del área de trabajo como método de autenticación al conectar elementos de Fabric en el área de trabajo a los recursos que admiten la autenticación de Microsoft Entra. La identidad del área de trabajo es un método de autenticación seguro, ya que no es necesario administrar claves, secretos ni certificados. Al conceder a la identidad del área de trabajo permisos en recursos de destino como ADLS Gen2, Fabric puede usar la identidad para obtener tokens de Microsoft Entra para acceder al recurso.

El acceso de confianza a las cuentas de almacenamiento y la autenticación con la identidad del área de trabajo se pueden combinar. Puede usar la identidad del área de trabajo como método de autenticación para acceder a las cuentas de almacenamiento que tengan acceso público restringido a las redes virtuales y direcciones IP seleccionadas.

En este artículo, se describe cómo usar la identidad del área de trabajo para autenticarse al conectar accesos directos de OneLake y canalizaciones de datos a orígenes de datos. El público de destino son ingenieros de datos y cualquier persona interesada en establecer una conexión segura entre los elementos de Fabric y los orígenes de datos.

Paso 1: Creación de la identidad del área de trabajo

Debe ser administrador del área de trabajo para poder crear y administrar una identidad de área de trabajo.

  1. Vaya al área de trabajo y abra la configuración del área de trabajo.

  2. Seleccione la pestaña Identidad del área de trabajo.

  3. Seleccione el botón +Identidad del área de trabajo.

Una vez creada la identidad del espacio de trabajo, la pestaña muestra los detalles de la identidad del espacio de trabajo y la lista de usuarios autorizados.

Los administradores del área de trabajo pueden crear y eliminar la identidad del área de trabajo. La identidad del área de trabajo tiene el rol Colaborador del área de trabajo en el área de trabajo. Los administradores, miembros y colaboradores del área de trabajo pueden configurar la identidad como método de autenticación en las conexiones de Azure Data Lake Storage (ADLS) Gen2 que se usen en canalizaciones de datos y accesos directos.

Para obtener más información, consulte Creación y administración de una identidad del área de trabajo.

Paso 2: Concesión de permisos de identidad en la cuenta de almacenamiento

  1. Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento a la que desea acceder desde OneLake.

  2. Seleccione la pestaña Control de acceso (IAM) de la barra lateral izquierda y seleccione Asignaciones de roles.

  3. Seleccione el botón Agregar y, luego, Agregar asignación de roles.

  4. Seleccione el rol que desea asignar a la identidad, como lector de datos de blobs de almacenamiento o colaborador de datos de blobs de almacenamiento.

    Nota:

    El rol debe proporcionarse en el nivel de cuenta de almacenamiento.

  5. Seleccione Asignar acceso a usuario, grupo o entidad de servicio.

  6. Seleccione + Seleccionar miembrosy busque por nombre o identificador de aplicación de la identidad del área de trabajo. Seleccione la identidad asociada a este área de trabajo.

  7. Seleccione Revisar y asignar y espere a que se complete la asignación de roles.

Paso 3: Creación del elemento de Fabric

Acceso directo de OneLake

Siga los pasos enumerados en Creación de un acceso directo de Azure Data Lake Storage Gen2. Seleccione la identidad del área de trabajo como método de autenticación (solo se admite para ADLS Gen2).

Captura de pantalla que muestra la identidad del área de trabajo como opción de autenticación.

Canalizaciones de datos con actividades Copy, Lookup y GetMetadata

Siga los pasos que se indican en Módulo 1: Creación de una canalización con Data Factory para crear la canalización de datos. Seleccione la identidad del área de trabajo como método de autenticación (solo se admite para ADLS Gen2 y para actividades de Copy, Lookup y GetMetadata).

Nota:

El usuario que crea el acceso directo con la identidad del área de trabajo debe tener un rol de administrador, miembro o colaborador en el área de trabajo. Los usuarios que accedan a los accesos directos solo necesitan permisos en el almacén de lago de datos.

Consideraciones y limitaciones

  • La identidad del área de trabajo se puede crear en áreas de trabajo asociadas a cualquier capacidad (excepto en Mis áreas de trabajo).

  • La identidad del área de trabajo se puede usar para la autenticación en cualquier capacidad que admita accesos directos de OneLake y canalizaciones de datos.

  • El acceso de confianza del área de trabajo a las cuentas de almacenamiento con firewall habilitado se admite en cualquier capacidad F.

  • Puede crear conexiones de ADLS Gen2 con autenticación basada en identidad del área de trabajo en la experiencia Administrar puertas de enlace y conexiones.

  • Las conexiones con workspace-identity-authentication solo se pueden usar en accesos directos de OneLake y canalizaciones de datos.

  • No se admite la comprobación del estado de una conexión que tenga la identidad del área de trabajo como método de autenticación.

Contenido relacionado