Partager via

S’authentifier avec l’identité d’espace de travail

  • Article

Une identité d’espace de travail Fabric est un principal de service managé automatiquement qui peut être associé à un espace de travail Fabric. Vous pouvez utiliser l’identité d’espace de travail comme méthode d’authentification lors de la connexion d’éléments Fabric dans l’espace de travail aux ressources qui prennent en charge l’authentification Microsoft Entra. L’identité d’espace de travail est une méthode d’authentification sécurisée, car il n’est pas nécessaire de gérer les clés, les secrets et les certificats. Lorsque vous octroyez à l’identité d’espace de travail des autorisations sur des ressources cibles telles que ADLS Gen 2, Fabric peut utiliser l’identité pour obtenir des jetons Microsoft Entra pour accéder à la ressource.

L’accès approuvé aux comptes de stockage et l’authentification avec l’identité d’espace de travail peuvent être combinés. Vous pouvez utiliser l’identité d’espace de travail comme méthode d’authentification pour accéder aux comptes de stockage qui ont un accès public restreint aux réseaux virtuels et adresses IP sélectionnés.

Cet article explique comment utiliser l’identité d’espace de travail pour s’authentifier lors de la connexion de raccourcis OneLake et des pipelines de données à des sources de données. L’audience cible est les ingénieurs données et toute personne qui souhaite établir une connexion sécurisée entre les éléments Fabric et les sources de données.

Étape 1 : créer l’identité d’espace de travail

Vous devez être administrateur d’un espace de travail pour pouvoir créer et gérer une identité d’espace de travail.

  1. Accédez à l’espace de travail et ouvrez les paramètres de l’espace de travail.

  2. Sélectionnez l’onglet Identité de l’espace de travail.

  3. Sélectionnez le bouton + Identité de l’espace de travail.

Une fois l’identité de l’espace de travail créée, l’onglet affiche les détails de l’identité de l’espace de travail et la liste des utilisateurs autorisés.

L’identité de l’espace de travail peut être créée et supprimée par les administrateurs de l’espace de travail. L’identité de l’espace de travail a le rôle contributeur espace de travail sur l’espace de travail. Les administrateurs, les membres et les contributeurs de l’espace de travail peuvent configurer l’identité comme méthode d’authentification dans les connexions Azure Data Lake Storage (ADLS) Gen2 utilisées dans les pipelines de données et les raccourcis.

Pour plus d’informations, consultez Créer et gérer une identité d’espace de travail.

Étape 2 : accorder les autorisations d’identité sur le compte de stockage

  1. Connectez-vous au Portail Azure et accédez au compte de stockage auquel vous souhaitez accéder depuis OneLake.

  2. Sélectionnez l’onglet Contrôle d’accès (IAM) dans la barre latérale gauche, puis sélectionnez Attributions de rôle.

  3. Sélectionnez le bouton Ajouter puis sélectionnez Ajouter une attribution de rôle.

  4. Sélectionnez le rôle que vous souhaitez attribuer à l’identité, par exemple Lecteur de données Blob de stockage ou Contributeur aux données blob de stockage.

    Remarque

    Le rôle doit être fourni au niveau du compte de stockage.

  5. Sélectionnez Attribuer l’accès à Utilisateur, groupe ou principal de service.

  6. Sélectionnez + Sélectionner des membres , puis recherchez par nom ou ID d’application de l’identité d’espace de travail. Sélectionnez l’identité associée à votre espace de travail.

  7. Sélectionnez Vérifier + attribuer et attendez que l’attribution de rôle soit réalisée.

Étape 3 : créer l’élément Fabric

Raccourci OneLake

Suivez les étapes répertoriées dans Créer un raccourci Azure Data Lake Storage Gen2. Sélectionnez Identité d’espace de travail comme méthode d’authentification (prise en charge uniquement pour ADLS Gen2).

Capture d’écran montrant Identité d’espace de travail comme option d’authentification.

Pipelines de données avec des activités Copy, Lookup et GetMetadata

Suivez les étapes listées dans le Module 1 : créer un pipeline avec Data Factory pour créer le pipeline de données. Sélectionnez l’identité d’espace de travail comme méthode d’authentification (prise en charge uniquement pour ADLS Gen2 et les activités Copy, Lookup et GetMetadata).

Remarque

L’utilisateur qui crée le raccourci avec l’identité d’espace de travail doit avoir un rôle administrateur, membre ou contributeur dans l’espace de travail. Les utilisateurs qui accèdent aux raccourcis n’ont besoin que d’autorisations sur le lakehouse.

Observations et limitations

  • L’identité d’espace de travail peut être créée dans des espaces de travail associés à toute capacité (à l’exception de Mes espaces de travail).

  • L’identité d’espace de travail peut être utilisée pour l’authentification dans toute capacité prenant en charge les raccourcis OneLake et les pipelines de données.

  • L’accès de l’espace de travail approuvé aux comptes de stockage prenant en charge le pare-feu est pris en charge dans toute capacité F.

  • Vous pouvez créer des connexions ADLS Gen 2 avec l’authentification basée sur l’identité d’espace de travail dans l’expérience Gérer les passerelles et les connexions.

  • Les connexions avec l’authentification Identité d’espace de travail ne peuvent être utilisées que dans les raccourcis Onelake et les pipelines de données.

  • La vérification de l’état d’une connexion qui a l’identité d’espace de travail comme méthode d’authentification n’est pas prise en charge.

Contenu connexe