Condividi tramite

Eseguire l'autenticazione con l'identità dell'area di lavoro

  • Articolo

Un'identità dell'area di lavoro di Fabric è un'entità servizio gestita automaticamente che può essere associata a un'area di lavoro di Fabric. È possibile usare l'identità dell'area di lavoro come metodo di autenticazione per connettere gli elementi di Fabric nell'area di lavoro alle risorse che supportano l'autenticazione di Microsoft Entra. L'identità dell'area di lavoro è un metodo di autenticazione sicuro perché non è necessario gestire chiavi, segreti e certificati. Quando si concede all'identità dell'area di lavoro le autorizzazioni per le risorse di destinazione, ad esempio ADLS Gen 2, Fabric può usare l'identità per ottenere i token di Microsoft Entra per accedere alla risorsa.

L'accesso attendibile agli account di archiviazione e all'autenticazione con l'identità dell'area di lavoro può essere combinato. È possibile usare l'identità dell'area di lavoro come metodo di autenticazione per accedere agli account di archiviazione con accesso pubblico limitato alle reti virtuali e agli indirizzi IP selezionati.

Questo articolo descrive come usare l'identità dell'area di lavoro per l'autenticazione durante la connessione di collegamenti e pipeline di dati di OneLake alle origini dati. Il gruppo di destinatari è data engineer e chiunque sia interessato a stabilire una connessione sicura tra elementi di Infrastruttura e origini dati.

Passaggio 1: Creare l'identità dell'area di lavoro

È necessario essere un amministratore dell'area di lavoro per poter creare e gestire un'identità dell'area di lavoro.

  1. Passare all'area di lavoro e aprire le impostazioni dell'area di lavoro.

  2. Selezionare la scheda Identità area di lavoro.

  3. Selezionare il pulsante + Identità area di lavoro.

Dopo aver creato l'identità dell'area di lavoro, nella scheda vengono visualizzati i dettagli dell'identità dell'area di lavoro e l'elenco degli utenti autorizzati.

L'identità dell'area di lavoro può essere creata ed eliminata dagli amministratori dell'area di lavoro. L'identità dell'area di lavoro ha il ruolo collaboratore dell'area di lavoro nell'area di lavoro. Gli amministratori, i membri e i collaboratori nell'area di lavoro possono configurare l'identità come metodo di autenticazione nelle connessioni di Azure Data Lake Storage (ADLS) Gen2 usate nelle pipeline di dati e nei collegamenti.

Per altri dettagli, vedere Creare e gestire un'identità dell'area di lavoro.

Passaggio 2: Concedere le autorizzazioni di identità per l'account di archiviazione

  1. Accedere al portale di Azure e passare all'account di archiviazione a cui si vuole accedere da OneLake.

  2. Selezionare la scheda Controllo di accesso (IAM) sulla barra laterale sinistra e selezionare Assegnazioni di ruolo.

  3. Selezionare il pulsante Aggiungi e selezionare Aggiungi assegnazione di ruolo.

  4. Selezionare il ruolo da assegnare all'identità, ad esempio Lettore dati BLOB di archiviazione o Collaboratore ai dati dei BLOB di archiviazione.

    Nota

    Il ruolo deve essere fornito a livello di account di archiviazione.

  5. Selezionare Assegnare l'accesso a Utente, gruppo o entità servizio.

  6. Selezionare + Seleziona membri e cercare in base al nome o all'ID app dell'identità dell'area di lavoro. Selezionare l'identità associata all'area di lavoro.

  7. Selezionare Rivedi e assegna e attendere il completamento dell'assegnazione di ruolo.

Passaggio 3: Creare l'elemento Fabric

Collegamento a OneLake

Seguire i passaggi elencati in Creare un collegamento di Azure Data Lake Storage Gen2. Selezionare l'identità dell'area di lavoro come metodo di autenticazione (supportato solo per ADLS Gen2).

Screenshot che mostra l'identità dell'area di lavoro come opzione di autenticazione.

Pipeline di dati con attività Copy, Lookup e GetMetadata

Seguire i passaggi elencati in Modulo 1 - Creare una pipeline con Data Factory per creare la pipeline di dati. Selezionare l'identità dell'area di lavoro come metodo di autenticazione (supportata solo per ADLS Gen2 e per le attività Copy, Lookup e GetMetadata).

Nota

L'utente che crea il collegamento con l'identità dell'area di lavoro deve avere un ruolo di amministratore, membro o collaboratore nell'area di lavoro. Gli utenti che accedono ai collegamenti necessitano solo delle autorizzazioni per il lakehouse.

Considerazioni e limitazioni

  • L'identità dell'area di lavoro può essere creata nelle aree di lavoro associate a qualsiasi capacità (ad eccezione delle aree di lavoro personali).

  • L'identità dell'area di lavoro può essere usata per l'autenticazione in qualsiasi capacità che supporti collegamenti OneLake e pipeline di dati.

  • L'accesso all'area di lavoro attendibile agli account di archiviazione abilitati per il firewall è supportato in qualsiasi capacità F.

  • È possibile creare connessioni ADLS Gen 2 con l'autenticazione basata sull'identità dell'area di lavoro nell'esperienza Gestisci gateway e connessioni.

  • Le connessioni con workspace-identity-authentication possono essere usate solo in collegamenti onelake e pipeline di dati.

  • Il controllo dello stato di una connessione con identità dell'area di lavoro come metodo di autenticazione non è supportato.

Contenuto correlato