Del via

Godkjenne med arbeidsområdeidentitet

  • Artikkel

En ID for et stoffarbeidsområde er en automatisk administrert tjenestekontohaver som kan knyttes til et fabric-arbeidsområde. Du kan bruke arbeidsområdeidentiteten som godkjenningsmetode når du kobler Fabric-elementer i arbeidsområdet til ressurser som støtter Microsoft Entra-godkjenning. Arbeidsområdeidentitet er en sikker godkjenningsmetode, da det ikke er nødvendig å administrere nøkler, hemmeligheter og sertifikater. Når du gir arbeidsområdeidentiteten tillatelser på målressurser som ADLS gen 2, kan Fabric bruke identiteten til å skaffe Microsoft Entra-tokener for å få tilgang til ressursen.

Klarert tilgang til lagringskontoer og godkjenning med arbeidsområdeidentitet kan kombineres sammen. Du kan bruke arbeidsområdeidentitet som godkjenningsmetode for å få tilgang til lagringskontoer som har offentlig tilgang begrenset til valgte virtuelle nettverk og IP-adresser.

Denne artikkelen beskriver hvordan du bruker arbeidsområdeidentiteten til å godkjenne når du kobler OneLake-snarveier og datasamlebånd til datakilder. Målgruppen er datateknikere og alle som er interessert i å etablere en sikker forbindelse mellom Fabric-elementer og datakilder.

Trinn 1: Opprette arbeidsområdeidentiteten

Du må være administrator for arbeidsområdet for å kunne opprette og administrere en arbeidsområdeidentitet.

  1. Gå til arbeidsområdet og åpne innstillingene for arbeidsområdet.

  2. Velg kategorien Arbeidsområdeidentitet.

  3. Velg knappen + arbeidsområdeidentitet.

Når arbeidsområdeidentiteten er opprettet, viser fanen identitetsdetaljene for arbeidsområdet og listen over autoriserte brukere.

Arbeidsområdeidentitet kan opprettes og slettes av administratorer for arbeidsområdet. Arbeidsområdeidentiteten har rollen som bidragsyter for arbeidsområdet i arbeidsområdet. Administratorer, medlemmer og bidragsytere i arbeidsområdet kan konfigurere identiteten som godkjenningsmetode i Azure Data Lake Storage (ADLS) Gen2-tilkoblinger som brukes i datasamlebånd og snarveier.

Hvis du vil ha mer informasjon, kan du se Opprette og administrere en arbeidsområdeidentitet.

Trinn 2: Gi identitetstillatelsene på lagringskontoen

  1. Logg på Azure-portalen, og gå til lagringskontoen du vil ha tilgang til fra OneLake.

  2. Velg Access-kontrollfanen (IAM) på venstre sidestolpe, og velg Rolletildelinger.

  3. Velg Legg til-knappen, og velg Legg til rolletilordning.

  4. Velg rollen du vil tilordne til identiteten, for eksempel Storage Blob Data Reader eller Storage Blob Data Contributor.

    Merk

    Rollen må angis på lagringskontonivå.

  5. Velg Tilordne tilgang til bruker, gruppe eller tjenestekontohaver.

  6. Velg + Velg medlemmer, og søk etter navn eller app-ID for arbeidsområdeidentiteten. Velg identiteten som er knyttet til arbeidsområdet.

  7. Velg Se gjennom + tilordne , og vent til rolletilordningen er fullført.

Trinn 3: Opprette Fabric-elementet

OneLake-snarvei

Følg trinnene som er oppført i snarveien Opprett en Azure Data Lake Storage Gen2. Velg arbeidsområdeidentitet som godkjenningsmetode (støttes bare for ADLS Gen2).

Skjermbilde som viser arbeidsområdeidentitet som et godkjenningsalternativ.

Datasamlebånd med aktiviteter for kopiering, oppslag og GetMetadata

Følg trinnene som er oppført i modul 1 – Opprett et datasamlebånd med Data Factory for å opprette datasamlebåndet. Velg arbeidsområdeidentitet som godkjenningsmetode (støttes bare for ADLS Gen2 og for kopierings-, oppslags- og GetMetadata-aktiviteter).

Merk

Brukeren som oppretter snarveien med arbeidsområdeidentitet, må ha en administrator-, medlems- eller bidragsyterrolle i arbeidsområdet. Brukere som får tilgang til snarveiene trenger bare tillatelser på lakehouse.

Hensyn og begrensninger

  • Arbeidsområdeidentitet kan opprettes i arbeidsområder som er knyttet til en hvilken som helst kapasitet (bortsett fra Mine arbeidsområder).

  • Arbeidsområdeidentitet kan brukes til godkjenning i en hvilken som helst kapasitet som støtter OneLake-snarveier og datasamlebånd.

  • Klarert arbeidsområdetilgang til brannmuraktiverte lagringskontoer støttes i alle F-kapasiteter.

  • Du kan opprette ADLS Gen 2-tilkoblinger med arbeidsområdeidentitetsbasert godkjenning i opplevelsen Behandle gatewayer og tilkoblinger.

  • Tilkoblinger med identitetsgodkjenning for arbeidsområde kan bare brukes i Onelake-snarveier og datasamlebånd.

  • Kontroll av statusen for en tilkobling som har arbeidsområdeidentitet som godkjenningsmetode, støttes ikke.

Relatert innhold