Werkruimte-identiteit
Een Fabric-werkruimte-id is een automatisch beheerde service-principal die kan worden gekoppeld aan een Fabric-werkruimte. Fabric-werkruimten met een werkruimte-id kunnen veilig lezen of schrijven naar Azure Data Lake Storage Gen2-accounts met een firewall via vertrouwde werkruimtetoegang voor OneLake-snelkoppelingen. Fabric-items kunnen de identiteit gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Fabric gebruikt werkruimte-identiteiten om Microsoft Entra-tokens te verkrijgen zonder dat de klant referenties hoeft te beheren.
Werkruimte-id's kunnen worden gemaakt in de werkruimte-instellingen van elke werkruimte, behalve Mijn werkruimten. Er wordt automatisch een werkruimte-id toegewezen aan de rol inzender van de werkruimte en heeft toegang tot werkruimte-items.
Wanneer u een werkruimte-id maakt, maakt Fabric een service-principal in Microsoft Entra-id die de identiteit vertegenwoordigt. Er wordt ook een bijbehorende app-registratie gemaakt. Fabric beheert automatisch de referenties die zijn gekoppeld aan werkruimte-id's, waardoor referentielekken en downtime worden voorkomen vanwege onjuiste verwerking van referenties.
Notitie
De identiteit van de infrastructuurwerkruimte is algemeen beschikbaar. U kunt een werkruimte-id maken in elke werkruimte behalve Mijn werkruimte.
Hoewel identiteiten van fabric-werkruimten overeenkomsten delen met door Azure beheerde identiteiten, zijn hun levenscyclus, beheer en governance verschillend. Een werkruimte-identiteit heeft een onafhankelijke levenscyclus die volledig wordt beheerd in Fabric. Een Fabric-werkruimte kan eventueel worden gekoppeld aan een identiteit. Wanneer de werkruimte wordt verwijderd, wordt de identiteit verwijderd. De naam van de werkruimte-id is altijd dezelfde als de naam van de werkruimte waarmee deze is gekoppeld.
Een werkruimte-id maken en beheren
U moet een werkruimtebeheerder zijn om een werkruimte-id te kunnen maken en beheren. De werkruimte waarvoor u de identiteit maakt, kan geen Mijn werkruimte zijn.
- Navigeer naar de werkruimte en open de werkruimte-instellingen.
- Selecteer het tabblad Werkruimte-identiteit .
- Selecteer de knop + Werkruimte-identiteit .
Wanneer de werkruimte-id is gemaakt, worden op het tabblad de details van de werkruimte-id en de lijst met geautoriseerde gebruikers weergegeven.
De secties van de configuratie van de werkruimte-id worden beschreven in de volgende secties.
Identiteitsdetails
| Details | Description |
|---|---|
| Naam | Naam van werkruimte-id. De naam van de werkruimte-id is hetzelfde als de naam van de werkruimte. |
| Id | De GUID van de werkruimte-id. Dit is een unieke id voor de identiteit. |
| - Rol | De werkruimterol die is toegewezen aan de identiteit. Aan werkruimte-identiteiten wordt automatisch de rol inzender toegewezen bij het maken. |
| Staat/provincie | De status van de werkruimte. Mogelijke waarden: Actief, Inactief, Verwijderen, Onbruikbaar, Mislukt, DeleteFailed |
Geautoriseerde gebruikers
Zie Toegangsbeheer voor meer informatie.
Een werkruimte-id verwijderen
Wanneer een identiteit wordt verwijderd, worden fabric-items die afhankelijk zijn van de werkruimte-id voor toegang tot vertrouwde werkruimten of verificatie verbroken. Verwijderde werkruimte-id's kunnen niet worden hersteld.
Notitie
Wanneer een werkruimte wordt verwijderd, wordt de werkruimte-id ook verwijderd. Als de werkruimte na verwijdering wordt hersteld, wordt de werkruimte-id niet hersteld. Als u wilt dat de herstelde werkruimte een werkruimte-id heeft, moet u een nieuwe maken.
Werkruimte-identiteit gebruiken
Werkruimte-identiteit kan momenteel op twee manieren worden gebruikt:
Voor verificatie: Verificatie met werkruimte-id bekijken
Voor toegang tot vertrouwde werkruimten: Snelkoppelingen in een werkruimte met een werkruimte-identiteit kunnen worden gebruikt voor toegang tot vertrouwde services. Zie toegang tot vertrouwde werkruimten voor meer informatie.
Beveiliging, beheer en governance van de werkruimte-id
In de volgende secties wordt beschreven wie de identiteit van de werkruimte kan gebruiken en hoe u deze kunt bewaken in Microsoft Purview en Azure.
Toegangsbeheer
Werkruimte-id kan worden gemaakt en verwijderd door werkruimtebeheerders. De werkruimte-id heeft de rol inzender voor de werkruimte.
Werkruimte-identiteit wordt ondersteund voor verificatie voor doelbronnen in verbindingen. Alleen gebruikers met de rol beheerder, lid of inzender in de werkruimte kunnen de identiteit van de werkruimte configureren voor verificatie in verbindingen.
Toepassingsbeheerders of gebruikers met hogere rollen kunnen de service-principal en app-registratie die zijn gekoppeld aan de werkruimte-id in Azure bekijken, wijzigen en verwijderen.
Waarschuwing
Het is niet raadzaam om de service-principal of app-registratie in Azure te wijzigen of te verwijderen, omdat fabric-items die afhankelijk zijn van de werkruimte-identiteit, niet meer werken.
De werkruimte-identiteit beheren in Fabric
Fabric-beheerders kunnen de werkruimte-id's beheren die in hun tenant zijn gemaakt op het tabblad Fabric-identiteiten in de beheerportal.
- Navigeer naar het tabblad Fabric-identiteiten in de beheerportal.
- Selecteer een werkruimte-id en selecteer vervolgens Details.
- Op het tabblad Details kunt u aanvullende informatie weergeven met betrekking tot de identiteit van de werkruimte.
- U kunt ook een werkruimte-id verwijderen.
Notitie
Werkruimte-id's kunnen niet worden hersteld na verwijdering. Controleer de gevolgen van het verwijderen van een werkruimte-id die wordt beschreven in Een werkruimte-id verwijderen.
De werkruimte-id beheren in Purview
U kunt de controlegebeurtenissen bekijken die zijn gegenereerd bij het maken en verwijderen van de werkruimte-id in purview-auditlogboek. Toegang tot het logboek
- Navigeer naar de Microsoft Purview-hub.
- Selecteer de tegel Controle .
- Gebruik in het auditzoekformulier dat wordt weergegeven het veld Activiteiten- beschrijvende namen om te zoeken naar infrastructuuridentiteiten om de activiteiten te vinden die betrekking hebben op werkruimte-identiteiten. Momenteel zijn de volgende activiteiten met betrekking tot werkruimte-identiteiten:
- Fabric-identiteit voor werkruimte gemaakt
- Opgehaalde fabricidentiteit voor werkruimte
- Verwijderde infrastructuuridentiteit voor werkruimte
- Opgehaald Fabric Identity Token voor werkruimte
De werkruimte-identiteit beheren in Azure
De toepassing die is gekoppeld aan de werkruimte-id, kan worden weergegeven onder zowel Bedrijfstoepassingen als App-registraties in Azure Portal.
Bedrijfstoepassingen
De toepassing die is gekoppeld aan de werkruimte-id, kan worden weergegeven in Bedrijfstoepassingen in Azure Portal. De Fabric Identity Management-app is de configuratie-eigenaar.
Waarschuwing
Wijzigingen in de toepassing die hier zijn aangebracht, zorgen ervoor dat de werkruimte-id niet meer werkt.
Ga als volgt te werk om de auditlogboeken en aanmeldingslogboeken voor deze identiteit weer te geven:
- Meld u aan bij het Azure-portaal.
- Navigeer naar Microsoft Entra ID > Enterprise-toepassingen.
- Selecteer naar wens auditlogboeken of aanmeldingslogboeken.
App-registraties
De toepassing die is gekoppeld aan de werkruimte-id, kan worden weergegeven onder App-registraties in Azure Portal. Er mogen geen wijzigingen worden aangebracht, omdat de werkruimte-identiteit hierdoor niet meer werkt.
Geavanceerde scenario's
In de volgende secties worden scenario's beschreven met betrekking tot werkruimte-identiteiten die kunnen optreden.
De identiteit verwijderen
De identiteit van de werkruimte kan worden verwijderd in de werkruimte-instellingen. Wanneer een identiteit wordt verwijderd, worden fabric-items die afhankelijk zijn van de werkruimte-id voor toegang tot vertrouwde werkruimten of verificatie verbroken. Verwijderde werkruimte-id's kunnen niet worden hersteld.
Wanneer een werkruimte wordt verwijderd, wordt de werkruimte-id ook verwijderd. Als de werkruimte na verwijdering wordt hersteld, wordt de werkruimte-id niet hersteld. Als u wilt dat de herstelde werkruimte een werkruimte-id heeft, moet u een nieuwe maken.
De naam van de werkruimte wijzigen
Wanneer de naam van een werkruimte wordt gewijzigd, wordt de naam van de werkruimte-id ook aangepast aan de naam van de werkruimte. De Microsoft Entra-toepassing en service-principal blijven echter hetzelfde. Houd er rekening mee dat er meerdere toepassings- en app-registratieobjecten met dezelfde naam in een tenant kunnen zijn.
Overwegingen en beperkingen
- Een werkruimte-id kan worden gemaakt in elke werkruimte, behalve een Mijn werkruimte.
- Als een werkruimte met een werkruimte-id wordt gemigreerd naar een niet-Infrastructuurcapaciteit of naar een niet-F SKU Fabric-capaciteit, wordt de identiteit niet uitgeschakeld of verwijderd, maar werken infrastructuuritems die afhankelijk zijn van de toegang tot vertrouwde werkruimten niet meer.
- Er kunnen maximaal 1000 werkruimte-id's worden gemaakt in een tenant. Zodra deze limiet is bereikt, moeten werkruimte-id's worden verwijderd om nieuwere identiteiten te kunnen maken.
- Azure Data Lake Storage Gen2-snelkoppelingen in een werkruimte met een werkruimte-id kunnen toegang krijgen tot vertrouwde services.
Problemen met het maken van een werkruimte-id oplossen
Als u geen werkruimte-id kunt maken omdat de aanmaakknop is uitgeschakeld, controleert u of u de rol werkruimtebeheerder hebt.
Als u problemen ondervindt wanneer u voor het eerst een werkruimte-id in uw tenant maakt, voert u de volgende stappen uit:
- Als de status van de werkruimte-id is mislukt, wacht u een uur en verwijdert u de identiteit.
- Nadat de identiteit is verwijderd, wacht u vijf minuten en maakt u de identiteit opnieuw.