Delen via


Verifiëren met werkruimte-identiteit

Een Fabric-werkruimte-id is een automatisch beheerde service-principal die kan worden gekoppeld aan een Fabric-werkruimte. U kunt de werkruimte-id gebruiken als verificatiemethode bij het verbinden van Fabric-items in de werkruimte met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Werkruimte-identiteit is een veilige verificatiemethode omdat het niet nodig is om sleutels, geheimen en certificaten te beheren. Wanneer u de werkruimte-id met machtigingen voor doelresources, zoals ADLS Gen 2, verleent, kan Fabric de identiteit gebruiken om Microsoft Entra-tokens te verkrijgen voor toegang tot de resource.

Vertrouwde toegang tot Opslagaccounts en -verificatie met werkruimte-identiteit kan samen worden gecombineerd. U kunt werkruimte-id gebruiken als verificatiemethode voor toegang tot opslagaccounts waarvoor openbare toegang is beperkt tot geselecteerde virtuele netwerken en IP-adressen.

In dit artikel wordt beschreven hoe u de werkruimte-id gebruikt om te verifiëren bij het verbinden van OneLake-snelkoppelingen en gegevenspijplijnen met gegevensbronnen. De doelgroep is data engineers en iedereen die geïnteresseerd is in het tot stand brengen van een beveiligde verbinding tussen Fabric-items en gegevensbronnen.

Stap 1: De werkruimte-id maken

U moet een werkruimtebeheerder zijn om een werkruimte-id te kunnen maken en beheren.

  1. Navigeer naar de werkruimte en open de werkruimte-instellingen.

  2. Selecteer het tabblad Werkruimte-identiteit .

  3. Selecteer de knop + Werkruimte-identiteit .

Wanneer de werkruimte-id is gemaakt, worden op het tabblad de details van de werkruimte-id en de lijst met geautoriseerde gebruikers weergegeven.

Werkruimte-id kan worden gemaakt en verwijderd door werkruimtebeheerders. De werkruimte-id heeft de rol inzender voor de werkruimte. Beheerders, leden en inzenders in de werkruimte kunnen de identiteit configureren als verificatiemethode in Azure Data Lake Storage (ADLS) Gen2-verbindingen die worden gebruikt in gegevenspijplijnen en snelkoppelingen.

Zie Een werkruimte-id maken en beheren voor meer informatie.

Stap 2: De identiteitsmachtigingen voor het opslagaccount verlenen

  1. Meld u aan bij Azure Portal en navigeer naar het opslagaccount dat u wilt openen vanuit OneLake.

  2. Selecteer het tabblad Toegangsbeheer (IAM) in de linkerzijbalk en selecteer Roltoewijzingen.

  3. Selecteer de knop Toevoegen en selecteer Roltoewijzing toevoegen.

  4. Selecteer de rol die u wilt toewijzen aan de identiteit, zoals Storage Blob Data Reader of Inzender voor opslagblobgegevens.

    Notitie

    De rol moet worden opgegeven op opslagaccountniveau.

  5. Selecteer Toegang toewijzen tot gebruiker, groep of service-principal.

  6. Selecteer + Leden selecteren en zoek op naam of app-id van de werkruimte-id. Selecteer de identiteit die is gekoppeld aan uw werkruimte.

  7. Selecteer Beoordelen en toewijzen en wacht totdat de roltoewijzing is voltooid.

Stap 3: Het fabric-item maken

OneLake-snelkoppeling

Volg de stappen in De snelkoppeling Een Azure Data Lake Storage Gen2 maken. Selecteer werkruimte-id als verificatiemethode (alleen ondersteund voor ADLS Gen2).

Schermopname van werkruimte-id als verificatieoptie.

Gegevenspijplijnen met kopieer-, lookup- en GetMetadata-activiteiten

Volg de stappen in module 1: een pijplijn maken met Data Factory om de gegevenspijplijn te maken. Selecteer de werkruimte-id als verificatiemethode (alleen ondersteund voor ADLS Gen2 en voor kopieer-, lookup- en GetMetadata-activiteiten).

Notitie

De gebruiker die de snelkoppeling met werkruimte-id maakt, moet de rol beheerder, lid of inzender hebben in de werkruimte. Gebruikers die toegang hebben tot de snelkoppelingen hebben alleen machtigingen nodig voor het lakehouse.

Overwegingen en beperkingen

  • Werkruimte-identiteit kan worden gemaakt in werkruimten die zijn gekoppeld aan elke capaciteit (met uitzondering van Mijn werkruimten).

  • Werkruimte-id kan worden gebruikt voor verificatie in elke capaciteit die ondersteuning biedt voor OneLake-snelkoppelingen en gegevenspijplijnen.

  • Toegang tot vertrouwde werkruimten voor opslagaccounts met firewall wordt ondersteund in elke F-capaciteit.

  • U kunt ADLS Gen 2-verbindingen maken met verificatie op basis van werkruimte-identiteit in de ervaring Gateways en Verbindingen beheren.

  • Verbindingen met werkruimte-identiteitsverificatie kunnen alleen worden gebruikt in Onelake-snelkoppelingen en gegevenspijplijnen.

  • Het controleren van de status van een verbinding met werkruimte-id omdat de verificatiemethode niet wordt ondersteund.