Verifiëren met werkruimte-identiteit
Een Fabric-werkruimte-id is een automatisch beheerde service-principal die kan worden gekoppeld aan een Fabric-werkruimte. U kunt de werkruimte-id gebruiken als verificatiemethode bij het verbinden van Fabric-items in de werkruimte met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Werkruimte-identiteit is een veilige verificatiemethode omdat het niet nodig is om sleutels, geheimen en certificaten te beheren. Wanneer u de werkruimte-id met machtigingen voor doelresources, zoals ADLS Gen 2, verleent, kan Fabric de identiteit gebruiken om Microsoft Entra-tokens te verkrijgen voor toegang tot de resource.
Vertrouwde toegang tot Opslagaccounts en -verificatie met werkruimte-identiteit kan samen worden gecombineerd. U kunt werkruimte-id gebruiken als verificatiemethode voor toegang tot opslagaccounts waarvoor openbare toegang is beperkt tot geselecteerde virtuele netwerken en IP-adressen.
In dit artikel wordt beschreven hoe u de werkruimte-id gebruikt om te verifiëren bij het verbinden van OneLake-snelkoppelingen en gegevenspijplijnen met gegevensbronnen. De doelgroep is data engineers en iedereen die geïnteresseerd is in het tot stand brengen van een beveiligde verbinding tussen Fabric-items en gegevensbronnen.
Stap 1: De werkruimte-id maken
U moet een werkruimtebeheerder zijn om een werkruimte-id te kunnen maken en beheren.
Navigeer naar de werkruimte en open de werkruimte-instellingen.
Selecteer het tabblad Werkruimte-identiteit .
Selecteer de knop + Werkruimte-identiteit .
Wanneer de werkruimte-id is gemaakt, worden op het tabblad de details van de werkruimte-id en de lijst met geautoriseerde gebruikers weergegeven.
Werkruimte-id kan worden gemaakt en verwijderd door werkruimtebeheerders. De werkruimte-id heeft de rol inzender voor de werkruimte. Beheerders, leden en inzenders in de werkruimte kunnen de identiteit configureren als verificatiemethode in Azure Data Lake Storage (ADLS) Gen2-verbindingen die worden gebruikt in gegevenspijplijnen en snelkoppelingen.
Zie Een werkruimte-id maken en beheren voor meer informatie.
Stap 2: De identiteitsmachtigingen voor het opslagaccount verlenen
Meld u aan bij Azure Portal en navigeer naar het opslagaccount dat u wilt openen vanuit OneLake.
Selecteer het tabblad Toegangsbeheer (IAM) in de linkerzijbalk en selecteer Roltoewijzingen.
Selecteer de knop Toevoegen en selecteer Roltoewijzing toevoegen.
Selecteer de rol die u wilt toewijzen aan de identiteit, zoals Storage Blob Data Reader of Inzender voor opslagblobgegevens.
Notitie
De rol moet worden opgegeven op opslagaccountniveau.
Selecteer Toegang toewijzen tot gebruiker, groep of service-principal.
Selecteer + Leden selecteren en zoek op naam of app-id van de werkruimte-id. Selecteer de identiteit die is gekoppeld aan uw werkruimte.
Selecteer Beoordelen en toewijzen en wacht totdat de roltoewijzing is voltooid.
Stap 3: Het fabric-item maken
OneLake-snelkoppeling
Volg de stappen in De snelkoppeling Een Azure Data Lake Storage Gen2 maken. Selecteer werkruimte-id als verificatiemethode (alleen ondersteund voor ADLS Gen2).
Gegevenspijplijnen met kopieer-, lookup- en GetMetadata-activiteiten
Volg de stappen in module 1: een pijplijn maken met Data Factory om de gegevenspijplijn te maken. Selecteer de werkruimte-id als verificatiemethode (alleen ondersteund voor ADLS Gen2 en voor kopieer-, lookup- en GetMetadata-activiteiten).
Notitie
De gebruiker die de snelkoppeling met werkruimte-id maakt, moet de rol beheerder, lid of inzender hebben in de werkruimte. Gebruikers die toegang hebben tot de snelkoppelingen hebben alleen machtigingen nodig voor het lakehouse.
Overwegingen en beperkingen
Werkruimte-identiteit kan worden gemaakt in werkruimten die zijn gekoppeld aan elke capaciteit (met uitzondering van Mijn werkruimten).
Werkruimte-id kan worden gebruikt voor verificatie in elke capaciteit die ondersteuning biedt voor OneLake-snelkoppelingen en gegevenspijplijnen.
Toegang tot vertrouwde werkruimten voor opslagaccounts met firewall wordt ondersteund in elke F-capaciteit.
U kunt ADLS Gen 2-verbindingen maken met verificatie op basis van werkruimte-identiteit in de ervaring Gateways en Verbindingen beheren.
Verbindingen met werkruimte-identiteitsverificatie kunnen alleen worden gebruikt in Onelake-snelkoppelingen en gegevenspijplijnen.
Het controleren van de status van een verbinding met werkruimte-id omdat de verificatiemethode niet wordt ondersteund.