Identidade do espaço de trabalho
Uma identidade de espaço de trabalho do Fabric é uma entidade de serviço gerenciada automaticamente que pode ser associada a um espaço de trabalho do Fabric. Os espaços de trabalho de malha com uma identidade de espaço de trabalho podem ler ou gravar com segurança em contas do Azure Data Lake Storage Gen2 habilitadas para firewall por meio do acesso confiável ao espaço de trabalho para atalhos do OneLake. Os itens de malha podem usar a identidade ao se conectar a recursos que dão suporte à autenticação do Microsoft Entra. O Fabric usa identidades de workspace para obter tokens do Microsoft Entra sem que o cliente precise gerenciar credenciais.
As identidades do workspace podem ser criadas nas configurações do workspace de qualquer workspace, exceto Meus workspaces. Uma identidade de espaço de trabalho recebe automaticamente a função Colaborador do espaço de trabalho e tem acesso aos itens do espaço de trabalho.
Quando você cria uma identidade de espaço de trabalho, o Fabric cria uma entidade de serviço no Microsoft Entra ID para representar a identidade. Um registro de aplicativo associado também é criado. O Fabric gerencia automaticamente as credenciais associadas às identidades do espaço de trabalho, evitando assim vazamentos de credenciais e tempo de inatividade devido ao tratamento inadequado de credenciais.
Observação
A identidade do espaço de trabalho do Fabric está em disponibilidade geral. Você pode criar uma identidade de workspace em qualquer workspace, exceto Meu workspace.
Embora as identidades de espaço de trabalho do Fabric compartilhem algumas similaridades com identidades gerenciadas do Azure, seu ciclo de vida, administração e governança são diferentes. Uma identidade de espaço de trabalho tem um ciclo de vida independente que é gerenciado inteiramente no Fabric. Um espaço de trabalho do Fabric pode, opcionalmente, ser associado a uma identidade. Quando o espaço de trabalho é excluído, a identidade é excluída. O nome da identidade do espaço de trabalho é sempre igual ao nome do espaço de trabalho ao qual ele está associado.
Criar e gerenciar uma identidade de espaço de trabalho
Você deve ser um administrador de espaço de trabalho para poder criar e gerenciar uma identidade de espaço de trabalho. O workspace para o qual você está criando a identidade não pode ser um Meu Workspace.
- Navegue até o espaço de trabalho e abra as configurações do espaço de trabalho.
- Selecione a guia Identidade do espaço de trabalho.
- Selecione o botão + Identidade do espaço de trabalho.
Quando a identidade do espaço de trabalho tiver sido criada, a guia exibirá os detalhes da identidade do espaço de trabalho e a lista de usuários autorizados.
As seções relativas à configuração do espaço de trabalho são descritas nas seções a seguir.
Detalhes da identidade
| Detalhes | Descrição |
|---|---|
| Nome | Nome da identidade do espaço de trabalho. O nome da identidade do espaço de trabalho é igual ao nome do espaço de trabalho. |
| ID | O GUID de identidade do espaço de trabalho. É um identificador exclusivo da identidade. |
| Função | A função de espaço de trabalho atribuída à identidade. As identidades do espaço de trabalho recebem automaticamente a função Colaborador após a criação. |
| State | O estado do espaço de trabalho. Valores possíveis: Ativo, Inativo, Excluindo, Inutilizável, Falha, Falha na Exclusão |
Usuários autorizados
Para obter mais informações, consulte Controle de acesso.
Excluir uma identidade de espaço de trabalho
Quando uma identidade é excluída, os itens do Fabric que dependem da identidade do espaço de trabalho para acesso ou autenticação confiáveis do espaço de trabalho são interrompidos. As identidades de espaço de trabalho excluídas não podem ser restauradas.
Observação
Quando um espaço de trabalho é excluído, sua identidade de espaço de trabalho também é excluída. Se o espaço de trabalho for restaurado após a exclusão, a identidade do espaço de trabalho não será restaurada. Se quiser que o espaço de trabalho restaurado tenha uma identidade de espaço de trabalho, você deve criar uma.
Como usar a identidade do espaço de trabalho
Atualmente, a identidade do workspace pode ser usada de duas maneiras:
Para autenticação: consulte Autenticar com a identidade do workspace
Para acesso confiável ao workspace: atalhos em um workspace que tem uma identidade de workspace podem ser usados para acesso de serviço confiável. Para obter mais informações, consulte acesso confiável ao espaço de trabalho.
Segurança, administração e governança da identidade do espaço de trabalho
As seções a seguir descrevem quem pode usar a identidade do espaço de trabalho e como você pode monitorá-la no Microsoft Purview e no Azure.
Controle de acesso
A identidade do espaço de trabalho pode ser criada e excluída pelos administradores do espaço de trabalho. A identidade do espaço de trabalho tem a função Colaborador no espaço de trabalho.
A identidade do workspace tem suporte para autenticação para direcionar recursos em conexões. Somente usuários com uma função de administrador, membro ou colaborador no workspace podem configurar a identidade do workspace para autenticação em conexões.
Os administradores de aplicativos ou usuários com funções superiores podem exibir, modificar e excluir a entidade de serviço e o registro de aplicativo associados à identidade do espaço de trabalho no Azure.
Aviso
Modificar ou excluir a entidade de serviço ou o registro de aplicativo no Azure não é recomendado, pois fará com que os itens do Fabric que dependem da identidade do espaço de trabalho parem de funcionar.
Administrar a identidade do espaço de trabalho no Fabric
Na guia Identidades do Fabric do portal de administração, os administradores do Fabric podem administrar as identidades de espaço de trabalho criadas em seus locatários.
- Acesse até a guia Identidades do Fabric no portal de Administração.
- Selecione uma identidade de espaço de trabalho e, em seguida, selecione Detalhes.
- Na guia Detalhes, você pode exibir informações adicionais relacionadas à identidade do espaço de trabalho.
- Você também pode excluir uma identidade de espaço de trabalho.
Observação
As identidades do espaço de trabalho não podem ser restauradas após a exclusão. Revise as consequências da exclusão de uma identidade de espaço de trabalho descritas em Excluir uma identidade de espaço de trabalho.
Administrar a identidade do espaço de trabalho no Purview
Você pode exibir os eventos de auditoria gerados após a criação e exclusão da identidade do espaço de trabalho no Log de Auditoria do Purview. Para acessar o log
- Navegue até o hub do Microsoft Purview.
- Selecione o bloco Auditoria.
- No formulário de pesquisa de auditoria exibido, use o campo Atividades - nomes amigáveis a fim de procurar a identidade do Fabric para localizar as atividades relacionadas às identidades do espaço de trabalho. Atualmente, as atividades relacionadas a identidades de espaço de trabalho são as seguintes:
- identidade do Fabric criada para o espaço de trabalho
- identidade do Fabric recuperada para o espaço de trabalho
- identidade do Fabric excluída para o espaço de trabalho
- Token de identidade do Fabric recuperado para o espaço de trabalho
Administrar a identidade do espaço de trabalho no Azure
O aplicativo associado à identidade do espaço de trabalho pode ser exibido em Aplicativos empresariais e Registros de aplicativo no portal do Azure.
Aplicativos empresariais
O aplicativo associado à identidade do espaço de trabalho pode ser visto em Aplicativos empresariais no portal do Azure. O aplicativo de gerenciamento de identidades do Fabric é o proprietário da respectiva configuração.
Aviso
As modificações no aplicativo feitas aqui farão com que a identidade do espaço de trabalho pare de funcionar.
Para exibir os logs de auditoria e os logs de entrada dessa identidade:
- Entre no portal do Azure.
- Navegue até Microsoft Entra ID > Aplicativos empresariais.
- SelecioneLogs de auditoria ou Logs de entrada, conforme desejado.
Registros de aplicativo
O aplicativo associado à identidade do espaço de trabalho pode ser visto em Registros de aplicativo no portal do Azure. Nenhuma modificação deve ser feita lá, pois isso fará com que a identidade do espaço de trabalho pare de funcionar.
Cenários avançados
As seções a seguir descrevem cenários envolvendo identidades de espaço de trabalho que podem ocorrer.
Excluir a identidade
A identidade do espaço de trabalho pode ser excluída nas configurações do espaço de trabalho. Quando uma identidade é excluída, os itens do Fabric que dependem da identidade do espaço de trabalho para acesso ou autenticação confiáveis do espaço de trabalho são interrompidos. As identidades de espaço de trabalho excluídas não podem ser restauradas.
Quando um espaço de trabalho é excluído, sua identidade de espaço de trabalho também é excluída. Se o espaço de trabalho for restaurado após a exclusão, a identidade do espaço de trabalho não será restaurada. Se quiser que o espaço de trabalho restaurado tenha uma identidade de espaço de trabalho, você deve criar uma.
Renomear o espaço de trabalho
Quando um espaço de trabalho é renomeado, a identidade do espaço de trabalho também é renomeada para corresponder ao nome do espaço de trabalho. No entanto, seu aplicativo e entidade de serviço do Microsoft Entra permanecem os mesmos. Observe que pode haver vários objetos de registro de aplicativo e de aplicativo com o mesmo nome em um locatário.
Considerações e limitações
- Uma identidade de workspace pode ser criada em qualquer workspace, exceto em meu workspace.
- Se um workspace com uma identidade de workspace for migrado para uma capacidade não Fabric ou para uma capacidade do SKU Fabric não F, a identidade não será desabilitada ou excluída, mas os itens do Fabric que dependem do acesso confiável ao workspace deixarão de funcionar.
- Um máximo de mil identidades de espaço de trabalho pode ser criado em um locatário. Quando esse limite for atingido, as identidades do espaço de trabalho devem ser excluídas para permitir que as mais recentes sejam criadas.
- Os atalhos do Azure Data Lake Storage Gen2 em um espaço de trabalho que tenha uma identidade de espaço de trabalho poderão ter acesso confiável a serviços.
Solução de problemas com a criação de uma identidade de espaço de trabalho
Se você não puder criar uma identidade de workspace porque o botão de criação está desabilitado, verifique se você tem a função de administrador do workspace.
Se você tiver problemas na primeira vez que criar uma identidade de espaço de trabalho em seu locatário, tente as seguintes etapas:
- Se o estado de identidade do espaço de trabalho for de falha, aguarde uma hora e exclua a identidade.
- Depois que a identidade for excluída, aguarde 5 minutos e crie a identidade novamente.