Compartilhar via

Autenticar-se com a identidade do workspace

  • Artigo

Uma identidade de espaço de trabalho do Fabric é uma entidade de serviço gerenciada automaticamente que pode ser associada a um espaço de trabalho do Fabric. É possível usar a identidade do workspace como método de autenticação ao conectar itens do Fabric no workspace a recursos compatíveis com a autenticação do Microsoft Entra. A identidade do workspace é um método de autenticação seguro porque não requer o gerenciamento de chaves, segredos e certificados. Quando você concede à identidade do workspace permissões com relação a recursos de destino, como o ADLS de 2ª geração, o Fabric pode usar essa identidade para obter tokens do Microsoft Entra a fim de acessar esses recursos.

O acesso confiável às contas de armazenamento e a autenticação com a identidade do workspace podem ser usados em conjunto. É possível usar a identidade do workspace como método de autenticação para acessar contas de armazenamento com acesso público restrito a redes virtuais e endereços IP selecionados.

Este artigo descreve como usar a identidade do workspace para autenticação ao conectar pipelines de dados e atalhos do OneLake a fontes de dados. O público-alvo são engenheiros de dados e qualquer pessoa interessada em estabelecer uma conexão segura entre itens do Fabric e fontes de dados.

Etapa 1: criar a identidade do workspace

Você deve ser um administrador de espaço de trabalho para poder criar e gerenciar uma identidade de espaço de trabalho.

  1. Navegue até o espaço de trabalho e abra as configurações do espaço de trabalho.

  2. Selecione a guia Identidade do espaço de trabalho.

  3. Selecione o botão + Identidade do espaço de trabalho.

Quando a identidade do espaço de trabalho tiver sido criada, a guia exibirá os detalhes da identidade do espaço de trabalho e a lista de usuários autorizados.

A identidade do espaço de trabalho pode ser criada e excluída pelos administradores do espaço de trabalho. A identidade do espaço de trabalho tem a função Colaborador no espaço de trabalho. Administradores, membros e colaboradores no workspace podem configurar a identidade como método de autenticação em conexões do ADLS (Azure Data Lake Storage) Gen2 usadas em atalhos e pipelines de dados.

Para saber mais, confira Criar e gerenciar uma identidade de workspace.

Etapa 2: conceder as permissões de identidade na conta de armazenamento

  1. Entre no portal do Azure e acesse a conta de armazenamento que você deseja acessar por meio do OneLake.

  2. Selecione a guia do IAM (Controle de acesso) na barra lateral esquerda e clique em Atribuições de função.

  3. Clique no botão Adicionar e selecione Adicionar atribuição de função.

  4. Selecione a função que você deseja atribuir à identidade, como Leitor de dados do blob de armazenamento ou Colaborador de dados do blob de armazenamento.

    Observação

    A função deve ser fornecida no nível da conta de armazenamento.

  5. Selecione Atribuir acesso a usuário, grupo ou entidade de serviço.

  6. Clique em + Selecionar membros e pesquise pelo nome ou ID do aplicativo da identidade do workspace. Selecione a identidade associada ao workspace.

  7. Selecione Revisar + atribuir e aguarde a conclusão da atribuição de função.

Etapa 3: criar o item do Fabric

Atalho do Onelake

Siga as etapas listadas em Criar um atalho do Azure Data Lake Storage Gen2. Selecione a identidade do workspace como método de autenticação (compatível apenas com o ADLS Gen2).

Captura de tela mostrando a identidade do workspace como uma opção de autenticação.

Pipelines de dados com as atividades Copy, Lookup e GetMetadata

Siga as etapas listadas no Módulo 1 – Criar um pipeline com o Data Factory para criar o pipeline de dados. Selecione a identidade do workspace como método de autenticação (compatível apenas com o ADLS Gen2 e com as atividades Copy, Lookup e GetMetadata).

Observação

O usuário que cria o atalho com a identidade do workspace deve ter a função de administrador, membro ou colaborador no workspace. Os usuários que acessam os atalhos só precisam de permissões no lakehouse.

Considerações e limitações

  • A identidade do workspace pode ser criada em workspaces associados a qualquer capacidade (exceto Meus workspaces).

  • A identidade do workspace pode ser usada para autenticação em qualquer capacidade compatível com pipelines de dados e atalhos do OneLake.

  • O acesso confiável do workspace a contas de armazenamento habilitadas para firewall é aceito em qualquer capacidade F.

  • Na experiência Gerenciar gateways e conexões, é possível criar conexões do ADLS Gen 2 com autenticação baseada na identidade do workspace.

  • Conexões com autenticação baseada na identidade do workspace só podem ser usadas em pipelines de dados e atalhos do OneLake.

  • Não há suporte para verificar o status de uma conexão que tenha a identidade do workspace como método de autenticação.

Conteúdo relacionado