Dela via

Arbetsyteidentitet

  • Artikel

En fabric-arbetsyteidentitet är ett automatiskt hanterat huvudnamn för tjänsten som kan associeras med en infrastrukturresursarbetsyta. Infrastrukturarbetsytor med en arbetsyteidentitet kan på ett säkert sätt läsa eller skriva till brandväggsaktiverade Azure Data Lake Storage Gen2-konton via betrodd åtkomst till arbetsytan för OneLake-genvägar. Infrastrukturobjekt kan använda identiteten när de ansluter till resurser som stöder Microsoft Entra-autentisering. Infrastrukturresurser använder arbetsyteidentiteter för att hämta Microsoft Entra-token utan att kunden behöver hantera några autentiseringsuppgifter.

Arbetsyteidentiteter kan skapas i arbetsyteinställningarna för alla arbetsytor förutom Mina arbetsytor. En arbetsyteidentitet tilldelas automatiskt rollen arbetsytedeltagare och har åtkomst till arbetsyteobjekt.

När du skapar en arbetsyteidentitet skapar Fabric ett huvudnamn för tjänsten i Microsoft Entra-ID för att representera identiteten. En tillhörande appregistrering skapas också. Fabric hanterar automatiskt de autentiseringsuppgifter som är associerade med arbetsyteidentiteter, vilket förhindrar läckage av autentiseringsuppgifter och driftstopp på grund av felaktig hantering av autentiseringsuppgifter.

Kommentar

Infrastrukturarbetsytans identitet är allmänt tillgänglig. Du kan skapa en arbetsyteidentitet på valfri arbetsyta förutom Min arbetsyta.

Identiteter på infrastrukturarbetsytor delar vissa likheter med hanterade Azure-identiteter, men deras livscykel, administration och styrning skiljer sig åt. En arbetsyteidentitet har en oberoende livscykel som hanteras helt i Infrastrukturresurser. En infrastrukturarbetsyta kan eventuellt associeras med en identitet. När arbetsytan tas bort tas identiteten bort. Namnet på arbetsytans identitet är alltid samma som namnet på arbetsytan som den är associerad med.

Skapa och hantera en arbetsyteidentitet

Du måste vara administratör för arbetsytan för att kunna skapa och hantera en arbetsyteidentitet. Den arbetsyta som du skapar identiteten för kan inte vara en Min arbetsyta.

  1. Gå till arbetsytan och öppna inställningarna för arbetsytan.
  2. Välj fliken Arbetsytas identitet .
  3. Välj knappen + Identitet för arbetsyta.

När arbetsytans identitet har skapats visar fliken information om arbetsytans identitet och listan över behöriga användare.

Skärmbild som visar information om arbetsytans identitet.

Avsnitten i identitetskonfigurationen för arbetsytan beskrivs i följande avsnitt.

Identitetsinformation

Information beskrivning
Namn Namn på arbetsytans identitet. Namnet på arbetsytans identitet är samma som namnet på arbetsytan.
ID Arbetsytans identitets-GUID. Det här är en unik identifierare för identiteten.
Roll Den arbetsyteroll som tilldelats identiteten. Arbetsyteidentiteter tilldelas automatiskt deltagarrollen när de skapas.
Delstat Arbetsytans tillstånd. Möjliga värden: Aktiv, Inaktiv, Ta bort, Oanvändbar, Misslyckad, DeleteFailed

Behöriga användare

Mer information finns i Åtkomstkontroll.

Ta bort en arbetsyteidentitet

När en identitet tas bort bryts infrastrukturobjekt som förlitar sig på arbetsytans identitet för betrodd åtkomst till arbetsytan eller autentisering. Det går inte att återställa borttagna arbetsyteidentiteter.

Kommentar

När en arbetsyta tas bort tas även dess arbetsyteidentitet bort. Om arbetsytan återställs efter borttagningen återställs inte arbetsytans identitet. Om du vill att den återställde arbetsytan ska ha en arbetsyteidentitet måste du skapa en ny.

Så här använder du arbetsyteidentitet

Arbetsytans identitet kan för närvarande användas på två sätt:

  • För autentisering: Se Autentisera med arbetsyteidentitet

  • För betrodd åtkomst till arbetsytan: Genvägar i en arbetsyta som har en arbetsyteidentitet kan användas för åtkomst till betrodda tjänster. Mer information finns i åtkomst till betrodda arbetsytor.

Säkerhet, administration och styrning av arbetsyteidentiteten

I följande avsnitt beskrivs vem som kan använda arbetsyteidentiteten och hur du kan övervaka den i Microsoft Purview och Azure.

Åtkomstkontroll

Arbetsyteidentitet kan skapas och tas bort av arbetsyteadministratörer. Arbetsytans identitet har rollen som arbetsytedeltagare på arbetsytan.

Arbetsyteidentitet stöds för autentisering för att rikta resurser i anslutningar. Endast användare med en administratörs-, medlems- eller deltagarroll på arbetsytan kan konfigurera arbetsytans identitet för autentisering i anslutningar.

Programadministratörer eller användare med högre roller kan visa, ändra och ta bort tjänstens huvudnamn och appregistrering som är associerad med arbetsytans identitet i Azure.

Varning

Det rekommenderas inte att du ändrar eller tar bort tjänstens huvudnamn eller appregistrering i Azure, eftersom det gör att Fabric-objekt som förlitar sig på arbetsyteidentitet slutar fungera.

Administrera arbetsytans identitet i Infrastrukturresurser

Infrastrukturadministratörer kan administrera de arbetsyteidentiteter som skapats i klientorganisationen på fliken Infrastrukturidentiteter i administratörsportalen.

  1. Gå till fliken Infrastrukturidentiteter i administratörsportalen.
  2. Välj en arbetsyteidentitet och välj sedan Information.
  3. På fliken Information kan du visa ytterligare information som rör arbetsytans identitet.
  4. Du kan också ta bort en arbetsyteidentitet.

    Kommentar

    Det går inte att återställa arbetsyteidentiteter efter borttagningen. Se till att granska konsekvenserna av att ta bort en arbetsyteidentitet som beskrivs i Ta bort en arbetsyteidentitet.

Administrera arbetsytans identitet i Purview

Du kan visa granskningshändelserna som genereras när arbetsyteidentiteten skapas och tas bort i Purview-granskningsloggen. Så här kommer du åt loggen

  1. Gå till Microsoft Purview-hubben.
  2. Välj panelen Granskning .
  3. I granskningssökningsformuläret som visas använder du fältet Aktiviteter – egna namn för att söka efter infrastrukturresursidentitet för att hitta aktiviteter som är relaterade till arbetsyteidentiteter. För närvarande är följande aktiviteter relaterade till arbetsyteidentiteter:
    • Skapad infrastrukturidentitet för arbetsyta
    • Hämtad infrastrukturidentitet för arbetsyta
    • Borttagen infrastrukturidentitet för arbetsyta
    • Hämtad infrastrukturidentitetstoken för arbetsyta

Administrera arbetsytans identitet i Azure

Programmet som är associerat med arbetsytans identitet kan visas under både Företagsprogram och Appregistreringar i Azure Portal.

Företagsprogram

Programmet som är associerat med arbetsytans identitet kan visas i Företagsprogram i Azure Portal. Fabric Identity Management-appen är dess konfigurationsägare.

Varning

Ändringar i programmet som görs här gör att arbetsytans identitet slutar fungera.

Så här visar du granskningsloggar och inloggningsloggar för den här identiteten:

  1. Logga in på Azure-portalen.
  2. Gå till Microsoft Entra ID > Enterprise-program.
  3. Välj antingen Granskningsloggar eller Logga in loggar efter behov.

Appregistreringar

Programmet som är associerat med arbetsytans identitet visas under Appregistreringar i Azure Portal. Inga ändringar bör göras där, eftersom det gör att arbetsytans identitet slutar fungera.

Avancerade scenarier

I följande avsnitt beskrivs scenarier med arbetsyteidentiteter som kan inträffa.

Ta bort identiteten

Arbetsyteidentiteten kan tas bort i inställningarna för arbetsytan. När en identitet tas bort bryts infrastrukturobjekt som förlitar sig på arbetsytans identitet för betrodd åtkomst till arbetsytan eller autentisering. Borttagna arbetsyteidentiteter kan inte återställas.

När en arbetsyta tas bort tas även dess arbetsyteidentitet bort. Om arbetsytan återställs efter borttagningen återställs inte arbetsytans identitet. Om du vill att den återställde arbetsytan ska ha en arbetsyteidentitet måste du skapa en ny.

Byta namn på arbetsytan

När en arbetsyta byter namn byts även arbetsytans identitet namn så att den matchar arbetsytans namn. Microsoft Entra-programmet och tjänstens huvudnamn är dock desamma. Observera att det kan finnas flera program- och appregistreringsobjekt med samma namn i en klientorganisation.

Beaktanden och begränsningar

  • En arbetsyteidentitet kan skapas på alla arbetsytor förutom min arbetsyta.
  • Om en arbetsyta med en arbetsyteidentitet migreras till en icke-Fabric-kapacitet eller till en icke-F SKU Fabric-kapacitet inaktiveras eller tas inte identiteten bort, men Infrastrukturobjekt som förlitar sig på betrodd arbetsyteåtkomst slutar fungera.
  • Högst 1 000 arbetsyteidentiteter kan skapas i en klientorganisation. När den här gränsen har nåtts måste arbetsyteidentiteter tas bort så att nyare identiteter kan skapas.
  • Azure Data Lake Storage Gen2-genvägar på en arbetsyta som har en arbetsyteidentitet kan komma åt betrodda tjänster.

Felsöka problem med att skapa en arbetsyteidentitet

  • Om du inte kan skapa en arbetsyteidentitet eftersom knappen för att skapa är inaktiverad kontrollerar du att du har rollen som arbetsyteadministratör.

  • Om du stöter på problem första gången du skapar en arbetsyteidentitet i klientorganisationen kan du prova följande steg:

    1. Om identitetstillståndet för arbetsytan misslyckas väntar du i en timme och tar sedan bort identiteten.
    2. När identiteten har tagits bort väntar du 5 minuter och skapar sedan identiteten igen.

Relaterat innehåll