Dela via

Autentisera med arbetsyteidentitet

  • Artikel

En fabric-arbetsyteidentitet är ett automatiskt hanterat huvudnamn för tjänsten som kan associeras med en infrastrukturresursarbetsyta. Du kan använda arbetsytans identitet som autentiseringsmetod när du ansluter Infrastrukturobjekt på arbetsytan till resurser som stöder Microsoft Entra-autentisering. Arbetsyteidentitet är en säker autentiseringsmetod eftersom det inte finns något behov av att hantera nycklar, hemligheter och certifikat. När du beviljar arbetsyteidentiteten behörigheter för målresurser, till exempel ADLS gen 2, kan Fabric använda identiteten för att hämta Microsoft Entra-token för att få åtkomst till resursen.

Betrodd åtkomst till lagringskonton och autentisering med arbetsyteidentitet kan kombineras. Du kan använda arbetsytans identitet som autentiseringsmetod för att komma åt lagringskonton som har offentlig åtkomst begränsad till valda virtuella nätverk och IP-adresser.

Den här artikeln beskriver hur du använder arbetsyteidentiteten för att autentisera när du ansluter OneLake-genvägar och datapipelines till datakällor. Målgruppen är datatekniker och alla som är intresserade av att upprätta en säker anslutning mellan infrastrukturobjekt och datakällor.

Steg 1: Skapa arbetsytans identitet

Du måste vara administratör för arbetsytan för att kunna skapa och hantera en arbetsyteidentitet.

  1. Gå till arbetsytan och öppna inställningarna för arbetsytan.

  2. Välj fliken Arbetsytas identitet .

  3. Välj knappen + Identitet för arbetsyta.

När arbetsytans identitet har skapats visar fliken information om arbetsytans identitet och listan över behöriga användare.

Arbetsyteidentitet kan skapas och tas bort av arbetsyteadministratörer. Arbetsytans identitet har rollen som arbetsytedeltagare på arbetsytan. Administratörer, medlemmar och deltagare på arbetsytan kan konfigurera identiteten som autentiseringsmetod i Azure Data Lake Storage (ADLS) Gen2-anslutningar som används i datapipelines och genvägar.

Mer information finns i Skapa och hantera en arbetsyteidentitet.

Steg 2: Bevilja identitetsbehörigheter för lagringskontot

  1. Logga in på Azure Portal och gå till det lagringskonto som du vill komma åt från OneLake.

  2. Välj fliken Åtkomstkontroll (IAM) i det vänstra sidofältet och välj Rolltilldelningar.

  3. Välj knappen Lägg till och välj Lägg till rolltilldelning.

  4. Välj den roll som du vill tilldela identiteten, till exempel Storage Blob Data Reader eller Storage Blob Data Contributor.

    Kommentar

    Rollen måste anges på lagringskontonivå.

  5. Välj Tilldela åtkomst till användaren, gruppen eller tjänstens huvudnamn.

  6. Välj + Välj medlemmar och sök efter namn eller app-ID för arbetsytans identitet. Välj den identitet som är associerad med din arbetsyta.

  7. Välj Granska + tilldela och vänta tills rolltilldelningen har slutförts.

Steg 3: Skapa fabric-objektet

OneLake-genväg

Följ stegen i Skapa en Genväg till Azure Data Lake Storage Gen2. Välj arbetsyteidentitet som autentiseringsmetod (stöds endast för ADLS Gen2).

Skärmbild som visar arbetsytans identitet som ett autentiseringsalternativ.

Datapipelines med aktiviteterna Kopiera, Uppslag och GetMetadata

Följ stegen i modul 1 – Skapa en pipeline med Data Factory för att skapa datapipelinen. Välj arbetsyteidentitet som autentiseringsmetod (stöds endast för ADLS Gen2 och för aktiviteterna Kopiera, Sökning och GetMetadata).

Kommentar

Användaren som skapar genvägen med arbetsytans identitet måste ha en administratörs-, medlems- eller deltagarroll i arbetsytan. Användare som kommer åt genvägarna behöver bara behörigheter på lakehouse.

Beaktanden och begränsningar

  • Arbetsyteidentitet kan skapas på arbetsytor som är associerade med valfri kapacitet (förutom mina arbetsytor).

  • Arbetsyteidentitet kan användas för autentisering i valfri kapacitet som stöder OneLake-genvägar och datapipelines.

  • Åtkomst till betrodda arbetsytor till brandväggsaktiverade lagringskonton stöds i alla F-kapaciteter.

  • Du kan skapa ADLS Gen 2-anslutningar med arbetsyteidentitetsbaserad autentisering i hantera gatewayer och anslutningar.

  • Anslutningar med arbetsyteidentitetsautentisering kan endast användas i Onelake-genvägar och datapipelines.

  • Det går inte att kontrollera statusen för en anslutning som har en arbetsyteidentitet eftersom autentiseringsmetoden inte stöds.

Relaterat innehåll