使用工作区标识进行身份验证

Fabric 工作区标识是可与 Fabric 工作区关联的自动托管服务主体。 将工作区中的 Fabric 项目连接到支持 Microsoft Entra 身份验证的资源时,可以使用工作区标识作为身份验证方法。 工作区标识是一种安全的身份验证方法,因为无需管理密钥、机密和证书。 向工作区标识授予对目标资源(例如 ADLS gen 2)的权限时,Fabric 可以使用该标识获取 Microsoft Entra 令牌以访问资源。

可以将对存储帐户的受信任访问和使用工作区标识的身份验证结合在一起。 可以使用工作区标识作为身份验证方法来访问将公共访问权限限制为选定虚拟网络和 IP 地址的存储帐户。

本文介绍如何在将 OneLake 快捷方式和数据管道连接到数据源时使用工作区标识进行身份验证。 目标受众是数据工程师以及任何有兴趣在 Fabric 项目和数据源之间建立安全连接的人。

步骤 1:创建工作区标识

必须是工作区管理员才能创建和管理工作区标识。

  1. 导航到工作区并打开工作区设置。

  2. 选择“工作区标识”选项卡。

  3. 选择“+ 工作区标识”选项卡。

创建工作区标识后,该选项卡将显示工作区标识详细信息和授权用户列表。

工作区标识可由工作区管理员创建和删除。 工作区标识在工作区上具有工作区参与者角色。 工作区中的管理员、成员和参与者可以将标识配置为数据管道和快捷方式中使用的 Azure Data Lake Storage (ADLS) Gen2 连接中的身份验证方法。

有关详细信息,请参阅创建和管理工作区标识

步骤 2:授予对存储帐户的标识权限

  1. 登录 Azure 门户,导航到要从 OneLake 访问的存储帐户。

  2. 选择左侧边栏上的“访问控制 (IAM)”选项卡,然后选择“角色分配”。

  3. 选择“添加”按钮,然后选择“添加角色分配”。

  4. 选择要分配给标识的角色,例如存储 Blob 数据读者或存储 Blob 数据参与者

    注意

    必须在存储帐户级别提供角色。

  5. 选择“将访问权限分配给用户、组或服务主体”

  6. 选择“+ 选择成员”,然后按工作区标识的名称或应用 ID 进行搜索。 选择与工作区关联的标识。

  7. 选择“查看 + 分配”,然后等待角色分配完成。

步骤 3:创建 Fabric 项目

OneLake 快捷方式

按照创建 Azure Data Lake Storage Gen2 快捷方式中列出的步骤进行操作。 选择工作区标识作为身份验证方法(仅支持 ADLS Gen2)。

显示工作区标识作为身份验证选项的屏幕截图。

包含 Copy、Lookup 和 GetMetadata 活动的数据管道

按照模块 1 - 使用数据工厂创建管道中列出的步骤创建数据管道。 选择工作区标识作为身份验证方法(仅支持 ADLS Gen2 以及 Copy、Lookup 和 GetMetadata 活动)。

注意

使用工作区标识创建快捷方式的用户必须在工作区中拥有管理员、成员或贡献者角色。 访问快捷方式的用户只需要对湖屋的权限。

注意事项和限制

  • 可以在与任何容量关联的工作区(“我的工作区”除外)中创建工作区标识。

  • 工作区标识可用于支持 OneLake 快捷方式和数据管道的任何容量中的身份验证。

  • 任何 F 容量都支持对启用防火墙的存储帐户进行受信任的工作区访问。

  • 可以在管理网关和连接体验中使用基于工作区标识的身份验证创建 ADLS Gen 2 连接。

  • 采用工作区标识身份验证方法的连接只能在 Onelake 快捷方式和数据管道中使用。

  • 不支持检查以工作区标识作为身份验证方法的连接的状态。