使用工作區身分識別進行驗證
Fabric 工作區身分識別是可與 Fabric 工作區相關聯的自動受控服務主體。 將工作區中的 Fabric 專案連接到支援Microsoft Entra 驗證的資源時,您可以使用工作區身分識別作為驗證方法。 工作區身分識別是安全的驗證方法,因為不需要管理密鑰、秘密和憑證。 當您將ADLS gen 2等目標資源許可權授與工作區身分識別時,Fabric 可以使用身分識別來取得Microsoft Entra 令牌來存取資源。
信任的記憶體帳戶存取權和工作區身分識別的驗證可以結合在一起。 您可以使用工作區身分識別作為驗證方法,來存取僅限於所選虛擬網路和IP位址的公用存取權的記憶體帳戶。
本文說明如何在將 OneLake 快捷方式和數據管線連接到數據源時,使用工作區身分識別進行驗證。 目標對像是數據工程師,以及任何有興趣在網狀架構專案與數據源之間建立安全連線的人。
步驟 1:建立工作區身分識別
您必須成為工作區管理員,才能建立和管理工作區身分識別。
瀏覽至工作區並開啟工作區設定。
選取 [工作區身分識別] 索引標籤。
選取 [+ 工作區身分識別] 按鈕。
建立工作區身分識別後,索引標籤會顯示工作區身分識別詳細資料和授權使用者清單。
工作區身分識別可由工作區系統管理員建立和刪除。 工作區身分識別具有工作區上的工作區參與者角色。 工作區中的系統管理員、成員和參與者可以將身分識別設定為 Azure Data Lake Storage (ADLS) Gen2 連線中用於數據管線和快捷方式的驗證方法。
如需詳細資訊,請參閱 建立和管理工作區身分識別。
步驟 2:授與記憶體帳戶的身分識別許可權
登入 Azure 入口網站,然後流覽至您想要從 OneLake 存取的記憶體帳戶。
選取左側提要欄位中的 [存取控制 (IAM)] 索引標籤,然後選取 [ 角色指派]。
選取 [ 新增 ] 按鈕,然後選取 [ 新增角色指派]。
選取您要指派給身分識別的角色,例如 記憶體 Blob 數據讀取器 或 記憶體 Blob 數據參與者。
注意
角色必須在記憶體帳戶層級提供。
針對 [存取權指派對象為],選取 [使用者、群組或服務主體]。
選取 [+ 選取成員],然後依工作區身分識別的名稱或應用程式識別碼搜尋。 選取與您的工作區相關聯的身分識別。
選取 [ 檢閱 + 指派 ],然後等候角色指派完成。
步驟 3:建立網狀架構專案
OneLake 快捷方式
遵循建立 Azure Data Lake Storage Gen2 快捷方式中列出的步驟。 選取工作區身分識別作為驗證方法(僅支援ADLS Gen2)。
具有複製、查閱和 GetMetadata 活動的數據管線
遵循課程模組 1 - 使用 Data Factory 建立管線中的步驟來建立數據管線。 選取工作區身分識別作為驗證方法(僅支援ADLS Gen2和複製、查閱和 GetMetadata 活動)。
注意
使用工作區身分識別建立快捷方式的用戶必須在工作區中擁有系統管理員、成員或參與者角色。 存取快捷方式的使用者只需要 Lakehouse 的許可權。
考量與限制
工作區身分識別可以在與任何容量相關聯的工作區中建立(除了 [我的工作區] 以外。
工作區身分識別可用於支援 OneLake 快捷方式和數據管線的任何容量中的驗證。
任何 F 容量都支援啟用防火牆的記憶體帳戶的受信任工作區存取權。
您可以在管理閘道和連線體驗中,建立具有工作區身分識別型驗證的ADLS Gen 2 連線。
工作區身分識別驗證的連線只能在 Onelake 快捷方式和數據管線中使用。
檢查具有工作區身分識別的連線狀態,因為不支持驗證方法。