Удостоверение рабочей области
Удостоверение рабочей области Fabric — это автоматически управляемый субъект-служба, который может быть связан с рабочей областью Fabric. Рабочие области Fabric с удостоверением рабочей области могут безопасно считывать или записывать в учетные записи с поддержкой брандмауэра Azure Data Lake Storage 2-го поколения с помощью надежного доступа к рабочей области для сочетаний клавиш OneLake. Элементы Fabric могут использовать удостоверение при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Fabric использует удостоверения рабочей области для получения маркеров Microsoft Entra без необходимости управлять учетными данными.
Удостоверения рабочей области можно создать в параметрах рабочей области любой рабочей области, кроме "Мои рабочие области". Удостоверение рабочей области автоматически назначается роли участника рабочей области и имеет доступ к элементам рабочей области.
При создании удостоверения рабочей области Fabric создает субъект-службу в идентификаторе Microsoft Entra для представления удостоверения. Также создается сопровождающая регистрация приложения. Структура автоматически управляет учетными данными, связанными с удостоверениями рабочей области, тем самым предотвращая утечку учетных данных и время простоя из-за неправильной обработки учетных данных.
Примечание.
Общедоступная идентификация рабочей области Fabric. Удостоверение рабочей области можно создать в любой рабочей области, кроме моей рабочей области.
Хотя удостоверения рабочей области Fabric используют некоторые сходства с управляемыми удостоверениями Azure, их жизненный цикл, администрирование и управление отличаются. Удостоверение рабочей области имеет независимый жизненный цикл, управляемый полностью в Fabric. При необходимости рабочая область Fabric может быть связана с удостоверением. При удалении рабочей области удостоверение удаляется. Имя удостоверения рабочей области всегда совпадает с именем связанной рабочей области.
Создание удостоверения рабочей области и управление ими
Вы должны быть администратором рабочей области, чтобы иметь возможность создавать удостоверения рабочей области и управлять ими. Рабочая область, для которую вы создаете удостоверение, не может быть моей рабочей областью.
- Перейдите в рабочую область и откройте параметры рабочей области.
- Перейдите на вкладку "Удостоверение рабочей области".
- Нажмите кнопку +Удостоверение рабочей области.
После создания удостоверения рабочей области на вкладке отображаются сведения об удостоверениях рабочей области и список авторизованных пользователей.
Разделы конфигурации удостоверения рабочей области описаны в следующих разделах.
Сведения об удостоверениях
| Подробности | Description |
|---|---|
| Имя | Имя удостоверения рабочей области. Имя удостоверения рабочей области совпадает с именем рабочей области. |
| ИД | GUID удостоверения рабочей области. Это уникальный идентификатор удостоверения. |
| Роль | Роль рабочей области, назначенная удостоверению. Удостоверения рабочей области автоматически назначают роль участника при создании. |
| Штат | Состояние рабочей области. Возможные значения: активные, неактивные, удаление, неиспользуемые, сбой, DeleteFailed |
Авторизованные пользователи
Дополнительные сведения см. в разделе "Управление доступом".
Удаление удостоверения рабочей области
При удалении удостоверения элементы Fabric, использующие удостоверение рабочей области для доступа к доверенной рабочей области или проверки подлинности, будут нарушены. Удаленные удостоверения рабочей области не могут быть восстановлены.
Примечание.
При удалении рабочей области ее удостоверение рабочей области также удаляется. Если рабочая область восстанавливается после удаления, удостоверение рабочей области не восстанавливается. Если вы хотите, чтобы восстановленная рабочая область была удостоверением рабочей области, необходимо создать новую.
Использование удостоверения рабочей области
В настоящее время удостоверение рабочей области можно использовать двумя способами:
Проверка подлинности. См . проверку подлинности с помощью удостоверения рабочей области
Для доступа к доверенной рабочей области: ярлыки в рабочей области с удостоверением рабочей области можно использовать для доступа к доверенным службам. Дополнительные сведения см. в статье о доступе к доверенной рабочей области.
Безопасность, администрирование и управление удостоверениями рабочей области
В следующих разделах описывается, кто может использовать удостоверение рабочей области и как его можно отслеживать в Microsoft Purview и Azure.
Управление доступом
Удостоверение рабочей области можно создать и удалить администраторами рабочих областей. Удостоверение рабочей области имеет роль участника рабочей области в рабочей области.
Удостоверение рабочей области поддерживается для проверки подлинности для целевых ресурсов в подключениях. Только пользователи с ролью администратора, члена или участника в рабочей области могут настроить удостоверение рабочей области для проверки подлинности в подключениях.
Администраторы приложений или пользователи с более высокими ролями могут просматривать, изменять и удалять субъект-службу и регистрацию приложения, связанные с удостоверением рабочей области в Azure.
Предупреждение
Изменение или удаление субъекта-службы или регистрации приложения в Azure не рекомендуется, так как элементы Fabric, использующие удостоверение рабочей области, перестают работать.
Администрирование удостоверения рабочей области в Fabric
Администраторы Структуры могут администрировать удостоверения рабочей области, созданные в клиенте на вкладке удостоверений Fabric на портале администрирования.
- Перейдите на вкладку удостоверений Fabric на портале администрирования.
- Выберите удостоверение рабочей области и нажмите кнопку "Сведения".
- На вкладке "Сведения" можно просмотреть дополнительные сведения, связанные с удостоверением рабочей области.
- Вы также можете удалить удостоверение рабочей области.
Примечание.
Удостоверения рабочей области нельзя восстановить после удаления. Обязательно просмотрите последствия удаления удостоверения рабочей области, описанного в разделе "Удаление удостоверения рабочей области".
Администрирование удостоверения рабочей области в Purview
События аудита, созданные при создании и удалении удостоверения рабочей области, можно просмотреть в журнале аудита Purview. Доступ к журналу
- Перейдите к центру Microsoft Purview.
- Выберите плитку "Аудит ".
- В появившемся формате поиска аудита используйте поле "Действия" — понятное поле имен для поиска удостоверения структуры, чтобы найти действия, связанные с удостоверениями рабочей области. В настоящее время следующие действия, связанные с удостоверениями рабочей области:
- Создание удостоверения Fabric для рабочей области
- Получение удостоверения Fabric для рабочей области
- Удалено удостоверение Fabric для рабочей области
- Получен маркер удостоверения Fabric для рабочей области
Администрирование удостоверения рабочей области в Azure
Приложение, связанное с удостоверением рабочей области, можно просмотреть как в корпоративных приложениях, так и в Регистрация приложений в портал Azure.
Корпоративные приложения
Приложение, связанное с удостоверением рабочей области, можно увидеть в корпоративных приложениях в портал Azure. Приложение Управления удостоверениями Fabric является его владельцем конфигурации.
Предупреждение
Изменения в приложении, внесенные здесь, приведут к остановке работы удостоверения рабочей области.
Чтобы просмотреть журналы аудита и журналы входа для этого удостоверения:
- Войдите на портал Azure.
- Перейдите к корпоративным приложениям Microsoft Entra ID>.
- Выберите журналы аудита или журналы входа, как нужно.
Регистрации приложений
Приложение, связанное с удостоверением рабочей области, можно увидеть в разделе Регистрация приложений в портал Azure. Никаких изменений не следует вносить, так как это приведет к остановке работы удостоверения рабочей области.
Расширенные сценарии
В следующих разделах описываются сценарии, связанные с удостоверениями рабочей области, которые могут возникнуть.
Удаление удостоверения
Удостоверение рабочей области можно удалить в параметрах рабочей области. При удалении удостоверения элементы Fabric, использующие удостоверение рабочей области для доступа к доверенной рабочей области или проверки подлинности, будут нарушены. Удаленные удостоверения рабочей области не могут быть восстановлены.
При удалении рабочей области ее удостоверение рабочей области также удаляется. Если рабочая область восстанавливается после удаления, удостоверение рабочей области не восстанавливается. Если вы хотите, чтобы восстановленная рабочая область была удостоверением рабочей области, необходимо создать новую.
Переименование рабочей области
При переименовании рабочей области удостоверение рабочей области также переименовывается в соответствии с именем рабочей области. Однако его приложение Microsoft Entra и субъект-служба остаются неизменными. Обратите внимание, что в клиенте может быть несколько объектов регистрации приложений и приложений с одинаковым именем.
Рекомендации и ограничения
- Удостоверение рабочей области можно создать в любой рабочей области, кроме моей рабочей области.
- Если рабочая область с удостоверением рабочей области переносится на емкость, не связанную с Fabric, или в емкость SKU Fabric, удостоверение не отключается или удаляется, но элементы Fabric, использующие доверенный доступ к рабочей области, перестают работать.
- В клиенте можно создать не более 1000 удостоверений рабочей области. После достижения этого ограничения необходимо удалить удостоверения рабочей области, чтобы включить создание новых удостоверений.
- Azure Data Lake Storage 2-го поколения ярлыки в рабочей области с удостоверением рабочей области будут иметь возможность доступа к доверенным службам.
Устранение неполадок при создании удостоверения рабочей области
Если вы не можете создать удостоверение рабочей области, так как кнопка создания отключена, убедитесь, что у вас есть роль администратора рабочей области.
Если при первом создании удостоверения рабочей области в клиенте возникают проблемы, выполните следующие действия.
- Если состояние удостоверения рабочей области не выполнено, дождитесь часа и удалите удостоверение.
- После удаления удостоверения подождите 5 минут и снова создайте удостоверение.