Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификация рабочего пространства Fabric — это автоматически управляемый служебный принципал, который может быть связан с рабочим пространством Fabric. Рабочие области Fabric с идентификатором рабочей области могут безопасно считывать или записывать данные в учетные записи с подключением брандмауэра Azure Data Lake Storage второго поколения через доверенный доступ к рабочей области для ярлыков OneLake. Элементы Fabric могут использовать удостоверение при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Fabric использует удостоверения рабочей области для получения токенов Microsoft Entra без управления учетными данными.
Идентификаторы рабочей области можно создать в настройках любой рабочей области, кроме "Мои рабочие области".
При создании удостоверения рабочей области Fabric создает учетную запись службы в Microsoft Entra ID, чтобы представлять это удостоверение. Также создается сопутствующая регистрация приложения. Структура автоматически управляет учетными данными, связанными с удостоверениями рабочей области, тем самым предотвращая утечку учетных данных и время простоя из-за неправильной обработки учетных данных.
Примечание.
Общедоступная идентификация рабочей области Fabric. Идентификацию рабочей области можно создать в любой рабочей области, кроме My workspace.
Хотя удостоверения рабочих областей Fabric имеют некоторые сходства с управляемыми удостоверениями Azure, их жизненный цикл, администрирование и управление отличаются. Идентификатор рабочей области имеет независимый жизненный цикл, полностью управляемый в системе Fabric. При необходимости рабочая область Fabric может быть связана с учетной записью. При удалении рабочей области идентификатор удаляется. Имя удостоверения рабочей области всегда совпадает с именем связанной рабочей области.
Создание удостоверения рабочей области и управление им
Вы должны быть администратором рабочей области, чтобы иметь возможность создавать идентификаторы рабочей области и управлять ими. Рабочая область, для которую вы создаете удостоверение, не может быть моей рабочей областью.
- Войдите на портал Microsoft Fabric .
- Выберите рабочие области и выберите рабочую область, для которой нужно создать удостоверение рабочей области.
- В рабочей области щелкните на иконку настроек рабочей области (шестеренку).
- Перейдите на вкладку "Идентификация рабочей области".
- Нажмите кнопку + Идентификатор рабочей области.
После создания идентификатора рабочей области на вкладке отображаются сведения об идентификаторе рабочей области и список авторизованных пользователей.
Разделы конфигурации идентификации рабочей области описаны в следующих разделах.
Сведения об удостоверениях
| Подробности | Описание |
|---|---|
| Имя | Имя идентификатора рабочей области. Название идентификатора рабочей области совпадает с названием рабочей области. |
| ИД | ИД рабочей области в формате GUID. Это уникальный идентификатор личности. |
| Роль | Роль рабочей области, назначенная удостоверению. |
| Штат | Состояние рабочей области. Возможные значения: активные, неактивные, удаление, неиспользуемые, сбой, DeleteFailed |
Авторизованные пользователи
Дополнительные сведения см. в разделе "Управление доступом".
Удалить удостоверение рабочей области
При удалении удостоверения элементы Fabric, зависящие от удостоверения рабочей области для доступа к доверенной рабочей области или аутентификации, перестанут функционировать. Удаленные идентификаторы рабочей области не могут быть восстановлены.
Примечание.
При удалении рабочей области её идентификатор также удаляется. Если рабочая область восстанавливается после удаления, удостоверение рабочей области не восстанавливается. Если вы хотите, чтобы восстановленная рабочая область имела идентичность рабочей области, необходимо создать новую.
Как использовать удостоверение рабочей области
В настоящее время удостоверение рабочей области можно использовать двумя способами:
Проверка подлинности. См . проверку подлинности с помощью удостоверения рабочей области
Для доступа к доверенной рабочей области: ярлыки в рабочей области с удостоверением рабочей области можно использовать для доступа к доверенным службам. Дополнительные сведения см. в статье о доступе к доверенной рабочей области.
Безопасность, администрирование и управление удостоверениями рабочей области
В следующих разделах описывается, кто может использовать удостоверение рабочей области и как его можно отслеживать в Microsoft Purview и Azure.
Управление доступом
Удостоверение рабочей области можно создать и удалить администраторами рабочих областей. По умолчанию удостоверение рабочей области не предоставляется ни одной роли рабочей области.
Предупреждение
Удостоверение рабочей области — это автоматически управляемый служебный принципал, созданный пользователями Fabric. Доступ к этому идентификатору следует тщательно управлять и отслеживать, так как любое лицо, которому предоставлен доступ к идентификатору, может его использовать.
Идентификация рабочей области поддерживается для аутентификации доступа к целевым ресурсам в подключениях. Только пользователи с ролью администратора, члена или участника в рабочей области могут настроить удостоверение рабочей области для проверки подлинности в подключениях.
Администраторы приложений или пользователи с более высокими ролями могут просматривать, изменять и удалять субъект-службу и регистрацию приложения, связанные с удостоверением рабочей области в Azure.
Предупреждение
Изменение или удаление субъекта-службы или регистрации приложения в Azure не рекомендуется, так как элементы Fabric, использующие удостоверение рабочей области, перестают работать. Такие изменения могут быть отменены. Кроме того, соблюдайте принцип наименьшей привилегии при управлении ролями администратора приложений. Убедитесь, что этому роли назначены только соответствующие пользователи. Дополнительные сведения см. в разделе "Администраторы приложений"
Администрирование идентификации рабочей области в Fabric
Администраторы Структуры могут администрировать удостоверения рабочей области, созданные в клиенте на вкладке удостоверений Fabric на портале администрирования.
- Перейдите на вкладку Fabric удостоверений в портале администрирования.
- Выберите удостоверение рабочей области и нажмите кнопку "Сведения".
- На вкладке "Сведения" можно просмотреть дополнительные сведения, связанные с идентификацией рабочего пространства.
- Вы также можете удалить удостоверение рабочей области.
Примечание.
Удостоверения рабочей области нельзя восстановить после удаления. Обязательно просмотрите последствия удаления удостоверения рабочей области, описанные в разделе "Удаление удостоверения рабочей области".
Управление идентификатором рабочего пространства в Purview
События аудита, созданные при создании и удалении удостоверения рабочей области, можно просмотреть в журнале аудита Purview. Доступ к журналу
- Перейдите к центру Microsoft Purview.
- Выберите плитку "Аудит ".
- В появившейся форме поиска аудита используйте поле "Понятные имена действий" для поиска идентификатора среды, чтобы найти действия, связанные с идентификациями рабочих пространств. В настоящее время следующие действия, связанные с идентификациями рабочего пространства:
- Создание удостоверения Fabric для рабочей области
- Получено удостоверение Fabric для рабочей области
- Удалено удостоверение Fabric для рабочей области
- Токен идентификации Fabric для рабочей области получен
Администрирование удостоверения рабочей области в Azure
Приложение, связанное с удостоверением рабочей области, можно просмотреть как в корпоративных приложениях, так и в регистрациях приложений в портале Azure.
Корпоративные приложения
Приложение, связанное с удостоверением рабочей области, можно просмотреть в корпоративных приложениях в портале Azure. Приложение Управления удостоверениями Fabric является его владельцем конфигурации.
Предупреждение
Изменения в приложении, внесенные здесь, могут привести к тому, что индикатор рабочего пространства перестанет работать, и такие изменения могут быть отменены. Кроме того, соблюдайте принцип наименьшей привилегии при управлении ролями администратора приложений. Убедитесь, что этому роли назначены только соответствующие пользователи. Дополнительные сведения см. в разделе "Администраторы приложений"
Чтобы просмотреть журналы аудита и журналы входа для этого удостоверения:
- Войдите на портал Azure.
- Перейдите к > Microsoft Entra ID.
- Выберите журналы аудита или журналы входа, по вашему усмотрению.
Регистрации приложений
Приложение, связанное с удостоверением рабочей области, можно увидеть в разделе Регистрация приложений на портале Azure. Никаких изменений не следует вносить, так как это приведет к тому, что идентификатор рабочего пространства перестанет функционировать.
Расширенные сценарии
В следующих разделах описываются сценарии, связанные с идентификацией рабочей области, которые могут возникнуть.
Удаление идентичности
Идентификатор рабочей области можно удалить в параметрах рабочей области. При удалении удостоверения элементы Fabric, зависящие от удостоверения рабочей области для доступа к доверенной рабочей области или аутентификации, перестанут функционировать. Удаленные идентификаторы рабочей области не могут быть восстановлены.
При удалении рабочей области её идентификатор также удаляется. Если рабочая область восстанавливается после удаления, идентификатор рабочей области не восстанавливается. Если вы хотите, чтобы восстановленная рабочая область имела идентичность рабочей области, необходимо создать новую.
Переименование рабочей области
При переименовании рабочей области идентификатор рабочей области также переименовывается, чтобы соответствовать новому имени рабочей области. Однако его приложение Microsoft Entra и основной объект службы остаются неизменными. Обратите внимание, что в клиенте может быть несколько объектов регистрации приложений и приложений с одинаковым именем.
Рекомендации и ограничения
- Удостоверение рабочей области можно создать в любой рабочей области, кроме My Workspace.
- Если рабочая область с удостоверением рабочей области переносится на емкость, которая не относится к Fabric, или на емкость SKU Fabric, которая не является F, удостоверение не будет отключено или удалено, но элементы Fabric, зависящие от доверенного доступа к рабочей области, перестанут работать.
- В одном клиенте можно создать не более 1000 идентификаторов рабочей области. После достижения этого ограничения необходимо удалить учетные записи рабочей области, чтобы обеспечить создание новых.
- Azure Data Lake Storage 2-го поколения ярлыки в рабочей области с удостоверением рабочей области будут иметь возможность доступа к доверенным службам.
Устранение неполадок при создании идентификатора рабочей области
Если вы не можете создать идентификатор рабочего пространства, поскольку кнопка создания отключена, убедитесь, что у вас есть роль администратора рабочей области.
Если при первоначальном создании идентификатора рабочей области в арендаторе возникают проблемы, попробуйте выполнить следующие шаги.
- Если состояние идентификатора рабочего пространства сбой, подождите час, а затем удалите идентификатор.
- После удаления удостоверения подождите 5 минут и снова создайте удостоверение.