Поделиться через

Проверка подлинности с помощью удостоверения рабочей области

  • Статья

Удостоверение рабочей области Fabric — это автоматически управляемый субъект-служба, который может быть связан с рабочей областью Fabric. Удостоверение рабочей области можно использовать в качестве метода проверки подлинности при подключении элементов Fabric в рабочей области к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Удостоверение рабочей области — это безопасный метод проверки подлинности, так как нет необходимости управлять ключами, секретами и сертификатами. При предоставлении удостоверения рабочей области с разрешениями на целевые ресурсы, такие как ADLS 2-го поколения, Fabric может использовать удостоверение для получения маркеров Microsoft Entra для доступа к ресурсу.

Доверенный доступ к учетным записям хранения и проверке подлинности с удостоверением рабочей области можно объединить вместе. Удостоверение рабочей области можно использовать в качестве метода проверки подлинности для доступа к учетным записям хранения, имеющим общедоступный доступ к выбранным виртуальным сетям и IP-адресам.

В этой статье описывается, как использовать удостоверение рабочей области для проверки подлинности при подключении сочетаний клавиш OneLake и конвейеров данных к источникам данных. Целевая аудитория — это инженеры данных и любой пользователь, заинтересованный в создании безопасного подключения между элементами Fabric и источниками данных.

Шаг 1. Создание удостоверения рабочей области

Вы должны быть администратором рабочей области, чтобы иметь возможность создавать удостоверения рабочей области и управлять ими.

  1. Перейдите в рабочую область и откройте параметры рабочей области.

  2. Перейдите на вкладку "Удостоверение рабочей области".

  3. Нажмите кнопку +Удостоверение рабочей области.

После создания удостоверения рабочей области на вкладке отображаются сведения об удостоверениях рабочей области и список авторизованных пользователей.

Удостоверение рабочей области можно создать и удалить администраторами рабочих областей. Удостоверение рабочей области имеет роль участника рабочей области в рабочей области. Администраторы, члены и участники рабочей области могут настроить удостоверение в качестве метода проверки подлинности в Azure Data Lake Storage (ADLS) 2-го поколения, которые используются в конвейерах данных и сочетаниях клавиш.

Дополнительные сведения см. в статье "Создание удостоверения рабочей области" и управление ими.

Шаг 2. Предоставление разрешений удостоверения учетной записи хранения

  1. Войдите в портал Azure и перейдите к учетной записи хранения, к которой вы хотите получить доступ из OneLake.

  2. Откройте вкладку управления доступом (IAM) на левой боковой панели и выберите назначения ролей.

  3. Нажмите кнопку "Добавить " и нажмите кнопку "Добавить назначение ролей".

  4. Выберите роль, которую вы хотите назначить удостоверению, например читатель данных BLOB-объектов хранилища или участник данных BLOB-объектов хранилища.

    Примечание.

    Роль должна быть предоставлена на уровне учетной записи хранения.

  5. Назначьте доступ для набора Пользователь, группа или субъект-служба.

  6. Выберите и выберите участников и выполните поиск по имени или идентификатору приложения удостоверения рабочей области. Выберите удостоверение, связанное с рабочей областью.

  7. Выберите "Проверить и назначить " и подождите завершения назначения роли.

Шаг 3. Создание элемента Fabric

Ярлык OneLake

Выполните действия, описанные в разделе "Создание ярлыка Azure Data Lake Storage 2-го поколения". Выберите удостоверение рабочей области в качестве метода проверки подлинности (поддерживается только для ADLS 2-го поколения).

Снимок экрана: удостоверение рабочей области в качестве параметра проверки подлинности.

Конвейеры данных с действиями копирования, поиска и getMetadata

Выполните действия, перечисленные в модуле 1. Создание конвейера с фабрикой данных для создания конвейера данных. Выберите удостоверение рабочей области в качестве метода проверки подлинности (поддерживается только для adLS 2-го поколения и для действий копирования, подстановки и getMetadata).

Примечание.

Пользователь, создающий ярлык с удостоверением рабочей области, должен иметь роль администратора, участника или участника в рабочей области. Пользователи, обращающиеся к ярлыкам, нуждаются только в разрешениях в lakehouse.

Рекомендации и ограничения

  • Удостоверение рабочей области можно создать в рабочих областях, связанных с любой емкостью (за исключением моих рабочих областей).

  • Удостоверение рабочей области можно использовать для проверки подлинности в любой емкости, поддерживающей сочетания клавиш OneLake и конвейеры данных.

  • Доверенный доступ к учетным записям хранения с поддержкой брандмауэра поддерживается в любой емкости F.

  • Вы можете создавать подключения ADLS 2-го поколения с проверкой подлинности на основе удостоверений рабочей области в интерфейсе управления шлюзами и подключениями.

  • Подключения с проверкой подлинности на основе удостоверений рабочей области можно использовать только в сочетаниях клавиш Onelake и конвейерах данных.

  • Проверка состояния подключения с удостоверением рабочей области, так как метод проверки подлинности не поддерживается.

Связанный контент