Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор рабочей области Fabric — это автоматически управляемая учетная запись службы, которую можно связать с рабочей областью Fabric. Удостоверение рабочей области можно использовать в качестве метода аутентификации при подключении элементов Fabric в рабочей области к ресурсам, поддерживающим аутентификацию Microsoft Entra. Удостоверение рабочей области — это безопасный метод проверки подлинности, так как нет необходимости управлять ключами, секретами и сертификатами. При предоставлении рабочей области идентификатора с правами на целевые ресурсы, такие как ADLS второго поколения, Fabric может использовать этот идентификатор для получения токенов Microsoft Entra для доступа к ресурсам.
Доверенный доступ к учетным записям хранения и аутентификация с помощью удостоверения рабочего пространства можно объединить. Удостоверение рабочей области можно использовать в качестве метода проверки подлинности для доступа к учетным записям хранения, имеющим общедоступный доступ к выбранным виртуальным сетям и IP-адресам.
В этой статье описывается, как использовать идентификатор рабочей области для проверки подлинности при подключении ярлыков OneLake, конвейеров, семантических моделей и потоков данных 2-го поколения (CI/CD) к источникам данных. Целевая аудитория — это инженеры данных и любой пользователь, заинтересованный в создании безопасного подключения между элементами Fabric и источниками данных.
Поддерживаемые источники данных
Для получения актуальной информации о соединителях Fabric с поддержкой проверки подлинности удостоверений рабочей области обратитесь к Обзору соединителя Fabric. Вы также можете создать новое подключение в Управлении подключениями и шлюзами, где можно просмотреть поддерживаемые типы подключений.
Проверка подлинности с помощью удостоверения рабочей области
В приведенном ниже примере показано, как включить проверку подлинности удостоверения рабочей области с помощью Azure Data Lake Storage 2-го поколения. Действия для других источников данных, таких как SQL Server, BLOB-хранилища Azure, Службы анализа Azure, будут аналогичны.
Шаг 1. Создание идентификатора рабочей области
Вы должны быть администратором рабочей области, чтобы создавать и управлять идентификатором рабочей области. Опция аутентификации идентификатора рабочей области отображается в интерфейсе подключения и графическом интерфейсе сочетаний клавиш только после создания идентификатора рабочей области. Дополнительные сведения см. в разделе «Удостоверение рабочей области».
Перейдите в рабочую область и откройте параметры рабочей области.
Выберите вкладку Идентификация рабочей области.
Нажмите кнопку + Идентификатор рабочей области.
После создания идентичности рабочей области на вкладке отображаются сведения об идентичности рабочей области и список авторизованных пользователей.
Удостоверение рабочей области можно создать и удалить администраторами рабочих областей. Администраторы, члены и участники рабочей области могут настроить удостоверение в качестве метода проверки подлинности в соединениях, используемых в сочетаниях клавиш OneLake, конвейерах, семантических моделях и потоках данных 2-го поколения.
Для получения дополнительной информации см. "Создание и управление удостоверением рабочей области".
Шаг 2: Предоставление разрешений для идентификатора на учетной записи хранения
Войдите в портал Azure и перейдите к учетной записи хранения, к которой вы хотите получить доступ из OneLake.
Откройте вкладку управления доступом (IAM) на левой боковой панели и выберите назначения ролей.
Нажмите кнопку "Добавить " и нажмите кнопку "Добавить назначение ролей".
Выберите роль, которую вы хотите назначить удостоверению, например читатель данных хранилища BLOB или вкладчик данных хранилища BLOB.
Примечание.
Роль должна быть предоставлена на уровне учетной записи хранения.
Назначьте доступ для Пользователя, группы или сервисного принципала.
Выберите + Добавить участников и выполните поиск по имени или идентификатору приложения, связанному с удостоверением рабочей области. Выберите учетную запись, связанную с рабочей областью.
Выберите "Проверить и назначить " и подождите завершения назначения роли.
Шаг 3. Создание элемента Fabric
Ярлык OneLake
Выполните действия, описанные в разделе "Создание ярлыка Azure Data Lake Storage Gen2". Выберите идентификацию рабочей области в качестве метода проверки подлинности (поддерживается только для ярлыков ADLS Gen2).
Конвейеры с действиями Copy, Lookup и GetMetadata
Чтобы создать конвейер, выполните действия, перечисленные в модуле 1. Создание конвейера с фабрикой данных. Выберите идентификацию рабочей области в качестве метода проверки подлинности (поддерживается для действий Copy, Lookup и GetMetadata).
Примечание.
Пользователь, создающий ярлык с идентификатором рабочей области, должен иметь роль администратора, члена или участника рабочей области. Пользователи, получающие доступ к ярлыкам, нуждаются только в разрешениях на lakehouse.
Отчеты и семантические модели
Вы можете использовать семантическую модель (режим импорта) с аутентификацией с использованием удостоверения рабочей области и создавать модели и отчеты.
Создайте семантику модели в Power BI Desktop, которая подключается к учетной записи хранения ADLS 2-го поколения, выполнив действия, перечисленные в статье "Анализ данных в Azure Data Lake Storage 2-го поколения" с помощью Power BI. Для подключения к Azure Data Lake Storage 2-го поколения в приложении Desktop можно использовать учетную запись организации.
Импортируйте модель в рабочую область, настроенную с идентификацией рабочей области.
Перейдите к параметрам модели и разверните раздел шлюза и облачных подключений.
В разделе облачных подключений выберите подключение к данным, настроенное с помощью метода проверки подлинности удостоверения рабочей области и требуемой учетной записи хранения ADLS 2-го поколения. Это подключение можно создать в интерфейсе "Управление подключениями и шлюзами " или использовать предварительное подключение, созданное с помощью ярлыка или создания конвейера.
Нажмите кнопку "Применить ", а затем обновите модель, чтобы завершить настройку.
Примечание.
Если обновление завершается ошибкой, проверьте разрешения для учетной записи рабочей области на учетной записи хранения и убедитесь в правильности сетевых настроек учетной записи хранения.
Потоки данных 2-го поколения
Фабрика данных в Microsoft Fabric использует соединители Power Query для подключения потока данных 2-го поколения к Azure Data Lake Storage 2-го поколения. Чтобы подключиться к Azure Data Lake Storage Gen2 в Dataflow Gen2:
- Создание потока данных 2-го поколения в Fabric
- Выполните действия, перечисленные в разделе "Подключение к ADLS 2-го поколения" из Power Query Online
- Выберите Идентификатор рабочей области в качестве метода проверки подлинности
Примечание.
Удостоверение рабочей области поддерживается только для потоков данных 2-го поколения с конвейерами развертывания и общедоступным API.
Рекомендации и ограничения
Идентификатор рабочей области можно создать в рабочих областях, связанных с любой емкостью (за исключением Моих рабочих областей).
Удостоверение рабочей области можно использовать для проверки подлинности в любом контексте, который поддерживает ярлыки OneLake, конвейеры, семантические модели или потоки данных второго поколения.
Доверенный доступ к учетным записям хранилища с включенной функцией брандмауэра поддерживается в любой емкости F.
Вы можете создавать подключения с проверкой подлинности на основе удостоверений рабочей области в интерфейсе управления шлюзами и подключениями для облачного подключения.
Проверка подлинности на основе удостоверения личности рабочей области в настоящее время не поддерживается для подключений шлюза.
Если вы повторно используете подключения, настроенные с помощью метода проверки подлинности удостоверения рабочей области в элементах Fabric, отличных от сочетаний клавиш OneLake, конвейеров, семантических моделей или потоков данных 2-го поколения или других рабочих областей, они могут не работать.
Подключения с аутентификацией на основе удостоверения рабочей области можно использовать только в ярлыках OneLake, конвейерах, семантических моделях или потоках данных 2-го поколения.
Если вы создаете подключение в интерфейсе "Управление шлюзами и подключениями ", может появиться баннер о том, что тип проверки подлинности удостоверения рабочей области поддерживается только в конвейерах и сочетаниях клавиш OneLake. Это известная проблема, которая будет устранена с последующими выпусками.
Проверка состояния подключения, использующего удостоверение рабочей области как метод аутентификации, не поддерживается.
Если у вашей организации есть политика условного доступа Microsoft Entra для идентификаторов рабочих нагрузок, включающая все служебные субъекты, то удостоверения рабочих областей Fabric должны быть исключены из этой политики. В противном случае, идентификаторы рабочей области не будут работать.
Идентификатор рабочего пространства несовместим с межарендаторскими запросами.