Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Identita pracovního prostoru Fabric je automaticky spravovaný služební hlavní objekt, který lze přidružit k pracovnímu prostoru Fabric. Pracovní prostory infrastruktury s identitou pracovního prostoru můžou bezpečně číst nebo zapisovat do účtů Azure Data Lake Storage Gen2 s podporou brány firewall prostřednictvím důvěryhodného přístupu k pracovnímu prostoru pro zkratky OneLake. Položky sítě můžou používat identitu při připojování k prostředkům, které podporují ověřování Microsoft Entra. Služba Fabric používá identity pracovních prostorů pro získání tokenů Microsoft Entra, aniž by zákazník musel spravovat jakákoli pověření.
Identity pracovního prostoru lze vytvořit v nastavení libovolného pracovního prostoru kromě Moje pracovní prostory.
Při vytváření identity pracovního prostoru vytvoří Fabric hlavní službu v Microsoft Entra ID, která představuje tuto identitu. Vytvoří se také doprovodná registrace aplikace. Prostředky infrastruktury automaticky spravují přihlašovací údaje přidružené k identitám pracovního prostoru, čímž brání únikům přihlašovacích údajů a výpadkům kvůli nesprávnému zpracování přihlašovacích údajů.
Poznámka:
Identita prostoru Fabric je obecně dostupná. Identitu pracovního prostoru můžete vytvořit v jakémkoli pracovním prostoru kromě pracovního prostoru.
Zatímco identity pracovních prostorů Fabric sdílejí určité podobnosti se spravovanými identitami Azure, jejich životní cyklus, správa a řízení se liší. Identita pracovního prostoru má nezávislý životní cyklus, který je spravován výhradně ve Fabricu. Pracovní prostor Fabric může být volitelně spojen s identitou. Po odstranění pracovního prostoru se identita odstraní. Název identity pracovního prostoru je vždy stejný jako název pracovního prostoru, ke kterým je přidružený.
Vytvoření a správa identity pracovního prostoru
Abyste mohli vytvořit a spravovat identitu pracovního prostoru, musíte být správcem pracovního prostoru. Pracovní prostor, pro který vytváříte identitu, nemůže být můj pracovní prostor.
- Přihlaste se k portálu Microsoft Fabric.
- Vyberte Pracovní prostory a pak vyberte pracovní prostor, pro který chcete vytvořit identitu pracovního prostoru.
- V pracovním prostoru vyberte ikonu Nastavení pracovního prostoru (ozubené kolo).
- Vyberte kartu Identita pracovního prostoru.
- Vyberte tlačítko + Identita pracovního prostoru.
Po vytvoření identity pracovního prostoru se na kartě zobrazí podrobnosti o identitě pracovního prostoru a seznam autorizovaných uživatelů.
Oddíly konfigurace identity pracovního prostoru jsou popsané v následujících částech.
Podrobnosti o identitě
| Podrobnost | Popis |
|---|---|
| Jméno | Název identity pracovního prostoru Název identity pracovního prostoru je stejný jako název pracovního prostoru. |
| ID | Identifikátor GUID identity pracovního prostoru. Jedná se o jedinečný identifikátor identity. |
| Úloha | Role pracovního prostoru přiřazená identitě. |
| Kraj | Stav pracovního prostoru. Možné hodnoty: Aktivní, Neaktivní, Odstranění, Nepoužitelné, Selhání, Odstranění Selhalo |
Oprávnění uživatelé
Informace najdete v tématu Řízení přístupu.
Smazat identitu pracovního prostoru
Pokud je identita odstraněna, součásti systému, které spoléhají na identitu pracovního prostoru pro důvěryhodný přístup nebo ověřování, přestanou fungovat. Odstraněné identity pracovního prostoru nelze obnovit.
Poznámka:
Když se pracovní prostor odstraní, odstraní se i jeho identita pracovního prostoru. Pokud se pracovní prostor po odstranění obnoví, identita pracovního prostoru se neobnoví. Pokud chcete, aby obnovený pracovní prostor měl identitu pracovního prostoru, musíte vytvořit novou.
Jak používat identitu pracovního prostoru
Identitu pracovního prostoru je aktuálně možné použít dvěma způsoby:
Ověřování: Informace o tom, jak se tato identita zobrazuje jako možnost ověřování při připojování zkratek OneLake, kanálů, sémantických modelů a toků dat Gen2 (CI/CD) ke zdrojům dat, najdete v tématu Ověřování pomocí identity pracovního prostoru.
Pro přístup k důvěryhodnému pracovnímu prostoru: Klávesové zkratky v pracovním prostoru, který má identitu pracovního prostoru, lze použít pro přístup k důvěryhodným službám. Další informace najdete v tématu Důvěryhodný přístup k pracovnímu prostoru.
Zabezpečení, správa a zásady správného řízení identity pracovního prostoru
Následující části popisují, kdo může používat identitu pracovního prostoru a jak ji můžete monitorovat v Microsoft Purview a Azure.
Řízení přístupu
Identitu pracovního prostoru můžou vytvářet a odstraňovat správci pracovního prostoru. Ve výchozím nastavení nemá identita pracovního prostoru přiřazenou žádnou roli.
Varování
Identita pracovního prostoru je automaticky spravovaný instanční objekt vytvořený uživateli Fabric. Přístup k této identitě by měl být pečlivě spravován a monitorován, protože kdokoli, kdo k identitě získá přístup, ji může přijmout.
Identita pracovního prostoru je podporována k ověřování cílových prostředků při připojení. Identitu pracovního prostoru mohou pro autentizaci v připojeních konfigurovat pouze uživatelé s rolí správce, člena nebo přispěvatele.
Správci aplikací nebo uživatelé s vyššími rolemi můžou zobrazovat, upravovat a odstraňovat instanční objekt a registraci aplikace přidružené k identitě pracovního prostoru v Azure.
Varování
Úprava nebo odstranění objektu služby nebo registrace aplikace v Azure se nedoporučuje, protože položky Fabricu, které spoléhají na identitu pracovního prostoru, přestanou správně fungovat. Tyto změny se můžou vrátit zpět. Kromě toho při správě rolí správce aplikací dodržujte princip nejnižších oprávnění. Zajistěte, aby tuto roli měli přiřazenou pouze vhodní uživatelé. Další podrobnosti najdete v tématu Správci aplikací.
Spravujte identitu pracovního prostoru ve Fabric
Správci Fabricu můžou spravovat identity pracovního prostoru vytvořené v rámci svého nájemce na kartě Fabric identities v administračním portálu.
- Na portálu pro správu přejděte na kartu Identity fabric .
- Vyberte identitu pracovního prostoru a pak vyberte Podrobnosti.
- Na kartě Podrobnosti můžete zobrazit další informace související s identitou pracovního prostoru.
- Můžete také odstranit identitu pracovního prostoru.
Poznámka:
Identity pracovního prostoru nelze po odstranění obnovit. Nezapomeňte zkontrolovat důsledky odstranění identity pracovního prostoru popsané v tématu Odstranění identity pracovního prostoru.
Správa identity pracovního prostoru v Purview
Události auditu vygenerované při vytváření a odstraňování identity pracovního prostoru můžete zobrazit v protokolu auditování Purview. Přístup k protokolu
- Přejděte do centra Microsoft Purview.
- Vyberte dlaždici Audit .
- Ve formuláři vyhledávání auditu, který se zobrazí, použijte pole Aktivity – přívětivé názvy k vyhledání fabric identity pro nalezení aktivit souvisejících s identitami pracovního prostoru. V současné době jsou následující aktivity související s identitami pracovního prostoru:
- Vytvořena identita pro Fabric pracovního prostoru
- Načtení identity fabric pro pracovní prostor
- Smazaná identita infrastruktury pro pracovní prostor
- Načten token fabric identity pro pracovní prostor
Správa identity pracovního prostoru v Azure
Aplikaci přidruženou k identitě pracovního prostoru je možné zobrazit v podnikových aplikacích i v Registrace aplikací na webu Azure Portal.
Podnikové aplikace
Aplikace přidružená k identitě pracovního prostoru se dá zobrazit v podnikových aplikacích na webu Azure Portal. Vlastníkem konfigurace je aplikace Fabric Identity Management.
Varování
Změny aplikace provedené zde způsobí, že identita pracovního prostoru přestane fungovat a tyto změny se můžou vrátit zpět. Kromě toho při správě rolí správce aplikací dodržujte princip nejnižších oprávnění. Zajistěte, aby tuto roli měli přiřazenou pouze vhodní uživatelé. Další podrobnosti najdete v tématu Správci aplikací.
Zobrazení protokolů auditu a protokolů přihlašování pro tuto identitu:
- Přihlaste se k portálu Azure.
- Přejděte do > Microsoft Entra ID.
- Podle potřeby vyberte protokoly auditu nebo protokoly přihlášení.
Registrace aplikací
Aplikace přidružená k identitě pracovního prostoru se dá zobrazit v části Registrace aplikací na webu Azure Portal. Tam by neměly být provedeny žádné změny, protože to způsobí, že identita pracovního prostoru přestane fungovat.
Pokročilé scénáře
Následující části popisují scénáře týkající se identit pracovních prostorů, ke kterým může dojít.
Odstranění identity
Identitu pracovního prostoru je možné odstranit v nastavení pracovního prostoru. Pokud je identita odstraněna, součásti systému, které spoléhají na identitu pracovního prostoru pro důvěryhodný přístup nebo ověřování, přestanou fungovat. Odstraněné identity pracovního prostoru nelze obnovit.
Když se pracovní prostor odstraní, odstraní se i jeho identita pracovního prostoru. Pokud se pracovní prostor po odstranění obnoví, identita pracovního prostoru se neobnoví . Pokud chcete, aby obnovený pracovní prostor měl identitu pracovního prostoru, musíte vytvořit novou.
Přejmenování pracovního prostoru
Když se pracovní prostor přejmenuje, identita pracovního prostoru se také přejmenuje tak, aby odpovídala názvu pracovního prostoru. Aplikace Microsoft Entra a instanční objekt však zůstávají stejné. Všimněte si, že v tenantovi může existovat více objektů registrace aplikací a aplikací se stejným názvem.
Úvahy a omezení
Identitu pracovního prostoru lze vytvořit v libovolném pracovním prostoru s výjimkou mého pracovního prostoru.
Pokud se pracovní prostor s identitou pracovního prostoru migruje do kapacity, která není součástí Fabric, nebo do kapacity Fabric SKU, která není typu F, tato identita nebude deaktivována ani odstraněna, ale položky ve Fabric spoléhající na důvěryhodný přístup do pracovního prostoru přestanou fungovat.
Ve výchozím nastavení je možné v tenantovi vytvořit 10 000 identit pracovního prostoru. Můžete také zadat vlastní maximum v nastavení tenanta, což se stane horním limitem pro vytváření identit Fabric v rámci vašeho tenanta. Další informace najdete v tématu Definování maximálního počtu identit Fabric v rámci tenantů.
Zkratky Azure Data Lake Storage Gen2 v pracovním prostoru, který má identitu pracovního prostoru, budou schopné důvěryhodného přístupu služeb.
Řešení potíží s vytvořením identity pracovního prostoru
Pokud nemůžete vytvořit identitu pracovního prostoru, protože tlačítko pro vytvoření je zakázané, ujistěte se, že máte roli správce pracovního prostoru.
Pokud při prvním vytvoření identity pracovního prostoru ve vašem tenantovi narazíte na problémy, vyzkoušejte následující kroky:
- Pokud je stav identity pracovního prostoru v neúspěšném stavu, počkejte hodinu a poté identitu odstraňte.
- Po odstranění identity počkejte 5 minut a pak znovu vytvořte identitu.