Identita pracovního prostoru
Identita pracovního prostoru Infrastruktury je automaticky spravovaný instanční objekt, který je možné přidružit k pracovnímu prostoru Fabric. Pracovní prostory infrastruktury s identitou pracovního prostoru můžou bezpečně číst nebo zapisovat do účtů Azure Data Lake Storage Gen2 s podporou brány firewall prostřednictvím důvěryhodného přístupu k pracovnímu prostoru pro zástupce OneLake. Položky prostředků infrastruktury můžou používat identitu při připojování k prostředkům, které podporují ověřování Microsoft Entra. Prostředky infrastruktury používají identity pracovních prostorů k získání tokenů Microsoft Entra, aniž by zákazník musel spravovat jakékoli přihlašovací údaje.
Identity pracovního prostoru je možné vytvořit v nastavení pracovního prostoru libovolného pracovního prostoru kromě pracovních prostorů. Identitě pracovního prostoru se automaticky přiřadí role přispěvatele pracovního prostoru a má přístup k položkám pracovního prostoru.
Při vytváření identity pracovního prostoru vytvoří Fabric instanční objekt v Microsoft Entra ID představující identitu. Vytvoří se také doprovodná registrace aplikace. Prostředky infrastruktury automaticky spravují přihlašovací údaje přidružené k identitám pracovního prostoru, čímž brání únikům přihlašovacích údajů a výpadkům kvůli nesprávnému zpracování přihlašovacích údajů.
Poznámka:
Identita pracovního prostoru Infrastruktury je obecně dostupná. Identitu pracovního prostoru můžete vytvořit v jakémkoli pracovním prostoru kromě pracovního prostoru.
Zatímco identity pracovních prostorů Infrastruktury sdílejí určité podobnosti se spravovanými identitami Azure, jejich životní cyklus, správa a zásady správného řízení se liší. Identita pracovního prostoru má nezávislý životní cyklus, který se spravuje výhradně v prostředcích infrastruktury. Pracovní prostor Prostředků infrastruktury může být volitelně přidružený k identitě. Po odstranění pracovního prostoru se identita odstraní. Název identity pracovního prostoru je vždy stejný jako název pracovního prostoru, ke kterým je přidružený.
Vytvoření a správa identity pracovního prostoru
Abyste mohli vytvořit a spravovat identitu pracovního prostoru, musíte být správcem pracovního prostoru. Pracovní prostor, pro který vytváříte identitu, nemůže být můj pracovní prostor.
- Přejděte do pracovního prostoru a otevřete nastavení pracovního prostoru.
- Vyberte kartu Identita pracovního prostoru.
- Vyberte tlačítko + Identita pracovního prostoru.
Po vytvoření identity pracovního prostoru se na kartě zobrazí podrobnosti o identitě pracovního prostoru a seznam autorizovaných uživatelů.
Oddíly konfigurace identity pracovního prostoru jsou popsané v následujících částech.
Podrobnosti o identitě
| Detail | Popis |
|---|---|
| Jméno | Název identity pracovního prostoru Název identity pracovního prostoru je stejný jako název pracovního prostoru. |
| ID | Identifikátor GUID identity pracovního prostoru. Jedná se o jedinečný identifikátor identity. |
| Role | Role pracovního prostoru přiřazená identitě. Identitám pracovního prostoru se při vytváření automaticky přiřadí role přispěvatele. |
| Kraj | Stav pracovního prostoru. Možné hodnoty: Aktivní, Neaktivní, Odstranění, Nepoužitelné, Selhání, Odstranění Selhalo |
Oprávnění uživatelé
Informace najdete v tématu Řízení přístupu.
Odstranění identity pracovního prostoru
Po odstranění identity se položky infrastruktury, které spoléhají na identitu pracovního prostoru pro důvěryhodný přístup k pracovnímu prostoru nebo ověřování, přeruší. Odstraněné identity pracovního prostoru nelze obnovit.
Poznámka:
Když se pracovní prostor odstraní, odstraní se i jeho identita pracovního prostoru. Pokud se pracovní prostor po odstranění obnoví, identita pracovního prostoru se neobnoví. Pokud chcete, aby obnovený pracovní prostor měl identitu pracovního prostoru, musíte vytvořit novou.
Jak používat identitu pracovního prostoru
Identitu pracovního prostoru je aktuálně možné použít dvěma způsoby:
Ověřování: Viz ověřování pomocí identity pracovního prostoru.
Pro přístup k důvěryhodnému pracovnímu prostoru: Klávesové zkratky v pracovním prostoru, který má identitu pracovního prostoru, lze použít pro přístup k důvěryhodným službám. Další informace najdete v tématu Důvěryhodný přístup k pracovnímu prostoru.
Zabezpečení, správa a zásady správného řízení identity pracovního prostoru
Následující části popisují, kdo může používat identitu pracovního prostoru a jak ji můžete monitorovat v Microsoft Purview a Azure.
Řízení přístupu
Identitu pracovního prostoru můžou vytvářet a odstraňovat správci pracovního prostoru. Identita pracovního prostoru má v pracovním prostoru roli přispěvatele pracovního prostoru.
Identita pracovního prostoru se podporuje pro ověřování cílových prostředků v připojeních. Identitu pracovního prostoru můžou v připojeních nakonfigurovat jenom uživatelé s rolí správce, člena nebo přispěvatele.
Správci aplikací nebo uživatelé s vyššími rolemi můžou zobrazovat, upravovat a odstraňovat instanční objekt a registraci aplikace přidružené k identitě pracovního prostoru v Azure.
Upozorňující
Úprava nebo odstranění instančního objektu nebo registrace aplikace v Azure se nedoporučuje, protože položky infrastruktury, které spoléhají na identitu pracovního prostoru, přestanou fungovat.
Správa identity pracovního prostoru v prostředcích infrastruktury
Správci prostředků infrastruktury můžou spravovat identity pracovního prostoru vytvořené ve svém tenantovi na kartě Identity fabric na portálu pro správu.
- Na portálu pro správu přejděte na kartu Identity fabric .
- Vyberte identitu pracovního prostoru a pak vyberte Podrobnosti.
- Na kartě Podrobnosti můžete zobrazit další informace související s identitou pracovního prostoru.
- Můžete také odstranit identitu pracovního prostoru.
Poznámka:
Identity pracovního prostoru nelze po odstranění obnovit. Nezapomeňte zkontrolovat důsledky odstranění identity pracovního prostoru popsané v tématu Odstranění identity pracovního prostoru.
Správa identity pracovního prostoru v Purview
Události auditu vygenerované při vytváření a odstraňování identity pracovního prostoru můžete zobrazit v protokolu auditování Purview. Přístup k protokolu
- Přejděte do centra Microsoft Purview.
- Vyberte dlaždici Audit .
- Ve formuláři vyhledávání auditu, který se zobrazí, pomocí pole Aktivity – popisné názvy vyhledejte identitu prostředků infrastruktury a vyhledejte aktivity související s identitami pracovního prostoru. V současné době jsou následující aktivity související s identitami pracovního prostoru:
- Vytvoření identity infrastruktury pro pracovní prostor
- Načtení identity prostředků infrastruktury pro pracovní prostor
- Odstraněná identita prostředků infrastruktury pro pracovní prostor
- Načtení tokenu identity prostředků infrastruktury pro pracovní prostor
Správa identity pracovního prostoru v Azure
Aplikaci přidruženou k identitě pracovního prostoru je možné zobrazit v podnikových aplikacích i v Registrace aplikací na webu Azure Portal.
Podnikové aplikace
Aplikace přidružená k identitě pracovního prostoru se dá zobrazit v podnikových aplikacích na webu Azure Portal. Aplikace Fabric Identity Management je jejím vlastníkem konfigurace.
Upozorňující
Změny aplikace provedené zde způsobí, že identita pracovního prostoru přestane fungovat.
Zobrazení protokolů auditu a protokolů přihlašování pro tuto identitu:
- Přihlaste se k portálu Azure.
- Přejděte do podnikových aplikací Microsoft Entra ID>.
- Podle potřeby vyberte protokoly auditu nebo protokoly přihlášení.
Registrace aplikací
Aplikace přidružená k identitě pracovního prostoru se dá zobrazit v části Registrace aplikací na webu Azure Portal. Tam by neměly být provedeny žádné změny, protože to způsobí, že identita pracovního prostoru přestane fungovat.
Pokročilé scénáře
Následující části popisují scénáře týkající se identit pracovních prostorů, ke kterým může dojít.
Odstranění identity
Identitu pracovního prostoru je možné odstranit v nastavení pracovního prostoru. Po odstranění identity se položky infrastruktury, které spoléhají na identitu pracovního prostoru pro důvěryhodný přístup k pracovnímu prostoru nebo ověřování, přeruší. Odstraněné identity pracovního prostoru nelze obnovit.
Když se pracovní prostor odstraní, odstraní se i jeho identita pracovního prostoru. Pokud se pracovní prostor po odstranění obnoví, identita pracovního prostoru se neobnoví . Pokud chcete, aby obnovený pracovní prostor měl identitu pracovního prostoru, musíte vytvořit novou.
Přejmenování pracovního prostoru
Když se pracovní prostor přejmenuje, identita pracovního prostoru se také přejmenuje tak, aby odpovídala názvu pracovního prostoru. Aplikace Microsoft Entra a instanční objekt však zůstávají stejné. Všimněte si, že v tenantovi může existovat více objektů pro registraci aplikací a aplikací se stejným názvem.
Úvahy a omezení
- Identitu pracovního prostoru lze vytvořit v libovolném pracovním prostoru s výjimkou mého pracovního prostoru.
- Pokud se pracovní prostor s identitou pracovního prostoru migruje do kapacity mimo prostředky infrastruktury nebo do kapacity prostředků infrastruktury, která není SKU F, identita se nezakáže ani neodstraní, ale položky prostředků infrastruktury, které spoléhají na důvěryhodný přístup k pracovnímu prostoru, přestanou fungovat.
- V tenantovi je možné vytvořit maximálně 1 000 identit pracovního prostoru. Po dosažení tohoto limitu musí být identity pracovního prostoru odstraněny, aby bylo možné vytvářet novější identity.
- Klávesové zkratky Azure Data Lake Storage Gen2 v pracovním prostoru, který má identitu pracovního prostoru, budou mít přístup k důvěryhodným službám.
Řešení potíží s vytvořením identity pracovního prostoru
Pokud nemůžete vytvořit identitu pracovního prostoru, protože tlačítko pro vytvoření je zakázané, ujistěte se, že máte roli správce pracovního prostoru.
Pokud při prvním vytvoření identity pracovního prostoru ve vašem tenantovi narazíte na problémy, vyzkoušejte následující kroky:
- Pokud se stav identity pracovního prostoru nezdaří, počkejte hodinu a pak identitu odstraňte.
- Po odstranění identity počkejte 5 minut a pak znovu vytvořte identitu.