Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Identita pracovního prostoru Fabric je automaticky spravovaný instanční objekt, který lze přidružit k pracovnímu prostoru Fabric. Identitu pracovního prostoru můžete použít jako metodu ověřování při připojování položek ve Fabricu v pracovním prostoru k prostředkům, které podporují ověřování Microsoft Entra. Identita pracovního prostoru je zabezpečená metoda ověřování, protože není potřeba spravovat klíče, tajné kódy a certifikáty. Když udělíte oprávnění identitě pracovního prostoru k cílovým prostředkům, jako je ADLS gen 2, Fabric může tuto identitu použít k získání tokenů Microsoft Entra pro přístup k prostředku.
Důvěryhodný přístup k účtům úložiště a ověřování pomocí identity pracovního prostoru lze kombinovat. Identitu pracovního prostoru můžete použít jako metodu ověřování pro přístup k účtům úložiště, které mají veřejný přístup omezený na vybrané virtuální sítě a IP adresy.
Tento článek popisuje, jak používat identitu pracovního prostoru pro ověřování, když připojujete zástupce OneLake, kanály, sémantické modely a toky dat Gen2 (CI/CD) ke zdrojům dat. Cílová cílová skupina je datoví inženýři a kdokoli, kdo má zájem o vytvoření zabezpečeného připojení mezi položkami infrastruktury a zdroji dat.
Podporované zdroje dat
up-toNejaktuálnější informace o konektorech Fabric s podporou ověřování identit pracovního prostoru najdete v tématu Přehled konektoru Fabric . Můžete také vytvořit nové připojení ve správě připojení a branách a zkontrolovat podporované typy připojení.
Ověřování pomocí identity pracovního prostoru
Následující příklad ukazuje postup povolení ověřování identit pracovního prostoru pomocí Azure Data Lake Storage Gen2. Postup pro další zdroje dat, jako je SQL Server, Azure Blobs, Azure Analysis Services, bude podobný.
Krok 1: Vytvoření identity pracovního prostoru
Abyste mohli vytvořit a spravovat identitu pracovního prostoru, musíte být správcem pracovního prostoru.
Přejděte do pracovního prostoru a otevřete nastavení pracovního prostoru.
Vyberte kartu Identita pracovního prostoru.
Vyberte tlačítko + Identita pracovního prostoru.
Po vytvoření identity pracovního prostoru se na kartě zobrazí podrobnosti o identitě pracovního prostoru a seznam autorizovaných uživatelů.
Identitu pracovního prostoru můžou vytvářet a odstraňovat správci pracovního prostoru. Správci, členové a přispěvatelé v pracovním prostoru můžou identitu nakonfigurovat jako metodu ověřování v připojeních, která se používají v zkratkách OneLake, kanálech, sémantických modelech a tocích dat Gen2.
Další podrobnosti najdete v tématu Vytvoření a správa identity pracovního prostoru.
Krok 2: Udělení oprávnění identity k účtu úložiště
Přihlaste se k webu Azure Portal a přejděte k účtu úložiště, ke který chcete získat přístup z OneLake.
Na levém bočním panelu vyberte kartu Řízení přístupu (IAM) a vyberte Přiřazení rolí.
Vyberte tlačítko Přidat a vyberte Přidat přiřazení role.
Vyberte roli, kterou chcete přiřadit k identitě, například Čtenář dat objektů blob služby Storage nebo Přispěvatel dat objektů blob služby Storage.
Poznámka:
Role musí být poskytována na úrovni účtu úložiště.
Vyberte Přiřadit přístup k uživateli, skupině nebo instančnímu objektu.
Vyberte + Vybrat členy a vyhledejte podle jména nebo ID aplikace identity pracovního prostoru. Vyberte identitu přidruženou k vašemu pracovnímu prostoru.
Vyberte Zkontrolovat a přiřadit a počkejte na dokončení přiřazení role.
Krok 3: Vytvoření položky textilie
Zástupce OneLake
Postupujte podle kroků uvedených v Vytvoření zástupce Azure Data Lake Storage Gen2. Jako metodu ověřování vyberte identitu pracovního prostoru (podporovaná pouze pro zástupce ADLS Gen2).
Datové kanály s aktivitami Kopírování, Vyhledávání a Získat metadata
Pokud chcete vytvořit kanál, postupujte podle kroků uvedených v modulu 1 – Vytvoření kanálu se službou Data Factory. Jako metodu ověřování vyberte identitu pracovního prostoru (podporovaná pro aktivity Kopírování, Vyhledávání a GetMetadata).
Poznámka:
Uživatel, který vytváří zástupce s identitou pracovního prostoru, musí mít v pracovním prostoru roli administrátora, člena nebo přispěvatele. Uživatelé, kteří přistupují ke zkratkám, potřebují oprávnění jenom v jezeře.
Sestavy a sémantické modely
Sémantický model (režim importu) můžete použít s ověřováním identit pracovního prostoru a vytvářet modely a sestavy.
Vytvořte sémantický model v Power BI Desktopu, který se připojuje k účtu úložiště ADLS Gen2 pomocí kroků uvedených v tématu Analýza dat v Azure Data Lake Storage Gen2 pomocí Power BI. Účet organizace můžete použít k připojení k Azure Data Lake Storage Gen2 v Desktopu.
Importujte model do pracovního prostoru nakonfigurovaného s identitou pracovního prostoru.
Přejděte do nastavení modelu a v rozbalovacím menu otevřete sekci Brána a cloudová připojení.
V části cloudová připojení vyberte datové připojení, které je nakonfigurované s metodou ověřování identit pracovního prostoru a požadovaným účtem úložiště ADLS Gen2. Toto připojení můžete vytvořit buď v prostředí Správa připojení a bran , nebo použít existující připojení vytvořené prostřednictvím zástupce nebo prostředí pro vytváření kanálů.
Vyberte Použít a pak aktualizujte model, aby se konfigurace finalizovala.
Poznámka:
Pokud se aktualizace nezdaří, zkontrolujte oprávnění, která má identita pracovního prostoru v účtu úložiště, a ověřte nastavení sítě účtu úložiště.
Datové toky Gen2
Data Factory v Microsoft Fabric používá konektory Power Query k připojení Toku dat Gen2 k Azure Data Lake Storage Gen2. Připojení k Azure Data Lake Storage Gen2 v Toku dat Gen2:
- Vytvoření toku dat Gen2 v prostředcích infrastruktury
- Postupujte podle kroků uvedených v připojení k ADLS Gen2 z Power Query Online.
- Výběr identity pracovního prostoru jako metody ověřování
Poznámka:
Identita pracovního prostoru se podporuje pouze pro toky dat Gen2 s kanály nasazení a veřejným rozhraním API.
Úvahy a omezení
Identitu pracovního prostoru je možné vytvořit v pracovních prostorech přidružených k jakékoli kapacitě (s výjimkou Moje pracovní prostory).
Identitu pracovního prostoru lze využít pro ověřování v jakémkoli prostředí podporujícím zástupce OneLake, kanály, sémantické modely nebo toky dat druhé generace.
Důvěryhodný přístup k účtům úložiště s povoleným firewallem je podporován v libovolné kapacitě F.
V prostředí Spravovat brány a připojení můžete vytvářet připojení pomocí ověřování založeného na identitě pracovního prostoru.
Pokud znovu použijete připojení nakonfigurovaná s metodou ověřování identit pracovního prostoru v jiných položkách prostředků infrastruktury, než jsou klávesové zkratky OneLake, kanály, sémantické modely nebo toky dat Gen2 nebo v jiných pracovních prostorech, nemusí fungovat.
Připojení s ověřováním identit pracovního prostoru se dají použít jenom v zkratkách OneLake, kanálech, sémantických modelech nebo v Dataflows Gen2.
Pokud vytvoříte připojení v prostředí Spravovat brány a připojení , může se zobrazit banner s oznámením, že typ ověřování identity pracovního prostoru je podporovaný jenom v kanálech a zkratkách OneLake. Jedná se o známý problém, který se vyřeší s budoucími verzemi.
Kontrola stavu připojení, která používá identitu pracovního prostoru jako metodu ověřování, není podporována.
Pokud má vaše organizace zásady podmíněného přístupu Microsoft Entra pro identity úloh, které zahrnují všechny instanční objekty, měla by být každá identita pracovního prostoru Infrastruktury vyloučena ze zásad podmíněného přístupu pro identity úloh. V opačném případě identity pracovního prostoru nebudou fungovat.
Identita pracovního prostoru není kompatibilní s požadavky mezi tenanty.