Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
En Fabric-arbejdsområdeidentitet er en automatisk administreret tjenesteprincipal, der kan knyttes til et Fabric-arbejdsområde. Du kan bruge arbejdsområdeidentiteten som godkendelsesmetode, når du forbinder Fabric-elementer i arbejdsområdet med ressourcer, der understøtter Microsoft Entra-godkendelse. Arbejdsområdeidentitet er en sikker godkendelsesmetode, da det ikke er nødvendigt at administrere nøgler, hemmeligheder og certifikater. Når du tildeler arbejdsområdeidentiteten med tilladelser til destinationsressourcer, f.eks. ADLS gen 2, kan Fabric bruge identiteten til at hente Microsoft Entra-tokens til at få adgang til ressourcen.
Adgang, der er tillid til, til lagerkonti og godkendelse med arbejdsområdeidentitet kan kombineres. Du kan bruge arbejdsområdeidentitet som godkendelsesmetode til at få adgang til lagerkonti, der har offentlig adgang begrænset til udvalgte virtuelle netværk og IP-adresser.
I denne artikel beskrives det, hvordan du bruger arbejdsområdeidentiteten til at godkende, når du forbinder OneLake-genveje, pipelines, semantiske modeller og CI/CD (Dataflows Gen2) til datakilder. Målgruppen er datateknikere og alle, der er interesseret i at etablere en sikker forbindelse mellem Fabric-elementer og datakilder.
Understøttede datakilder
Du kan finde de mest up-todatooplysninger om Fabric-connectorer med understøttelse af godkendelse af arbejdsområdeidentitet under Oversigt over Fabric Connector Du kan også oprette en ny forbindelse i Administrer forbindelser og gateways og gennemse de understøttede forbindelsestyper.
Godkend med arbejdsområdeidentitet
I eksemplet nedenfor kan du se, hvordan du aktiverer godkendelse af arbejdsområdeidentitet med Azure Data Lake Storage Gen2. Trinnene for andre datakilder, f.eks. SQL Server, Azure Blobs og Azure Analysis Services, vil være de samme.
Trin 1: Opret arbejdsområdeidentiteten
Du skal være administrator af arbejdsområdet for at kunne oprette og administrere en arbejdsområdeidentitet.
Gå til arbejdsområdet, og åbn indstillingerne for arbejdsområdet.
Vælg fanen Arbejdsområdeidentitet.
Vælg knappen + Identitet for arbejdsområde.
Når arbejdsområdeidentiteten er blevet oprettet, viser fanen oplysninger om arbejdsområdets identitet og listen over godkendte brugere.
Arbejdsområde-id'et kan oprettes og slettes af arbejdsområdeadministratorer. Administratorer, medlemmer og bidragydere i arbejdsområdet kan konfigurere identiteten som godkendelsesmetode i forbindelser, der bruges i OneLake-genveje, pipelines, semantiske modeller og Dataflow Gen2.
Du kan finde flere oplysninger under Opret og administrer et arbejdsområdeidentitet.
Trin 2: Tildel identitetstilladelserne til lagerkontoen
Log på Azure-portal, og naviger til den lagerkonto, du vil have adgang til fra OneLake.
Vælg fanen Adgangskontrol (IAM) på venstre margentekst, og vælg Rolletildelinger.
Vælg knappen Tilføj , og vælg Tilføj rolletildeling.
Vælg den rolle, du vil tildele identiteten, f.eks . Storage Blob Data Reader eller Storage Blob Data Contributor.
Bemærk
Rollen skal angives på lagerkontoniveau.
Vælg Tildel adgang til bruger, gruppe eller tjenesteprincipal.
Vælg + Vælg medlemmer, og søg efter navn eller app-id for arbejdsområdeidentiteten. Vælg den identitet, der er knyttet til dit arbejdsområde.
Vælg Gennemse + tildel , og vent på, at rolletildelingen fuldføres.
Trin 3: Opret stofelementet
OneLake-genvej
Følg trinnene i Genvejen Opret en Azure Data Lake Storage Gen2. Vælg arbejdsområdeidentitet som godkendelsesmetode (understøttes kun for ADLS Gen2-genveje).
Pipelines med Copy-, Lookup- og GetMetadata-aktiviteter
For at oprette pipelinen skal du følge trinene i Modul 1 - Opret en pipeline med Data Factory. Vælg arbejdsområdeidentitet som godkendelsesmetode (understøttes af aktiviteterne Kopi, Opslag og GetMetadata).
Bemærk
Den bruger, der opretter genvejen med arbejdsområdeidentiteten, skal have rollen administrator, medlem eller bidragyder i arbejdsområdet. Brugere, der får adgang til genvejene, skal kun have tilladelser til lakehouse.
Rapporter og semantiske modeller
Du kan bruge en semantisk model (importtilstand) med godkendelse af arbejdsområdeidentitet og oprette modeller og rapporter.
Opret den semantiske model i Power BI Desktop, der opretter forbindelse til ADLS Gen2-lagerkontoen ved hjælp af de trin, der er angivet i Analysér data i Azure Data Lake Storage Gen2, ved hjælp af Power BI. Du kan bruge en organisationskonto til at oprette forbindelse til Azure Data Lake Storage Gen2 i Desktop.
Importér modellen til det arbejdsområde, der er konfigureret med arbejdsområdeidentiteten.
Gå til modelindstillingerne, og udvid afsnittet Gateway- og cloudforbindelser.
Under cloudforbindelser skal du vælge en dataforbindelse, der er konfigureret med godkendelsesmetoden for arbejdsområdets identitet og den ønskede ADLS Gen2-lagerkonto. Du kan enten oprette denne forbindelse i oplevelsen Administrer forbindelser og gateways eller bruge en allerede eksisterende forbindelse, der er oprettet via genvejs- eller pipelineoprettelsesoplevelserne.
Vælg Anvend , og opdater derefter modellen for at færdiggøre konfigurationen.
Bemærk
Hvis opdateringen mislykkes, skal du kontrollere de tilladelser, som arbejdsområdets id har på lagerkontoen, og validere netværksindstillingerne for lagerkontoen.
Dataflow Gen2
Data Factory i Microsoft Fabric bruger Power Query-connectors til at forbinde Dataflow Gen2 til Azure Data Lake Storage Gen2. Sådan opretter du forbindelse til Azure Data Lake Storage Gen2 i Dataflow Gen2:
- Opret dataflowet Gen2 i Fabric
- Følg de trin, der er angivet i Opret forbindelse til ADLS Gen2 fra Power Query Online
- Vælg Workspace Identity som godkendelsesmetode
Bemærk
Arbejdsområdeidentitet understøttes kun for Dataflow Gen2 med udrulningspipelines og offentlig API.
Overvejelser og begrænsninger
Arbejdsområdeidentitet kan oprettes i arbejdsområder, der er knyttet til en hvilken som helst kapacitet (undtagen Mine arbejdsområder).
Arbejdsområdeidentitet kan bruges til godkendelse i enhver kapacitet, der understøtter OneLake-genveje, pipelines, semantiske modeller eller Dataflows Gen2.
Adgang til firewallaktiverede lagerkonti understøttes i alle F-kapaciteter, der er tillid til.
Du kan oprette forbindelser med godkendelse baseret på arbejdsområdeidentitet i oplevelsen Administrer gateways og forbindelser .
Hvis du genbruger forbindelser, der er konfigureret med godkendelsesmetoden for arbejdsområdeidentitet i andre strukturelementer end OneLake-genveje, pipelines, semantiske modeller eller Dataflow Gen2 eller i andre arbejdsområder, fungerer de muligvis ikke.
Forbindelser med godkendelse af arbejdsområdeidentitet kan kun bruges i OneLake-genveje, pipelines, semantiske modeller eller Dataflows Gen2.
Hvis du opretter en forbindelse i oplevelsen Administrer gateways og forbindelser , kan du muligvis se et banner, der angiver, at godkendelsestypen for arbejdsområdeidentitet kun understøttes i pipelines og OneLake-genveje. Dette er et kendt problem, der vil blive løst med fremtidige udgivelser.
Kontrol af status for en forbindelse, der har arbejdsområdeidentitet som godkendelsesmetode, understøttes ikke.
Hvis din organisation har en Microsoft Entra Conditional Access-politik for arbejdsbelastningsidentiteter, der omfatter alle tjenesteprincipaler, skal hver Fabric-arbejdsområdeidentitet udelades fra politikken for betinget adgang for arbejdsbelastningsidentiteter. Ellers fungerer arbejdsområdeidentiteter ikke.
Arbejdsområdeidentitet er ikke kompatibel med anmodninger på tværs af lejere.