Identidad del área de trabajo
Una identidad del área de trabajo de Fabric es una entidad de servicio administrada automáticamente que se puede asociar a un área de trabajo de Fabric. Las áreas de trabajo de Fabric con una identidad del área de trabajo pueden leer o escribir de forma segura en cuentas de Azure Data Lake Storage Gen2 habilitadas para firewall a través del acceso al área de trabajo de confianza para OneLake. Los elementos de Tejido pueden usar la identidad al conectarse a recursos que admiten la autenticación de Microsoft Entra. Fabric usa identidades de área de trabajo para obtener tokens de Microsoft Entra sin que el cliente tenga que administrar credenciales.
Las identidades del área de trabajo se pueden crear en la configuración del área de trabajo de cualquier área de trabajo, excepto Mis áreas de trabajo. A una identidad del área de trabajo se le asigna automáticamente el rol Colaborador del área de trabajo y tiene acceso a los elementos del área de trabajo.
Al crear una identidad del área de trabajo, Fabric crea una entidad de servicio en Microsoft Entra ID para representar la identidad. También se crea un registro de aplicación complementario. Fabric administra automáticamente las credenciales asociadas a las identidades del área de trabajo, lo que impide las pérdidas de credenciales y el tiempo de inactividad debido al control incorrecto de credenciales.
Nota:
La identidad del área de trabajo de Fabric está disponible con carácter general. Puede crear una identidad de área de trabajo en cualquier área de trabajo excepto Mi área de trabajo.
Aunque las identidades del área de trabajo de Fabric comparten algunas similitudes con las identidades administradas de Azure, su ciclo de vida, administración y gobernanza son diferentes. Una identidad del área de trabajo tiene un ciclo de vida independiente que se administra completamente en Fabric. Opcionalmente, un área de trabajo de Fabric se puede asociar a una identidad. Cuando se elimina el área de trabajo, se elimina la identidad. El nombre de la identidad del área de trabajo siempre es el mismo que el nombre del área de trabajo a la que está asociada.
Creación y administración de una identidad del área de trabajo
Debe ser administrador del área de trabajo para poder crear y administrar una identidad de área de trabajo. El área de trabajo para la que va a crear la identidad no puede ser mi área de trabajo.
- Vaya al área de trabajo y abra la configuración del área de trabajo.
- Seleccione la pestaña Identidad del área de trabajo.
- Seleccione el botón +Identidad del área de trabajo.
Una vez creada la identidad del espacio de trabajo, la pestaña muestra los detalles de la identidad del espacio de trabajo y la lista de usuarios autorizados.
Las secciones de configuración de la identidad del área de trabajo se describen en las secciones siguientes.
Detalles de identidad
| Detalle | Descripción |
|---|---|
| Nombre | Nombre de la identidad del área de trabajo. El nombre de la identidad del área de trabajo es el mismo que el nombre del área de trabajo. |
| ID | GUID de identidad del área de trabajo. Se trata de un identificador único para la identidad. |
| Rol | Rol de área de trabajo asignado a la identidad. Las identidades del área de trabajo se asignan automáticamente al rol Colaborador tras la creación. |
| State | Estado del área de trabajo. Valores posibles: Activo, Inactivo, Eliminando, Inutilizable, Con errores y DeleteFailed |
Usuarios autorizados
Para más información, vea Control de acceso.
Eliminación de una identidad del área de trabajo
Cuando se elimina una identidad, los elementos de Fabric que dependen de la identidad del área de trabajo para el acceso al área de trabajo de confianza o la autenticación se interrumpirán. No se pueden restaurar las identidades del área de trabajo eliminadas.
Nota:
Cuando se elimina un área de trabajo, también se elimina su identidad del área de trabajo. Si el área de trabajo se restaura después de la eliminación, la identidad del área de trabajo no se restaura. Si desea que el área de trabajo restaurada tenga una identidad de área de trabajo, debe crear una nueva.
Uso de la identidad del área de trabajo
Actualmente, la identidad del área de trabajo se puede usar de dos maneras:
Para la autenticación: consulte Autenticación con identidad del área de trabajo.
Para el acceso al área de trabajo de confianza: los accesos directos de un área de trabajo que tiene una identidad de área de trabajo se pueden usar para el acceso de servicio de confianza. Para más información, consulte Acceso al área de trabajo de confianza.
Seguridad, administración y gobernanza de la identidad del área de trabajo
En las secciones siguientes se describe quién puede usar la identidad del área de trabajo y cómo puede supervisarla en Microsoft Purview y Azure.
Control de acceso
Los administradores del área de trabajo pueden crear y eliminar la identidad del área de trabajo. La identidad del área de trabajo tiene el rol Colaborador del área de trabajo en el área de trabajo.
La identidad del área de trabajo se admite para la autenticación a los recursos de destino en las conexiones. Solo los usuarios con un rol de administrador, miembro o colaborador en el área de trabajo pueden configurar la identidad del área de trabajo para la autenticación en las conexiones.
Los administradores de aplicaciones o los usuarios con roles superiores pueden ver, modificar y eliminar la entidad de servicio y el registro de aplicaciones asociados a la identidad del área de trabajo en Azure.
Advertencia
No se recomienda modificar ni eliminar la entidad de servicio ni el registro de aplicaciones en Azure, ya que hará que los elementos de Fabric dependan de la identidad del área de trabajo para dejar de funcionar.
Administración de la identidad del área de trabajo en Fabric
Los administradores de Fabric pueden administrar las identidades del área de trabajo creadas en su suscriptor en la pestaña de Identidades de Fabric en el portal de administración.
- Vaya a la pestaña Identidades de Fabric en el portal de administración.
- Seleccione una identidad del área de trabajo y, a continuación, seleccione Detalles.
- En la pestaña Detalles, puede ver información adicional relacionada con la identidad del área de trabajo.
- También puede eliminar una identidad del área de trabajo.
Nota:
Las identidades del área de trabajo no se pueden restaurar después de la eliminación. Asegúrese de revisar las consecuencias de eliminar una identidad del área de trabajo descrita en Eliminación de una identidad de área de trabajo.
Administración de la identidad del área de trabajo en Purview
Puede ver los eventos de auditoría generados tras la creación y eliminación de la identidad del área de trabajo en el registro de auditoría de Purview. Acceso al registro
- Vaya al centro de Microsoft Purview.
- Seleccione el icono Auditoría.
- En el formulario de búsqueda de auditoría que aparece, use el campo Actividades: nombres descriptivos para buscar la identidad de Fabric para encontrar las actividades relacionadas con las identidades del área de trabajo. Actualmente, las siguientes actividades relacionadas con las identidades del área de trabajo son:
- Identidad de Fabric creada para el área de trabajo
- Identidad de Fabric recuperada para el área de trabajo
- Identidad de Fabric eliminada para el área de trabajo
- Token de identidad de Fabric recuperada para el área de trabajo
Administración de la identidad del área de trabajo en Azure
La aplicación asociada a la identidad del área de trabajo se puede ver en Aplicaciones empresariales y Registros de aplicaciones en Azure Portal.
Aplicaciones empresariales
La aplicación asociada a la identidad del área de trabajo se puede ver en Aplicaciones empresariales en Azure Portal. La aplicación de administración de identidades de Fabric es su propietario de configuración.
Advertencia
Las modificaciones de la aplicación realizadas aquí harán que la identidad del área de trabajo deje de funcionar.
Para ver los registros de auditoría y los registros de inicio de sesión de esta identidad:
- Inicie sesión en Azure Portal.
- Vaya a Microsoft Entra ID > Aplicaciones empresariales.
- Seleccione Registros de auditoría o Registros de inicio de sesión, como desee.
Registros de aplicaciones
La aplicación asociada a la identidad del área de trabajo se puede ver en Registros de aplicaciones en Azure Portal. No se debe realizar ninguna modificación, ya que esto hará que la identidad del área de trabajo deje de funcionar.
Escenarios avanzados
En las secciones siguientes se describen escenarios que implican identidades de área de trabajo que pueden producirse.
Eliminación de la identidad
La identidad del área de trabajo se puede eliminar en la configuración del área de trabajo. Cuando se elimina una identidad, los elementos de Fabric que dependen de la identidad del área de trabajo para el acceso al área de trabajo de confianza o la autenticación se interrumpirán. No se pueden restaurar las identidades del área de trabajo eliminadas.
Cuando se elimina un área de trabajo, también se elimina su identidad del área de trabajo. Si el área de trabajo se restaura después de la eliminación, la identidad del área de trabajo no se restaura. Si desea que el área de trabajo restaurada tenga una identidad de área de trabajo, debe crear una nueva.
Cambio de nombre del área de trabajo
Cuando se cambia el nombre de un área de trabajo, también se cambia el nombre de la identidad del área de trabajo para que dichos nombres coincidan. Sin embargo, su aplicación y entidad de servicio de Microsoft Entra siguen siendo los mismos. Tenga en cuenta que puede haber varios objetos de registro de aplicaciones y aplicaciones con el mismo nombre en una cuenta empresarial.
Consideraciones y limitaciones
- Se puede crear una identidad de área de trabajo en cualquier área de trabajo, excepto en Mi área de trabajo.
- Si un área de trabajo con una identidad de área de trabajo se migra a una capacidad que no es de Fabric o a una capacidad de Tejido que no es de F, la identidad no se deshabilitará ni eliminará, pero los elementos de Fabric que dependen del acceso al área de trabajo de confianza dejarán de funcionar.
- Se pueden crear un máximo de 1000 identidades de área de trabajo en una cuenta empresarial. Una vez alcanzado este límite, se deben eliminar las identidades del área de trabajo para permitir que se creen las más recientes.
- Las combinaciones de teclas de Azure Data Lake Storage Gen2 en un área de trabajo que tenga una identidad de área de trabajo podrán acceder a servicios de confianza.
Solución de problemas con la creación de una identidad de área de trabajo
Si no puede crear una identidad de área de trabajo porque el botón de creación está deshabilitado, asegúrese de que tiene el rol de administrador del área de trabajo.
Si tiene problemas la primera vez que crea una identidad de área de trabajo en la cuenta empresarial, pruebe los pasos siguientes:
- Si se produce un error en el estado de identidad del área de trabajo, espere una hora y elimine la identidad.
- Una vez eliminada la identidad, espere 5 minutos y, a continuación, vuelva a crear la identidad.