Identité de l’espace de travail
Une identité d’espace de travail Fabric est un principal de service managé automatiquement qui peut être associé à un espace de travail Fabric. Les espaces de travail Fabric avec une identité d’espace de travail peuvent lire ou écrire en toute sécurité sur des comptes Azure Data Lake Storage Gen2 avec pare-feu par le biais d’un accès à un espace de travail approuvé pour les raccourcis OneLake. À l’avenir, les éléments Fabric pourront utiliser l’identité lors de la connexion aux ressources qui prennent en charge l’authentification Microsoft Entra. Fabric utilise des identités d’espace de travail pour obtenir des jetons Microsoft Entra sans que le client ait à gérer les informations d’identification.
Les identités d’espace de travail peuvent être créées dans les paramètres de l’espace de travail des espaces de travail associés à une capacité Fabric. Une identité d’espace de travail est automatiquement affectée au rôle contributeur d’espace de travail et a accès aux éléments de l’espace de travail.
Lorsque vous créez une identité d’espace de travail, Fabric crée un principal de service dans Microsoft Entra ID pour représenter l’identité. Une inscription d’application associée est également créée. Fabric gère automatiquement les informations d’identification associées aux identités d’espace de travail, ce qui empêche les fuites d’informations d’identification et les temps d’arrêt en raison d’une gestion incorrecte des informations d’identification.
Remarque
L’identité d’espace de travail Fabric est actuellement en préversion publique. Vous ne pouvez créer qu’une identité d’espace de travail dans les capacités F64 ou supérieures. Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric.
Bien que les identités d’espace de travail Fabric partagent certaines similitudes avec les identités managées Azure, leur cycle de vie, leur administration et leur gouvernance sont différentes. Une identité d’espace de travail a un cycle de vie indépendant géré entièrement dans Fabric. Un espace de travail Fabric peut éventuellement être associé à une identité. Lorsque l’espace de travail est supprimé, l’identité est également supprimée. Le nom de l’identité de l’espace de travail est toujours identique au nom de l’espace de travail associé.
Créer et gérer une identité d’espace de travail
Vous devez être administrateur d’un espace de travail pour pouvoir créer et gérer une identité d’espace de travail. L’espace de travail pour lequel vous créez l’identité doit être associé à une capacité Fabric F64 ou supérieure.
- Accédez à l’espace de travail et ouvrez les paramètres de l’espace de travail.
- Sélectionnez l’onglet Identité de l’espace de travail.
- Sélectionnez le bouton + Identité de l’espace de travail.
Une fois l’identité de l’espace de travail créée, l’onglet affiche les détails de l’identité de l’espace de travail, la liste des utilisateurs autorisés et vous permet d’utiliser l’identité avec des points de terminaison fournis par le client et du code personnalisé.
Les sections de la configuration de l’identité de l’espace de travail sont décrites dans les sections suivantes.
Détails de l’identité
| Détail | Description |
|---|---|
| Nom | Nom de l’identité de l’espace de travail. Le nom de l’identité de l’espace de travail est identique à celui de l’espace de travail. |
| Identifiant | GUID d’identité de l’espace de travail. Il s’agit d’un identificateur unique pour l’identité. |
| Rôle | Rôle d’espace de travail affecté à l’identité. Les identités d’espace de travail sont automatiquement affectées au rôle contributeur lors de la création. |
| État | État de l’espace de travail. Valeurs possibles : Active, Inactive, Deleting, Unusable, Failed, DeleteFailed |
Utilisateurs autorisés
Pour plus d’informations, consultez Contrôle d’accès.
Supprimer une identité d’espace de travail
Lorsqu’une identité est supprimée, les éléments Fabric qui s’appuient sur l’identité de l’espace de travail pour avoir accès à l’espace de travail approuvé ou l’authentification s’interrompent. Les identités d’espace de travail supprimées ne peuvent pas être restaurées.
Remarque
Lorsqu’un espace de travail est supprimé, l’identité de l’espace de travail est également supprimée. Son identité d’espace de travail est également supprimée. Si l’espace de travail est restauré après la suppression, l’identité de l’espace de travail n’est pas restaurée. Si vous souhaitez que l’espace de travail restauré dispose d’une identité d’espace de travail, vous devez en créer une nouvelle.
Comment utiliser l’identité de l’espace de travail
Les raccourcis d’un espace de travail disposant d’une identité d’espace de travail peuvent être utilisés pour l’accès au service approuvé. Pour plus d’informations, consultez accès à un espace de travail approuvé.
Sécurité, administration et gouvernance de l’identité de l’espace de travail
Les sections suivantes décrivent qui peut utiliser l’identité de l’espace de travail et comment vous pouvez la surveiller dans Microsoft Purview et Azure.
Contrôle d’accès
L’identité de l’espace de travail peut être créée et supprimée par les administrateurs de l’espace de travail. L’identité de l’espace de travail a le rôle contributeur espace de travail sur l’espace de travail.
Actuellement, l’identité de l’espace de travail n’est pas prise en charge pour l’authentification auprès des ressources cibles dans les connexions. L’authentification pour cibler les ressources dans les connexions sera prise en charge à l’avenir. Les administrateurs, les membres et les contributeurs pourront utiliser l’identité de l’espace de travail dans l’authentification dans les connexions à l’avenir.
À l’avenir, les administrateurs d’espace de travail pourront activer l’utilisation de l’identité de l’espace de travail dans les connexions dans du code personnalisé, comme les notebooks Spark et dans les pipelines de données avec des points de terminaison fournis par le client. Les exemples incluent les pipelines de données avec l’activité web et l’activité webhook.
Les utilisateurs ou les administrateurs d’application ayant des rôles supérieurs peuvent afficher, modifier et supprimer le principal de service et l’inscription d’application associés à l’identité de l’espace de travail dans Azure.
Avertissement
La modification ou la suppression du principal de service ou de l’inscription d’application dans Azure n’est pas recommandée, car cela entraîne l’arrêt du fonctionnement des éléments Fabric qui s’appuient sur l’identité de l’espace de travail.
Administrer l’identité de l’espace de travail dans Purview
Vous pouvez consulter les événements d’audit générés lors de la création et de la suppression de l’identité de l’espace de travail dans le journal d’audit Purview. Pour accéder au journal
- Accédez au Hub Microsoft Purview.
- Sélectionnez la vignette Audit.
- Dans le formulaire de recherche d’audit qui s’affiche, utilisez le champ Activités - Noms conviviaux pour rechercher l’identité Fabric pour rechercher les activités liées aux identités d’espace de travail. Actuellement, les activités suivantes liées aux identités d’espace de travail sont les suivantes :
- Identité Fabric créée pour l’espace de travail
- Identité Fabric récupérée pour l’espace de travail
- Identité Fabric supprimée pour l’espace de travail
- Jeton d’identité Fabric récupéré pour l’espace de travail
Administrer l’identité de l’espace de travail dans Azure
L’application associée à l’identité de l’espace de travail peut être consultée sous les applications d’entreprise et les inscriptions d’applications dans le Portail Azure.
Applications d’entreprise
L’application associée à l’identité de l’espace de travail peut être consultée dans Applications d’entreprise dans le Portail Azure. L’application Identity Management de Fabric est son propriétaire de configuration.
Avertissement
Les modifications apportées à l’application ici entraînent l’arrêt de l’identité de l’espace de travail.
Pour consulter les journaux d’audit et les journaux de connexion pour cette identité :
- Connectez-vous au portail Azure.
- Accédez à Microsoft Entra ID > Applications d’entreprise.
- Sélectionnez soit Journaux d’audit, soit Journaux de connexion, comme vous le souhaitez.
Inscriptions des applications
L’application associée à l’identité de l’espace de travail peut être consultée sous Inscriptions d’applications dans le Portail Azure. Aucune modification ne doit être apportée à cet emplacement, car cela entraîne l’arrêt de l’identité de l’espace de travail.
Scénarios avancés
Les sections suivantes décrivent les scénarios impliquant des identités d’espace de travail qui peuvent se produire.
Suppression de l’identité
L’identité de l’espace de travail peut être supprimée dans les paramètres de l’espace de travail. Lorsqu’une identité est supprimée, les éléments Fabric qui s’appuient sur l’identité de l’espace de travail pour avoir accès à l’espace de travail approuvé ou l’authentification s’interrompent. Les identités d’espace de travail supprimées ne peuvent pas être restaurées.
Lorsqu’un espace de travail est supprimé, son identité de l’espace de travail est également supprimée. Si l’espace de travail est restauré après la suppression, l’identité de l’espace de travail n’est pas restaurée. Si vous souhaitez que l’espace de travail restauré dispose d’une identité d’espace de travail, vous devez en créer une nouvelle.
Renommage de l’espace de travail
Lorsqu’un espace de travail est renommé, l’identité de l’espace de travail est également renommée pour correspondre au nom de l’espace de travail. Toutefois, son application Entra et son principal de service restent les mêmes. Notez qu’il peut y avoir plusieurs objets d’application et d’inscription d’application portant le même nom dans un locataire.
Observations et limitations
- Une identité de l’espace de travail ne peut être créée que dans les espaces de travail associés à une capacité Fabric F64 ou ultérieure. Pour plus d’informations sur l’achat d’un abonnement Fabric, consultez Acheter un abonnement Microsoft Fabric.
- Si un espace de travail avec une identité d’espace de travail est migré vers une autre capacité non Fabric ou une capacité inférieure à F64, l’identité ne sera pas désactivée ou supprimée, mais les éléments Fabric qui s’appuient sur l’identité de l’espace de travail cesseront de fonctionner.
- Un maximum de 1 000 identités d’espace de travail peuvent être créées dans un locataire. Une fois cette limite atteinte, les identités d’espace de travail doivent être supprimées pour permettre la création de nouvelles identités.
- Les raccourcis Azure Data Lake Storage Gen2 dans un espace de travail disposant d’une identité d’espace de travail sont capables d’accéder au service approuvé.
Résolution des problèmes liés à la création d’une identité d’espace de travail
Si vous ne pouvez pas créer d’identité d’espace de travail parce que le bouton de création est désactivé, vérifiez que vous disposez du rôle d’administrateur de l’espace de travail et que l’espace de travail est associé à une capacité Fabric F64+.
Si vous rencontrez des problèmes lors de la première création d’une identité d’espace de travail dans votre locataire, procédez comme suit :
- Si l’état de l’identité de l’espace de travail a Échec, attendez une heure, puis supprimez l’identité.
- Une fois l’identité supprimée, attendez 5 minutes, puis recréez l’identité.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour