Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
En ID for et stoffarbeidsområde er en automatisk administrert tjenestekontohaver som kan knyttes til et fabric-arbeidsområde. Du kan bruke arbeidsområdeidentiteten som godkjenningsmetode når du kobler Fabric-elementer i arbeidsområdet til ressurser som støtter Microsoft Entra-godkjenning. Arbeidsområdeidentitet er en sikker godkjenningsmetode fordi det ikke er nødvendig å administrere nøkler, hemmeligheter og sertifikater. Når du gir arbeidsområdeidentiteten tillatelser på målressurser som ADLS gen 2, kan Fabric bruke identiteten til å skaffe Microsoft Entra-tokener for å få tilgang til ressursen.
Klarert tilgang til lagringskontoer og godkjenning med arbeidsområdeidentitet kan kombineres sammen. Du kan bruke arbeidsområdeidentitet som godkjenningsmetode for å få tilgang til lagringskontoer som har offentlig tilgang begrenset til valgte virtuelle nettverk og IP-adresser.
Denne artikkelen beskriver hvordan du bruker arbeidsområdeidentiteten til å godkjenne når du kobler OneLake-snarveier, pipeliner, semantiske modeller og Dataflows Gen2 (CI/CD) til datakilder. Målgruppen er datateknikere og alle som er interessert i å etablere en sikker forbindelse mellom Fabric-elementer og datakilder.
Støttede datakilder
Hvis du vil ha den mest up-todatoinformasjonen om Fabric-koblinger med støtte for godkjenning av arbeidsområdeidentitet, kan du se Oversikt over Fabric Connector Du kan også opprette en ny tilkobling i Behandle tilkoblinger og gatewayer og se gjennom de støttede tilkoblingstypene.
Godkjenne med arbeidsområdeidentitet
Eksemplet nedenfor viser deg fremgangsmåten for å aktivere godkjenning av arbeidsområdeidentitet med Azure Data Lake Storage Gen2. Fremgangsmåten for andre datakilder, for eksempel SQL Server, Azure Blobs, Azure Analysis Services, vil være lignende.
Trinn 1: Opprette arbeidsområdeidentiteten
Du må være administrator for arbeidsområdet for å kunne opprette og administrere en arbeidsområdeidentitet.
Gå til arbeidsområdet og åpne innstillingene for arbeidsområdet.
Velg kategorien Arbeidsområdeidentitet.
Velg knappen + arbeidsområdeidentitet.
Når arbeidsområdeidentiteten er opprettet, viser fanen identitetsdetaljene for arbeidsområdet og listen over autoriserte brukere.
Arbeidsområdeidentitet kan opprettes og slettes av administratorer for arbeidsområdet. Administratorer, medlemmer og bidragsytere i arbeidsområdet kan konfigurere identiteten som godkjenningsmetode i tilkoblinger som brukes i OneLake-snarveier, pipeliner, semantiske modeller og Dataflows Gen2.
Hvis du vil ha mer informasjon, kan du se Opprette og administrere en arbeidsområdeidentitet.
Trinn 2: Gi identitetstillatelsene på lagringskontoen
Logg på Azure-portalen, og gå til lagringskontoen du vil ha tilgang til fra OneLake.
Velg Access-kontrollfanen (IAM) på venstre sidestolpe, og velg Rolletildelinger.
Velg Legg til-knappen, og velg Legg til rolletilordning.
Velg rollen du vil tilordne til identiteten, for eksempel Storage Blob Data Reader eller Storage Blob Data Contributor.
Merk
Rollen må angis på lagringskontonivå.
Velg Tilordne tilgang til bruker, gruppe eller tjenestekontohaver.
Velg + Velg medlemmer, og søk etter navn eller app-ID for arbeidsområdeidentiteten. Velg identiteten som er knyttet til arbeidsområdet.
Velg Se gjennom + tilordne , og vent til rolletilordningen er fullført.
Trinn 3: Opprette Fabric-elementet
OneLake-snarvei
Følg trinnene som er oppført i snarveien Opprett en Azure Data Lake Storage Gen2. Velg arbeidsområdeidentitet som godkjenningsmetode (støttes bare for ADLS Gen2-snarveier).
Pipeliner med kopierings-, oppslags- og GetMetadata-aktiviteter
For å opprette pipelinen, følg trinnene som er oppført i Modul 1 - Opprett en pipeline med Data Factory. Velg arbeidsområdeidentitet som godkjenningsmetode (støttes for kopierings-, oppslags- og GetMetadata-aktiviteter).
Merk
Brukeren som oppretter snarveien med arbeidsområdeidentitet, må ha en administrator-, medlems- eller bidragsyterrolle i arbeidsområdet. Brukere som får tilgang til snarveiene trenger bare tillatelser på lakehouse.
Rapporter og semantiske modeller
Du kan bruke en semantisk modell (importmodus) med godkjenning av arbeidsområdeidentitet og opprette modeller og rapporter.
Opprett den semantiske modellen i Power BI Desktop som kobler til ADLS Gen2-lagringskontoen ved hjelp av trinnene som er oppført i Analyser data i Azure Data Lake Storage Gen2 ved hjelp av Power BI. Du kan bruke organisasjonskontoen til å koble til Azure Data Lake Storage Gen2 i Desktop.
Importer modellen til arbeidsområdet som er konfigurert med arbeidsområdeidentiteten.
Gå til modellinnstillingene, og utvid inndelingen gateway- og skytilkoblinger.
Velg en datatilkobling som er konfigurert med godkjenningsmetoden for arbeidsområdeidentitet under skytilkoblinger, og den ønskede ADLS Gen2-lagringskontoen. Du kan enten opprette denne tilkoblingen i Administrer tilkoblinger og gatewayer-opplevelsen , eller bruke en eksisterende tilkobling som er opprettet via snarveien eller pipelineopprettingsopplevelsen.
Velg Bruk , og oppdater deretter modellen for å fullføre konfigurasjonen.
Merk
Hvis oppdateringen mislykkes, kontrollerer du tillatelsene som arbeidsområdeidentiteten har på lagringskontoen og validerer nettverksinnstillingene for lagringskontoen.
Dataflyter Gen2
Data Factory i Microsoft Fabric bruker Power Query-koblinger til å koble Dataflyt Gen2 til Azure Data Lake Storage Gen2. Slik kobler du til Azure Data Lake Storage Gen2 i Dataflow Gen2:
- Opprett dataflyten Gen2 i Fabric
- Følg fremgangsmåten i Koble til ADLS Gen2 fra Power Query Online
- Velg Workspace Identity som godkjenningsmetode
Merk
Arbeidsområdeidentitet støttes bare for Dataflyter Gen2 med utrullingssamlebånd og offentlig API.
Hensyn og begrensninger
Arbeidsområdeidentitet kan opprettes i arbeidsområder som er knyttet til en hvilken som helst kapasitet (bortsett fra Mine arbeidsområder).
Arbeidsområdeidentitet kan brukes til godkjenning i en hvilken som helst kapasitet som støtter OneLake-snarveier, pipeliner, semantiske modeller eller Dataflows Gen2.
Klarert arbeidsområdetilgang til brannmuraktiverte lagringskontoer støttes i alle F-kapasiteter.
Du kan opprette tilkoblinger med godkjenning basert på arbeidsområdeidentitet i opplevelsen Administrer gatewayer og tilkoblinger .
Hvis du bruker tilkoblinger som er konfigurert med godkjenningsmetoden for arbeidsområdeidentitet på nytt i andre strukturelementer enn OneLake-snarveier, datasamlebånd, semantiske modeller eller Dataflyter Gen2, eller i andre arbeidsområder, kan det hende at de ikke fungerer.
Tilkoblinger med godkjenning av arbeidsområdeidentitet kan bare brukes i OneLake-snarveier, datasamlebånd, semantiske modeller eller Dataflyter Gen2.
Hvis du oppretter en tilkobling i Administrer gatewayer og tilkoblinger-opplevelsen , kan det hende du ser et banner som sier at godkjenningstypen for arbeidsområdeidentitet bare støttes i pipeliner og OneLake-snarveier. Dette er et kjent problem som vil bli løst med fremtidige utgivelser.
Kontroll av statusen for en tilkobling som har arbeidsområdeidentitet som godkjenningsmetode, støttes ikke.
Hvis organisasjonen har en Microsoft Entra policy for betinget tilgang for arbeidsbelastningsidentiteter som inkluderer alle tjenestekontohavere, bør hver Fabric-arbeidsområdeidentitet utelates fra policyen for betinget tilgang for arbeidsbelastningsidentiteter. Ellers vil ikke arbeidsområdeidentiteter fungere.
Arbeidsområdeidentitet er ikke kompatibel med forespørsler på tvers av leier.