Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Een Fabric-werkruimte-id is een automatisch beheerde service-principal die kan worden gekoppeld aan een Fabric-werkruimte. U kunt de werkruimte-id gebruiken als verificatiemethode bij het verbinden van Fabric-items in de werkruimte met resources die ondersteuning bieden voor Microsoft Entra-verificatie. Werkruimte-identiteit is een veilige verificatiemethode, omdat sleutels, geheimen en certificaten niet hoeven te worden beheerd. Wanneer u de werkruimte-id met machtigingen voor doelresources, zoals ADLS Gen 2, verleent, kan Fabric de identiteit gebruiken om Microsoft Entra-tokens te verkrijgen voor toegang tot de resource.
Vertrouwde toegang tot Opslagaccounts en -verificatie met werkruimte-identiteit kan samen worden gecombineerd. U kunt werkruimte-id gebruiken als verificatiemethode voor toegang tot opslagaccounts waarvoor openbare toegang is beperkt tot geselecteerde virtuele netwerken en IP-adressen.
In dit artikel wordt beschreven hoe u de werkruimte-id gebruikt om te verifiëren bij het verbinden van OneLake-snelkoppelingen, pijplijnen, semantische modellen en Gegevensstromen Gen2 (CI/CD) met gegevensbronnen. De doelgroep is data engineers en iedereen die geïnteresseerd is in het tot stand brengen van een beveiligde verbinding tussen Fabric-items en gegevensbronnen.
Ondersteunde gegevensbronnen
Raadpleeg voor de meest up-to-datuminformatie over Fabric-connectors met ondersteuning voor identiteitsverificatie voor werkruimten een overzicht van infrastructuurconnectors . U kunt ook een nieuwe verbinding maken in Verbindingen en gateways beheren en de ondersteunde verbindingstypen bekijken.
Verifiëren met werkruimte-identiteit
In het onderstaande voorbeeld ziet u de stappen voor het inschakelen van werkruimte-identiteitsverificatie met Azure Data Lake Storage Gen2. De stappen voor andere gegevensbronnen, zoals SQL Server, Azure Blobs, Azure Analysis Services, zijn vergelijkbaar.
Stap 1: De werkruimte-id maken
U moet een werkruimtebeheerder zijn om een werkruimte-id te kunnen maken en beheren.
Navigeer naar de werkruimte en open de werkruimte-instellingen.
Selecteer het tabblad Werkruimte-identiteit .
Selecteer de knop +Werkruimte-identiteit.
Wanneer de werkruimte-id is gemaakt, worden op het tabblad de details van de werkruimte-id en de lijst met geautoriseerde gebruikers weergegeven.
Werkruimte-id kan worden gemaakt en verwijderd door werkruimtebeheerders. Beheerders, leden en inzenders in de werkruimte kunnen de identiteit configureren als de verificatiemethode in verbindingen die worden gebruikt in OneLake-snelkoppelingen, pijplijnen, semantische modellen en Gegevensstromen Gen2.
Zie Een werkruimte-id maken en beheren voor meer informatie.
Stap 2: De identiteitsmachtigingen voor het opslagaccount verlenen
Meld u aan bij Azure Portal en navigeer naar het opslagaccount dat u wilt openen vanuit OneLake.
Selecteer het tabblad Toegangsbeheer (IAM) in de linkerzijbalk en selecteer Roltoewijzingen.
Selecteer de knop Toevoegen en selecteer Roltoewijzing toevoegen.
Selecteer de rol die u wilt toewijzen aan de identiteit, zoals Storage Blob Data Reader of Inzender voor opslagblobgegevens.
Notitie
De rol moet worden opgegeven op het niveau van het opslagaccount.
Selecteer Toegang toewijzen tot gebruiker, groep of service-principal.
Selecteer + Leden selecteren en zoek op naam of app-ID van de werkruimte-identiteit. Selecteer de identiteit die is gekoppeld aan uw werkruimte.
Selecteer Beoordelen en toewijzen en wacht totdat de roltoewijzing is voltooid.
Stap 3: Het fabric-item maken
OneLake-snelkoppeling
Volg de stappen in Snelkoppeling maken voor Azure Data Lake Storage Gen2. Selecteer werkruimte-id als verificatiemethode (alleen ondersteund voor ADLS Gen2-snelkoppelingen).
Pijplijnen met kopieer-, lookup- en GetMetadata-activiteiten
Volg de stappen in Module 1 - Een pijplijn maken met Data Factory. Selecteer de werkruimte-id als verificatiemethode (ondersteund voor kopieer-, lookup- en GetMetadata-activiteiten).
Notitie
De gebruiker die de snelkoppeling met werkruimte-identiteit maakt, moet in de werkruimte de rol van beheerder, lid of medewerker hebben. Gebruikers die toegang hebben tot de snelkoppelingen hebben alleen machtigingen nodig voor het lakehouse.
Rapporten en semantische modellen
U kunt een semantisch model (importmodus) gebruiken met verificatie van werkruimte-id's en modellen en rapporten maken.
Maak het semantische model in Power BI Desktop dat verbinding maakt met het ADLS Gen2-opslagaccount met behulp van de stappen in Gegevens analyseren in Azure Data Lake Storage Gen2 met behulp van Power BI. U kunt een organisatieaccount gebruiken om verbinding te maken met Azure Data Lake Storage Gen2 in Desktop.
Importeer het model in de werkruimte die is geconfigureerd met de werkruimte-id.
Navigeer naar de modelinstellingen en vouw de sectie Gateway- en cloudverbindingen uit.
Selecteer onder cloudverbindingen een gegevensverbinding die is geconfigureerd met de verificatiemethode voor de werkruimte-id en het gewenste ADLS Gen2-opslagaccount. U kunt deze verbinding maken in de ervaring Verbindingen en gateways beheren of een vooraf bestaande verbinding gebruiken die is gemaakt via de ervaring voor het maken van snelkoppelingen of pijplijnen.
Selecteer Toepassen en vernieuw het model om de configuratie te voltooien.
Notitie
Als het vernieuwen mislukt, controleert u de machtigingen die de werkruimte-id heeft op het opslagaccount en valideert u de netwerkinstellingen van het opslagaccount.
Gegevensstromen Gen2
Data Factory in Microsoft Fabric maakt gebruik van Power Query-connectors om Dataflow Gen2 te verbinden met Azure Data Lake Storage Gen2. Verbinding maken met Azure Data Lake Storage Gen2 in Dataflow Gen2:
- De Dataflow Gen2 maken in Fabric
- Volg de stappen in Connect to ADLS Gen2 vanuit Power Query Online
- Werkruimte-id selecteren als verificatiemethode
Notitie
Werkruimte-identiteit wordt alleen ondersteund voor Gegevensstromen Gen2 met implementatiepijplijnen en openbare API.
Overwegingen en beperkingen
Werkruimte-identiteit kan worden gemaakt in werkruimten die zijn gekoppeld aan elke capaciteit (met uitzondering van Mijn werkruimten).
Werkruimte-identiteit kan worden gebruikt voor authenticatie in elke functie die ondersteuning biedt voor OneLake-snelkoppelingen, pijplijnen, semantische modellen of Dataflows Gen2.
Toegang tot vertrouwde werkruimten voor opslagaccounts met firewall wordt ondersteund in elke F-capaciteit.
U kunt verbindingen maken met verificatie op basis van werkruimte-identiteiten in de ervaring Gateways en Verbindingen beheren .
Als u verbindingen die zijn geconfigureerd met de werkruimte-identiteitsverificatiemethode opnieuw gebruikt in Fabric-items anders dan OneLake-snelkoppelingen, pijplijnen, semantische modellen of Gegevensstromen Gen2, of in andere werkruimten, dan kunnen ze mogelijk niet werken.
Verbindingen met werkruimte-identiteitsverificatie kunnen alleen worden gebruikt in OneLake-snelkoppelingen, pijplijnen, semantische modellen of Gegevensstromen Gen2.
Als u een verbinding creëert in de interface Gateways en verbindingen beheren, ziet u mogelijk een banner waarin staat dat het authenticatietype van werkruimte-identiteit alleen wordt ondersteund in pijplijnen en OneLake-snelkoppelingen. Dit is een bekend probleem dat wordt opgelost met toekomstige releases.
Het controleren van de status van een verbinding waarbij werkruimte-identiteit als authenticatiemethode wordt gebruikt, wordt niet ondersteund.
Als uw organisatie een Beleid voor voorwaardelijke toegang van Microsoft Entra heeft voor workloadidentiteiten die alle service-principals bevatten, moet elke Infrastructuurwerkruimte-identiteit worden uitgesloten van het beleid voor voorwaardelijke toegang voor workloadidentiteiten. Anders werken werkruimte-identiteiten niet.
De werkruimte-identiteit is niet verenigbaar met aanvragen tussen huurders.