Udostępnij za pośrednictwem

Tożsamość obszaru roboczego

  • Artykuł

Tożsamość obszaru roboczego sieci szkieletowej to automatycznie zarządzana jednostka usługi, którą można skojarzyć z obszarem roboczym usługi Fabric. Obszary robocze sieci szkieletowej z tożsamością obszaru roboczego mogą bezpiecznie odczytywać lub zapisywać na kontach usługi Azure Data Lake Storage Gen2 z obsługą zapory za pośrednictwem zaufanego dostępu do obszaru roboczego dla skrótów usługi OneLake. Elementy sieci szkieletowej mogą używać tożsamości podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Sieć szkieletowa używa tożsamości obszarów roboczych do uzyskiwania tokenów firmy Microsoft Entra bez konieczności zarządzania poświadczeniami przez klienta.

Tożsamości obszaru roboczego można tworzyć w ustawieniach obszaru roboczego dowolnego obszaru roboczego z wyjątkiem Moich obszarów roboczych. Tożsamość obszaru roboczego jest automatycznie przypisywana do roli współautora obszaru roboczego i ma dostęp do elementów obszaru roboczego.

Podczas tworzenia tożsamości obszaru roboczego sieć szkieletowa tworzy jednostkę usługi w identyfikatorze Entra firmy Microsoft w celu reprezentowania tożsamości. Tworzona jest również dołączona rejestracja aplikacji. Sieć szkieletowa automatycznie zarządza poświadczeniami skojarzonymi z tożsamościami obszaru roboczego, zapobiegając tym samym wyciekom poświadczeń i przestojom z powodu nieprawidłowej obsługi poświadczeń.

Uwaga

Tożsamość obszaru roboczego sieci szkieletowej jest ogólnie dostępna. Tożsamość obszaru roboczego można utworzyć w dowolnym obszarze roboczym z wyjątkiem Mojego obszaru roboczego.

Tożsamości obszarów roboczych usługi Fabric współdzielą pewne podobieństwa z tożsamościami zarządzanymi platformy Azure, ale ich cykl życia, administrowanie i ład są różne. Tożsamość obszaru roboczego ma niezależny cykl życia, który jest zarządzany w całości w usłudze Fabric. Obszar roboczy sieci szkieletowej można opcjonalnie skojarzyć z tożsamością. Po usunięciu obszaru roboczego tożsamość zostanie usunięta. Nazwa tożsamości obszaru roboczego jest zawsze taka sama jak nazwa skojarzonego z nim obszaru roboczego.

Tworzenie tożsamości obszaru roboczego i zarządzanie nią

Aby móc tworzyć tożsamość obszaru roboczego i zarządzać nią, musisz być administratorem obszaru roboczego. Obszar roboczy, dla którego tworzysz tożsamość, nie może być obszarem Mój obszar roboczy.

  1. Przejdź do obszaru roboczego i otwórz ustawienia obszaru roboczego.
  2. Wybierz kartę Tożsamość obszaru roboczego.
  3. Wybierz przycisk + Tożsamość obszaru roboczego.

Po utworzeniu tożsamości obszaru roboczego na karcie zostaną wyświetlone szczegóły tożsamości obszaru roboczego oraz lista autoryzowanych użytkowników.

Zrzut ekranu przedstawiający szczegóły tożsamości obszaru roboczego.

Sekcje konfiguracji tożsamości obszaru roboczego zostały opisane w poniższych sekcjach.

Szczegóły tożsamości

Szczegół opis
Nazwa/nazwisko Nazwa tożsamości obszaru roboczego. Nazwa tożsamości obszaru roboczego jest taka sama jak nazwa obszaru roboczego.
Identyfikator Identyfikator GUID tożsamości obszaru roboczego. Jest to unikatowy identyfikator tożsamości.
Rola Rola obszaru roboczego przypisana do tożsamości. Tożsamości obszarów roboczych są automatycznie przypisywane do roli współautora podczas tworzenia.
Stanowy Stan obszaru roboczego. Możliwe wartości: Aktywne, Nieaktywne, Usuwanie, Bezużyteczne, Niepowodzenie, DeleteFailed

Autoryzowani użytkownicy

Aby uzyskać informacje, zobacz Kontrola dostępu.

Usuwanie tożsamości obszaru roboczego

Po usunięciu tożsamości elementy sieci szkieletowej uzależnione od tożsamości obszaru roboczego dla zaufanego dostępu do obszaru roboczego lub uwierzytelniania zostaną przerwane. Nie można przywrócić usuniętych tożsamości obszaru roboczego.

Uwaga

Po usunięciu obszaru roboczego tożsamość obszaru roboczego również zostanie usunięta. Jeśli obszar roboczy zostanie przywrócony po usunięciu, tożsamość obszaru roboczego nie zostanie przywrócona. Jeśli chcesz, aby przywrócony obszar roboczy miał tożsamość obszaru roboczego, musisz utworzyć nowy obszar roboczy.

Jak używać tożsamości obszaru roboczego

Tożsamość obszaru roboczego może być obecnie używana na dwa sposoby:

  • Aby uzyskać informacje o uwierzytelnianiu: zobacz Uwierzytelnianie przy użyciu tożsamości obszaru roboczego

  • W przypadku dostępu do zaufanego obszaru roboczego: skróty w obszarze roboczym, który ma tożsamość obszaru roboczego, mogą służyć do uzyskiwania dostępu do zaufanej usługi. Aby uzyskać więcej informacji, zobacz dostęp do zaufanego obszaru roboczego.

Zabezpieczenia, administracja i nadzór nad tożsamością obszaru roboczego

W poniższych sekcjach opisano, kto może używać tożsamości obszaru roboczego oraz jak można go monitorować w usługach Microsoft Purview i Azure.

Kontrola dostępu

Tożsamość obszaru roboczego można tworzyć i usuwać przez administratorów obszaru roboczego. Tożsamość obszaru roboczego ma rolę współautora obszaru roboczego w obszarze roboczym.

Tożsamość obszaru roboczego jest obsługiwana w przypadku uwierzytelniania zasobów docelowych w połączeniach. Tylko użytkownicy z rolą administratora, członka lub współautora w obszarze roboczym mogą skonfigurować tożsamość obszaru roboczego na potrzeby uwierzytelniania w połączeniach.

Administratorzy aplikacji lub użytkownicy z wyższymi rolami mogą wyświetlać, modyfikować i usuwać jednostkę usługi oraz rejestrację aplikacji skojarzona z tożsamością obszaru roboczego na platformie Azure.

Ostrzeżenie

Modyfikowanie lub usuwanie jednostki usługi lub rejestracji aplikacji na platformie Azure nie jest zalecane, ponieważ spowoduje to, że elementy sieci szkieletowej uzależnione od tożsamości obszaru roboczego przestaną działać.

Administrowanie tożsamością obszaru roboczego w sieci szkieletowej

Administratorzy sieci szkieletowej mogą administrować tożsamościami obszaru roboczego utworzonymi w dzierżawie na karcie Tożsamości sieci szkieletowej w portalu administracyjnym.

  1. Przejdź do karty Tożsamości sieci szkieletowej w portalu administracyjnym.
  2. Wybierz tożsamość obszaru roboczego, a następnie wybierz pozycję Szczegóły.
  3. Na karcie Szczegóły możesz wyświetlić dodatkowe informacje związane z tożsamością obszaru roboczego.
  4. Możesz również usunąć tożsamość obszaru roboczego.

    Uwaga

    Tożsamości obszarów roboczych nie można przywrócić po usunięciu. Zapoznaj się z konsekwencjami usunięcia tożsamości obszaru roboczego opisanego w artykule Usuwanie tożsamości obszaru roboczego.

Administrowanie tożsamością obszaru roboczego w usłudze Purview

Zdarzenia inspekcji wygenerowane podczas tworzenia i usuwania tożsamości obszaru roboczego można wyświetlić w dzienniku inspekcji usługi Purview. Aby uzyskać dostęp do dziennika

  1. Przejdź do centrum Microsoft Purview.
  2. Wybierz kafelek Inspekcja.
  3. W wyświetlonym formularzu wyszukiwania inspekcji użyj pola Działania — przyjazne nazwy , aby wyszukać tożsamość sieci szkieletowej w celu znalezienia działań związanych z tożsamościami obszaru roboczego. Obecnie są następujące działania związane z tożsamościami obszaru roboczego:
    • Utworzono tożsamość sieci szkieletowej dla obszaru roboczego
    • Pobrana tożsamość sieci szkieletowej dla obszaru roboczego
    • Usunięto tożsamość sieci szkieletowej dla obszaru roboczego
    • Pobrany token tożsamości sieci szkieletowej dla obszaru roboczego

Administrowanie tożsamością obszaru roboczego na platformie Azure

Aplikację skojarzoną z tożsamością obszaru roboczego można wyświetlić zarówno w aplikacjach dla przedsiębiorstw, jak i w Rejestracje aplikacji w witrynie Azure Portal.

Aplikacje dla przedsiębiorstw

Aplikacja skojarzona z tożsamością obszaru roboczego jest widoczna w obszarze Aplikacje dla przedsiębiorstw w witrynie Azure Portal. Aplikacja Fabric Identity Management jest jej właścicielem konfiguracji.

Ostrzeżenie

Modyfikacje wprowadzone w tym miejscu aplikacji spowodują, że tożsamość obszaru roboczego przestanie działać.

Aby wyświetlić dzienniki inspekcji i dzienniki logowania dla tej tożsamości:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycji Microsoft Entra ID > Enterprise Applications.
  3. Wybierz pozycję Dzienniki inspekcji lub Zaloguj się dzienniki zgodnie z potrzebami.

Rejestracje aplikacji

Aplikacja skojarzona z tożsamością obszaru roboczego jest widoczna w obszarze Rejestracje aplikacji w witrynie Azure Portal. Nie należy wprowadzać żadnych modyfikacji, ponieważ spowoduje to zatrzymanie działania tożsamości obszaru roboczego.

Zaawansowane scenariusze

W poniższych sekcjach opisano scenariusze dotyczące tożsamości obszarów roboczych, które mogą wystąpić.

Usuwanie tożsamości

Tożsamość obszaru roboczego można usunąć w ustawieniach obszaru roboczego. Po usunięciu tożsamości elementy sieci szkieletowej uzależnione od tożsamości obszaru roboczego dla zaufanego dostępu do obszaru roboczego lub uwierzytelniania zostaną przerwane. Nie można przywrócić usuniętych tożsamości obszaru roboczego.

Po usunięciu obszaru roboczego tożsamość obszaru roboczego również zostanie usunięta. Jeśli obszar roboczy zostanie przywrócony po usunięciu, tożsamość obszaru roboczego nie zostanie przywrócona. Jeśli chcesz, aby przywrócony obszar roboczy miał tożsamość obszaru roboczego, musisz utworzyć nowy obszar roboczy.

Zmiana nazwy obszaru roboczego

Zmiana nazwy obszaru roboczego powoduje również zmianę nazwy tożsamości obszaru roboczego na zgodną z nazwą obszaru roboczego. Jednak jej aplikacja Microsoft Entra i jednostka usługi pozostają takie same. Należy pamiętać, że w dzierżawie może istnieć wiele obiektów rejestracji aplikacji i aplikacji o tej samej nazwie.

Rozważania i ograniczenia

  • Tożsamość obszaru roboczego można utworzyć w dowolnym obszarze roboczym z wyjątkiem obszaru Mój obszar roboczy.
  • Jeśli obszar roboczy z tożsamością obszaru roboczego zostanie zmigrowany do pojemności innej niż sieć szkieletowa lub do pojemności sieci szkieletowej innej niż F, tożsamość nie zostanie wyłączona ani usunięta, ale elementy sieci szkieletowej uzależnione od zaufanego dostępu do obszaru roboczego przestaną działać.
  • W dzierżawie można utworzyć maksymalnie 1000 tożsamości obszaru roboczego. Po osiągnięciu tego limitu należy usunąć tożsamości obszarów roboczych, aby umożliwić tworzenie nowszych.
  • Skróty usługi Azure Data Lake Storage Gen2 w obszarze roboczym z tożsamością obszaru roboczego będą mogły uzyskiwać zaufany dostęp do usługi.

Rozwiązywanie problemów z tworzeniem tożsamości obszaru roboczego

  • Jeśli nie możesz utworzyć tożsamości obszaru roboczego, ponieważ przycisk tworzenia jest wyłączony, upewnij się, że masz rolę administratora obszaru roboczego.

  • Jeśli wystąpią problemy podczas pierwszego tworzenia tożsamości obszaru roboczego w dzierżawie, spróbuj wykonać następujące czynności:

    1. Jeśli stan tożsamości obszaru roboczego nie powiedzie się, zaczekaj godzinę, a następnie usuń tożsamość.
    2. Po usunięciu tożsamości poczekaj 5 minut, a następnie ponownie utwórz tożsamość.

Powiązana zawartość