Udostępnij za pośrednictwem

Tożsamość obszaru roboczego

Tożsamość obszaru roboczego Fabric to automatycznie zarządzana główna jednostka usługowa, którą można skojarzyć z obszarem roboczym Fabric. Obszary robocze sieci szkieletowej z tożsamością obszaru roboczego mogą bezpiecznie odczytywać lub zapisywać na kontach usługi Azure Data Lake Storage Gen2 z obsługą zapory za pośrednictwem zaufanego dostępu do obszaru roboczego dla skrótów usługi OneLake. Elementy sieci szkieletowej mogą używać tożsamości podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra. Usługa Fabric używa tożsamości obszarów roboczych do uzyskiwania tokenów Microsoft Entra, bez konieczności zarządzania poświadczeniami przez klienta.

Tożsamości obszaru roboczego można tworzyć w ustawieniach obszaru roboczego dowolnego obszaru roboczego z wyjątkiem Moich obszarów roboczych. Automatycznie do tożsamości obszaru roboczego przypisywana jest rola współautora obszaru roboczego, co daje dostęp do elementów obszaru roboczego.

Podczas tworzenia tożsamości obszaru roboczego, Fabric tworzy reprezentację usługi w Microsoft Entra ID w celu reprezentowania tożsamości. Tworzona jest również dołączona rejestracja aplikacji. System Fabric automatycznie zarządza poświadczeniami skojarzonymi z tożsamościami użytkowników przestrzeni roboczej, co zapobiega wyciekom poświadczeń oraz przestojom wynikającym z niewłaściwej obsługi poświadczeń.

Uwaga

Tożsamość obszaru roboczego sieci szkieletowej jest ogólnie dostępna. Tożsamość obszaru roboczego można utworzyć w dowolnym obszarze roboczym z wyjątkiem Mojego obszaru roboczego.

Tożsamości obszarów roboczych usługi Fabric mają pewne podobieństwa z tożsamościami zarządzanymi platformy Azure, ale ich cykl życia, administrowanie i zarządzanie są inne. Tożsamość obszaru roboczego ma niezależny cykl życia, który jest zarządzany w całości w usłudze Fabric. Obszar roboczy sieci szkieletowej można opcjonalnie skojarzyć z tożsamością. Po usunięciu obszaru roboczego tożsamość zostanie usunięta. Nazwa tożsamości obszaru roboczego jest zawsze taka sama jak nazwa skojarzonego z nim obszaru roboczego.

Tworzenie tożsamości obszaru roboczego i zarządzanie nią

Aby móc tworzyć tożsamość obszaru roboczego i zarządzać nią, musisz być administratorem obszaru roboczego. Obszar roboczy, dla którego tworzysz tożsamość, nie może być obszarem Mój obszar roboczy.

  1. Przejdź do obszaru roboczego i otwórz ustawienia obszaru roboczego.
  2. Wybierz kartę Tożsamość obszaru roboczego.
  3. Wybierz przycisk + Tożsamość obszaru roboczego.

Po utworzeniu tożsamości obszaru roboczego na karcie zostaną wyświetlone szczegóły tożsamości obszaru roboczego oraz lista autoryzowanych użytkowników.

Zrzut ekranu przedstawiający szczegóły tożsamości obszaru roboczego.

Sekcje konfiguracji tożsamości obszaru roboczego zostały opisane w poniższych sekcjach.

Szczegóły tożsamości

Szczegół opis
Nazwa/nazwisko Nazwa tożsamości obszaru roboczego. Nazwa identyfikacyjna obszaru roboczego jest taka sama jak nazwa obszaru roboczego.
Identyfikator Identyfikator GUID tożsamości obszaru roboczego. Jest to unikatowy identyfikator tożsamości.
Rola Rola przypisana do tożsamości w obszarze roboczym. Tożsamości obszarów roboczych są automatycznie przypisywane roli współtwórcy w momencie ich tworzenia.
Stan Stan obszaru roboczego. Możliwe wartości: Aktywne, Nieaktywne, Usuwanie, Nieużywalne, Nieudane, Usunięcie nieudane

Autoryzowani użytkownicy

Aby uzyskać informacje, zobacz Kontrola dostępu.

Usuwanie tożsamości obszaru roboczego

Po usunięciu tożsamości, elementy platformy Fabric uzależnione od tożsamości workspace w celu zaufanego dostępu do obszaru roboczego lub uwierzytelniania ulegną awarii. Nie można przywrócić usuniętych tożsamości obszaru roboczego.

Uwaga

Po usunięciu obszaru roboczego tożsamość obszaru roboczego również zostanie usunięta. Jeśli obszar roboczy zostanie przywrócony po usunięciu, tożsamość obszaru roboczego nie zostanie przywrócona. Jeśli chcesz, aby przywrócony obszar roboczy miał tożsamość obszaru roboczego, musisz utworzyć nowy obszar roboczy.

Jak używać tożsamości przestrzeni roboczej

Identyfikacja obszaru roboczego jest obecnie używana na dwa sposoby:

  • Aby uzyskać informacje o uwierzytelnianiu: zobacz Uwierzytelnianie przy użyciu tożsamości obszaru roboczego

  • W przypadku dostępu do zaufanego obszaru roboczego: skróty w obszarze roboczym, który ma tożsamość obszaru roboczego, mogą służyć do uzyskiwania dostępu do zaufanej usługi. Aby uzyskać więcej informacji, zobacz dostęp do zaufanego obszaru roboczego.

Zabezpieczenia, administracja i nadzór nad tożsamością obszaru roboczego

W poniższych sekcjach opisano, kto może używać tożsamości obszaru roboczego oraz jak można go monitorować w usługach Microsoft Purview i Azure.

Kontrola dostępu

Tożsamość obszaru roboczego może być tworzona i usuwana przez administratorów obszaru roboczego. Tożsamość obszaru roboczego ma rolę współautora obszaru roboczego w obszarze roboczym.

Ostrzeżenie

Tożsamość obszaru roboczego to automatycznie zarządzany obiekt usługi utworzony przez użytkowników Fabric. Dostęp do tej tożsamości powinien być starannie zarządzany i monitorowany, ponieważ każda osoba mająca dostęp do tożsamości może ją przejąć.

Tożsamość obszaru roboczego jest używana do uwierzytelniania w połączeniach do zasobów docelowych. Tylko użytkownicy z rolą administratora, członka lub współautora w obszarze roboczym mogą skonfigurować tożsamość obszaru roboczego na potrzeby uwierzytelniania w połączeniach.

Administratorzy aplikacji lub użytkownicy z wyższymi rolami mogą wyświetlać, modyfikować i usuwać jednostkę usługi oraz rejestrację aplikacji skojarzona z tożsamością obszaru roboczego na platformie Azure.

Ostrzeżenie

Modyfikowanie lub usuwanie jednostki usługi lub rejestracji aplikacji na platformie Azure nie jest zalecane, ponieważ spowoduje to, że elementy sieci szkieletowej uzależnione od tożsamości obszaru roboczego przestaną działać. Takie zmiany mogą zostać przywrócone. Ponadto należy przestrzegać zasady najniższych uprawnień podczas zarządzania rolami administratora aplikacji. Upewnij się, że do tej roli przypisano tylko odpowiednich użytkowników. Aby uzyskać więcej informacji, zobacz Administratorzy aplikacji

Zarządzanie tożsamością obszaru roboczego w Fabric

Administratorzy Fabric mogą administrować tożsamościami obszaru roboczego utworzonymi w swojej dzierżawie na karcie Tożsamości Fabric w portalu administracyjnym.

  1. Przejdź do karty Identyfikatory Fabric w portalu administracyjnym.
  2. Wybierz tożsamość obszaru roboczego, a następnie wybierz pozycję Szczegóły.
  3. Na karcie Szczegóły możesz wyświetlić dodatkowe informacje związane z tożsamością obszaru roboczego.
  4. Możesz również usunąć tożsamość obszaru roboczego.

    Uwaga

    Tożsamości obszarów roboczych nie można przywrócić po usunięciu. Zapoznaj się z konsekwencjami usunięcia tożsamości obszaru roboczego opisanego w artykule Usuwanie tożsamości obszaru roboczego.

Administrowanie tożsamością obszaru roboczego w usłudze Purview

Zdarzenia inspekcji wygenerowane w momencie tworzenia lub usuwania tożsamości obszaru roboczego można wyświetlić w dzienniku kontroli usługi Purview. Aby uzyskać dostęp do dziennika

  1. Przejdź do centrum Microsoft Purview.
  2. Wybierz kafelek Inspekcja.
  3. W wyświetlonym formularzu wyszukiwania inspekcji użyj pola Działania — przyjazne nazwy, aby wyszukać tożsamość fabric w celu znalezienia działań związanych z tożsamościami obszaru roboczego. Obecnie są następujące działania związane z tożsamościami obszaru roboczego:
    • Utworzono tożsamość struktury dla obszaru roboczego
    • Pobrana tożsamość sieci szkieletowej dla obszaru roboczego
    • Usunięto tożsamość Fabric dla obszaru roboczego
    • Pobrano token identyfikacyjny Fabric dla obszaru roboczego

Administrowanie tożsamością obszaru roboczego na platformie Azure

Aplikację skojarzoną z tożsamością obszaru roboczego można wyświetlić zarówno w aplikacjach przedsiębiorstwa, jak i w rejestracjach aplikacji w portalu Azure.

Aplikacje dla przedsiębiorstw

Aplikacja skojarzona z tożsamością obszaru roboczego jest widoczna w obszarze Aplikacje dla przedsiębiorstw w witrynie Azure Portal. Aplikacja Fabric Identity Management jest właścicielem jego konfiguracji.

Ostrzeżenie

Modyfikacje wprowadzone w aplikacji spowodują, że tożsamość obszaru roboczego przestanie działać, i takie zmiany mogą zostać cofnięte. Ponadto należy przestrzegać zasady najniższych uprawnień podczas zarządzania rolami administratora aplikacji. Upewnij się, że do tej roli przypisano tylko odpowiednich użytkowników. Aby uzyskać więcej informacji, zobacz Administratorzy aplikacji

Aby wyświetlić dzienniki inspekcji i dzienniki logowania dla tej tożsamości:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycji Microsoft Entra ID > Enterprise Applications.
  3. Wybierz pozycję Dzienniki inspekcji lub Dzienniki logowania według potrzeb.

Rejestracje aplikacji

Aplikacja skojarzona z tożsamością obszaru roboczego jest widoczna w obszarze Rejestracje aplikacji w witrynie Azure Portal. Nie należy wprowadzać żadnych modyfikacji, ponieważ spowoduje to, że tożsamość obszaru roboczego przestanie działać.

Zaawansowane scenariusze

W poniższych sekcjach opisano scenariusze dotyczące tożsamości obszarów roboczych, które mogą wystąpić.

Usuwanie tożsamości

Tożsamość obszaru roboczego można usunąć w ustawieniach obszaru roboczego. Po usunięciu tożsamości, elementy platformy Fabric uzależnione od tożsamości workspace w celu zaufanego dostępu do obszaru roboczego lub uwierzytelniania ulegną awarii. Nie można przywrócić usuniętych identyfikatorów obszaru roboczego.

Po usunięciu obszaru roboczego tożsamość obszaru roboczego również zostanie usunięta. Jeśli obszar roboczy zostanie przywrócony po usunięciu, tożsamość obszaru roboczego nie zostanie przywrócona. Jeśli chcesz, aby przywrócony obszar roboczy miał tożsamość obszaru roboczego, musisz utworzyć nowy obszar roboczy.

Zmiana nazwy obszaru roboczego

Zmiana nazwy obszaru roboczego powoduje również zmianę nazwy tożsamości obszaru roboczego na zgodną z nazwą obszaru roboczego. Jednak jej aplikacja Microsoft Entra i jednostka usługi pozostają takie same. Należy pamiętać, że w dzierżawie może istnieć wiele obiektów rejestracji aplikacji i aplikacji o tej samej nazwie.

Rozważania i ograniczenia

  • Tożsamość obszaru roboczego można utworzyć w dowolnym obszarze roboczym z wyjątkiem obszaru Mój obszar roboczy.
  • Jeśli obszar roboczy z tożsamością obszaru roboczego zostanie zmigrowany do pojemności innej niż Fabric lub do pojemności Fabric innej niż F SKU, tożsamość nie zostanie wyłączona ani usunięta, ale elementy Fabric polegające na zaufanym dostępie do obszaru roboczego przestaną działać.
  • W dzierżawie można utworzyć maksymalnie 1000 tożsamości przestrzeni roboczej. Po osiągnięciu tego limitu należy usunąć identyfikatory obszarów roboczych, aby umożliwić tworzenie nowych.
  • Skróty usługi Azure Data Lake Storage Gen2 w obszarze roboczym z tożsamością przestrzeni roboczej będą miały możliwość uzyskiwania zaufanego dostępu do usług.

Rozwiązywanie problemów z tworzeniem tożsamości obszaru roboczego

  • Jeśli nie możesz utworzyć tożsamości obszaru roboczego, ponieważ przycisk tworzenia jest wyłączony, upewnij się, że masz rolę administratora obszaru roboczego.

  • Jeśli wystąpią problemy podczas pierwszego tworzenia tożsamości obszaru roboczego w dzierżawie, spróbuj wykonać następujące czynności:

    1. Jeśli stan tożsamości obszaru roboczego to niepowodzenie, poczekaj godzinę, a następnie usuń tożsamość.
    2. Po usunięciu tożsamości poczekaj 5 minut, a następnie ponownie utwórz tożsamość.

Powiązana zawartość