Identita pracovného priestoru
Identita pracovného priestoru služby Fabric je automaticky spravovaný objekt služby, ktorý možno priradiť k pracovnému priestoru služby Fabric. Pracovné priestory služby Fabric s identitou pracovného priestoru môžu bezpečne čítať kontá Azure Data Lake Storage Gen2 s podporou brány firewall alebo ich zapisovať prostredníctvom dôveryhodného prístupu k pracovnému priestoru pre skratky OneLake. Položky tkaniny môžu používať identitu pri pripájaní k zdrojom, ktoré podporujú overovanie Microsoft Entra. Fabric používa identity pracovného priestoru na získanie tokenov Microsoft Entra bez toho, aby zákazník musel spravovať prihlasovacie údaje.
Identity pracovného priestoru možno vytvoriť v nastaveniach pracovného priestoru ľubovoľného pracovného priestoru okrem časti Moje pracovné priestory. Identita pracovného priestoru sa automaticky priradí k role prispievateľa pracovného priestoru a má prístup k položkám pracovného priestoru.
Keď vytvoríte identitu pracovného priestoru, fabric vytvorí objekt služby v službe Microsoft Entra ID, ktorý bude predstavovať identitu. Vytvorí sa aj priložená registrácia aplikácie. Fabric automaticky spravuje poverenia priradené k identitám pracovného priestoru, čím predchádza úniku poverení a výpadkom v dôsledku nesprávneho spracovania poverení.
Poznámka
Identita pracovného priestoru služby Fabric je všeobecne dostupná. Identitu pracovného priestoru môžete vytvoriť v ľubovoľnom pracovnom priestore okrem časti Môj pracovný priestor.
Zatiaľ čo identity pracovného priestoru služby Fabric zdieľajú niektoré podobnosti so spravovanými identitami Azure, ich životný cyklus, spravovanie a riadenie sa líšia. Identita pracovného priestoru má nezávislý životný cyklus, ktorý je úplne spravovaný v službe Fabric. Pracovný priestor služby Fabric možno voliteľne priradiť k identite. Po odstránení pracovného priestoru sa identita odstráni. Názov identity pracovného priestoru je vždy rovnaký ako názov pracovného priestoru, ktorý je priradený.
Vytvorenie a spravovanie identity pracovného priestoru
Ak chcete mať možnosť vytvárať a spravovať identitu pracovného priestoru, musíte byť správcom pracovného priestoru. Pracovný priestor, pre ktorý vytvárate identitu, nemôže byť položkou Môj pracovný priestor.
- Prejdite do pracovného priestoru a otvorte nastavenia pracovného priestoru.
- Vyberte kartu Identita pracovného priestoru.
- Vyberte tlačidlo + Identita pracovného priestoru.
Po vytvorení identity pracovného priestoru sa na karte zobrazia podrobnosti o identite pracovného priestoru a zoznam oprávnených používateľov.
Časti konfigurácie identity pracovného priestoru sú popísané v nasledujúcich sekciách.
Podrobnosti o identite
| Podrobnosti | Description |
|---|---|
| Názov | Názov identity pracovného priestoru. Názov identity pracovného priestoru je rovnaký ako názov pracovného priestoru. |
| ID | Identifikátor GUID identity pracovného priestoru. Toto je jedinečný identifikátor identity. |
| Rola | Rola pracovného priestoru priradená k identite. Identitám pracovného priestoru sa pri vytváraní automaticky priradí rola prispievateľa. |
| Štát | Stav pracovného priestoru. Možné hodnoty: Active, Inactive, Deleteleting, Unusable, Failed, DeleteFailed |
Oprávnení používatelia
Ďalšie informácie nájdete v téme Riadenie prístupu.
Odstránenie identity pracovného priestoru
Po odstránení identity sa položky služby Fabric spoliehajú na identitu pracovného priestoru pre dôveryhodný prístup k pracovnému priestoru alebo overovanie prerušia. Odstránené identity pracovného priestoru nie je možné obnoviť.
Poznámka
Po odstránení pracovného priestoru sa odstráni aj identita pracovného priestoru. Ak sa pracovný priestor po odstránení obnoví, identita pracovného priestoru sa neobnoví. Ak chcete, aby obnovený pracovný priestor mal identitu pracovného priestoru, musíte vytvoriť novú.
Ako používať identitu pracovného priestoru
Identitu pracovného priestoru možno v súčasnosti použiť dvomi spôsobmi:
Overenie: Pozrite si tému Overovanie pomocou identity pracovného priestoru.
Na získanie dôveryhodného prístupu k pracovnému priestoru: Skratky v pracovnom priestore s identitou pracovného priestoru možno použiť na prístup k dôveryhodnej službe. Ďalšie informácie nájdete v téme Dôveryhodný prístup k pracovnému priestoru.
Zabezpečenie, spravovanie a riadenie identity pracovného priestoru
Nasledujúce časti popisujú, kto môže používať identitu pracovného priestoru a ako ju môžete monitorovať v službách Microsoft Purview a Azure.
Riadenie prístupu
Identitu pracovného priestoru môžu vytvoriť a odstrániť správcovia pracovného priestoru. Identita pracovného priestoru má v pracovnom priestore rolu prispievateľa pracovného priestoru.
Identita pracovného priestoru je podporovaná na overovanie pre cieľové zdroje v pripojeniach. Identitu pracovného priestoru na overenie v pripojeniach môžu nakonfigurovať iba používatelia s rolou správcu, člena alebo prispievateľa v pracovnom priestore.
Správcovia aplikácie alebo používatelia s vyššími rolami môžu zobrazovať, upravovať a odstraňovať objekt služby a registráciu aplikácie priradenú k identite pracovného priestoru v Azure.
Upozornenie
Úprava alebo odstránenie objektu služby alebo registrácie aplikácie v Službe Azure sa neodporúča, pretože to spôsobí, že položky služby Fabric spoliehajúce sa na identitu pracovného priestoru prestanú fungovať.
Spravovanie identity pracovného priestoru v službe Fabric
Správcovia štruktúry môžu spravovať identity pracovného priestoru vytvorené v ich nájomníkovi na karte Identít služby Fabric v portáli na správu.
- Na portáli na správu prejdite na kartu Identita služby Fabric.
- Vyberte identitu pracovného priestoru a potom vyberte položku Podrobnosti.
- Na karte Podrobnosti môžete zobraziť ďalšie informácie súvisiace s identitou pracovného priestoru.
- Môžete tiež odstrániť identitu pracovného priestoru.
Poznámka
Identity pracovného priestoru nie je možné po odstránení obnoviť. Nezabudnite skontrolovať dôsledky odstránenia identity pracovného priestoru popísané v téme Odstránenie identity pracovného priestoru.
Správa identity pracovného priestoru v purview
Udalosti auditu vygenerované pri vytváraní a odstraňovaní identity pracovného priestoru môžete zobraziť v denníku auditu Purview. Získanie prístupu k denníku
- Prejdite do centra Microsoft Purview.
- Vyberte dlaždicu Auditovať .
- Vo formulári vyhľadávania auditu, ktorý sa zobrazí, použite pole Aktivity – popisné názvy na vyhľadanie identity štruktúry na vyhľadanie aktivít súvisiacich s identitami pracovného priestoru. V súčasnosti sú nasledujúce aktivity súvisiace s identitami pracovného priestoru:
- Vytvorenie identity tkaniny pre pracovný priestor
- Načítanie identity tkaniny pre pracovný priestor
- Odstránenie identity tkaniny pre pracovný priestor
- Načítanie tokenu identity tkaniny pre pracovný priestor
Spravovanie identity pracovného priestoru v Azure
Aplikáciu priradenú k identite pracovného priestoru môžete zobraziť v podnikových aplikáciách aj v časti Registrácie aplikácií na portáli Azure.
Podnikové aplikácie
Aplikáciu priradenú k identite pracovného priestoru môžete zobraziť v podnikových aplikáciách na portáli Azure. Aplikácia Fabric Identity Management je jej vlastníkom konfigurácie.
Upozornenie
Úpravy tu vykonaného aplikácie spôsobia, že identita pracovného priestoru prestane fungovať.
Ak chcete zobraziť denníky auditu a prihlásenia pre túto identitu:
- Prihláste sa do portálu Azurel.
- Prejdite na podnikové aplikácie Microsoft Entra ID>.
- Podľa potreby vyberte položku Denníky auditu alebo Prihlásiť sa do denníkov.
Registrácie aplikácií
Aplikáciu priradenú k identite pracovného priestoru nájdete v časti Registrácie aplikácií na portáli Azure. Nemali by sa tam vykonávať žiadne úpravy, pretože tým identita pracovného priestoru prestane fungovať.
Pokročilé scenáre
Nasledujúce časti popisujú scenáre zahŕňajúce identity pracovného priestoru, ktoré sa môžu vyskytnúť.
Odstránenie identity
Identitu pracovného priestoru môžete odstrániť v nastaveniach pracovného priestoru. Po odstránení identity sa položky služby Fabric spoliehajú na identitu pracovného priestoru pre dôveryhodný prístup k pracovnému priestoru alebo overovanie prerušia. Odstránené identity pracovného priestoru nie je možné obnoviť.
Po odstránení pracovného priestoru sa odstráni aj identita pracovného priestoru. Ak sa pracovný priestor po odstránení obnoví, identita pracovného priestoru sa neobnoví . Ak chcete, aby obnovený pracovný priestor mal identitu pracovného priestoru, musíte vytvoriť novú.
Premenovanie pracovného priestoru
Keď sa pracovný priestor premenuje, identita pracovného priestoru sa premenuje tiež tak, aby zodpovedala názvu pracovného priestoru. Jej aplikácia Microsoft Entra a objekt služby však zostanú rovnaké. Všimnite si, že v nájomníkovi môže byť viacero objektov registrácie aplikácie a aplikácií s rovnakým názvom.
Dôležité informácie a obmedzenia
- Identitu pracovného priestoru možno vytvoriť v ľubovoľnom pracovnom priestore okrem časti Môj pracovný priestor.
- Ak sa pracovný priestor s identitou pracovného priestoru migruje do kapacity mimo služby Fabric alebo do kapacity služby SKU Fabric, táto identita sa nezakáže ani neodstráni, ale položky služby Fabric spoliehajújúce sa na dôveryhodný prístup k pracovnému priestoru prestanú fungovať.
- V nájomníkovi je možné vytvoriť maximálne 1 000 identít pracovného priestoru. Po dosiahnutí tohto limitu je potrebné odstrániť identity pracovného priestoru, aby sa umožnilo vytváranie novších identít.
- Skratky služby Azure Data Lake Storage Gen2 v pracovnom priestore s identitou pracovného priestoru budú schopné získať dôveryhodný prístup k službe.
Riešenie problémov s vytváraním identity pracovného priestoru
Ak nemôžete vytvoriť identitu pracovného priestoru, pretože tlačidlo vytvorenia je neaktívne, uistite sa, že máte rolu správcu pracovného priestoru.
Ak sa pri prvom vytvorení identity pracovného priestoru v nájomníkovi narazíte na problémy, vyskúšajte tieto kroky:
- Ak stav identity pracovného priestoru zlyhal, počkajte hodinu a odstráňte identitu.
- Po odstránení identity počkajte 5 minút a potom znova vytvorte identitu.