工作区标识
Fabric 工作区标识是可与 Fabric 工作区关联的自动托管服务主体。 具有工作区标识的 Fabric 工作区可以通过 OneLake 快捷方式的受信任工作区访问权限安全地读取或写入已启用防火墙的 Azure Data Lake 存储 Gen2 帐户。 当连接到支持Microsoft Entra 身份验证的资源时,Fabric 项可以使用标识。 Fabric 使用工作区标识来获取 Microsoft Entra 令牌,而无需客户管理任何凭据。
可以在除“我的工作区”以外的任何工作区的工作区设置中创建工作区标识。 工作区标识会自动分配工作区参与者角色,并且有权访问工作区项。
创建工作区标识时,Fabric 会在 Microsoft Entra ID 中创建服务主体来表示标识。 还会创建随附的应用注册。 Fabric 会自动管理与工作区标识关联的凭证,从而防止凭证泄漏以及因凭证处理不当而停机的情况。
注意
Fabric 工作区标识已正式发布。 可以在除“我的工作区”之外 的任何工作区中创建工作区标识。
尽管 Fabric 工作区标识与 Azure 托管标识有一些相似之处,但他们的生命周期、管理和治理是不同的。 工作区标识具有完全在 Fabric 中管理的独立生命周期。 Fabric 工作区可以选择是否与标识相关联。 删除工作区时,标识也会被删除。 工作区标识始终与其关联的工作区的同名。
创建和管理工作区标识
必须是工作区管理员才能创建和管理工作区标识。 要为其创建标识的工作区不能是 “我的工作区”。
- 导航到工作区并打开工作区设置。
- 选择“工作区标识”选项卡。
- 选择“+ 工作区标识”选项卡。
创建工作区标识后,该选项卡将显示工作区标识详细信息和授权用户列表。
以下部分介绍工作区标识配置的各个部分。
标识详细信息
详细信息 | 说明 |
---|---|
Name | 工作区标识名称。 工作区标识与工作区同名。 |
ID | 工作区标识 GUID。 这是标识的唯一标识符。 |
角色 | 分配给标识的工作区角色。 创建工作区标识后,会自动为其分配参与者角色。 |
State | 工作区的状态。 可能的值:活动、非活动、正在删除、不可用、失败、删除失败 |
授权用户
有关详细信息,请参阅访问控制。
删除工作区标识
删除标识后,依赖工作区标识进行受信任工作区访问或身份验证的 Fabric 项目将会中断。 无法还原已删除的工作区标识。
注意
删除工作区时,也会删除工作区标识。 如果在删除后还原工作区,不会还原工作区标识。 如果希望还原的工作区具有工作区标识,则必须创建一个新工作区。
如何使用工作区标识
工作区标识目前可通过两种方式使用:
有关身份验证:请参阅 使用工作区标识进行身份验证
对于受信任的工作区访问:具有工作区标识的工作区中的快捷方式可用于受信任的服务访问。 有关详细信息,请参阅受信任工作区访问权限。
工作区标识的安全性、管理和治理
以下部分介绍了谁可以使用工作区标识,以及如何在 Microsoft Purview 和 Azure 中监视它。
访问控制
工作区标识可由工作区管理员创建和删除。 工作区标识在工作区上具有工作区参与者角色。
支持对连接中的资源进行身份验证的工作区标识。 只有工作区中具有管理员、成员或参与者角色的用户才能在连接中配置用于身份验证的工作区标识。
具有较高角色的应用程序管理员用户可以查看、修改和删除与 Azure 中的工作区标识关联的服务主体和应用注册。
警告
不建议在 Azure 中修改或删除服务主体或应用注册,因为这将导致依赖工作区标识的 Fabric 项停止工作。
在 Fabric 中管理工作区标识
Fabric 管理员可在管理员门户的 Fabric 标识选项卡中管理在其租户中创建的工作区标识。
- 导航到管理员门户中的“Fabric 标识”选项卡。
- 选择一个工作区标识,然后选择“详细信息”。
- 在“详细信息”选项卡中,可以查看与工作区标识相关的其他信息。
- 也可以删除工作区标识。
注意
删除后,无法还原工作区标识。 请务必阅读删除工作区标识中所述的删除工作区标识的后果。
在 Purview 中管理工作区标识
可以在 Purview 审核日志中查看创建和删除工作区标识时生成的审核事件。 访问日志
- 导航到 Microsoft Purview 中心。
- 选择“审核”磁贴。
- 在显示的审核搜索窗体中,使用“活动 - 易记名称”字段搜索 Fabric 标识以查找与工作区标识相关的活动。 目前,与工作区标识相关的以下活动包括:
- 为工作区创建了 Fabric 标识
- 检索到工作区的 Fabric 标识
- 删除了工作区的 Fabric 标识
- 检索到工作区的 Fabric 标识令牌
在 Azure 中管理工作区标识
可以在 Azure 门户中的“企业应用程序和应用注册”下查看与工作区标识关联的应用程序。
企业应用程序
可以在 Azure 门户的企业应用程序中查看与工作区标识关联的应用程序。 Fabric 身份管理应用是其配置所有者。
警告
此处对应用程序的修改将导致工作区标识停止工作。
若要查看此标识的审核日志和登录日志,请执行以下操作:
- 登录到 Azure 门户。
- 导航至 Microsoft Entra ID > 企业应用程序。
- 根据需要选择“审核日志”或“登录日志”。
应用注册
可以在 Azure 门户中的“应用注册”下看到与工作区标识关联的应用程序。 不应进行任何修改,因为这将导致工作区标识停止工作。
高级方案
以下部分描述了可能发生的涉及工作区标识的情况。
删除标识
可以在工作区设置中删除工作区标识。 删除标识后,依赖工作区标识进行受信任工作区访问或身份验证的 Fabric 项目将会中断。 无法还原已删除的工作区标识。
删除工作区时,也会删除工作区标识。 如果在删除后还原工作区,不会还原工作区标识。 如果希望还原的工作区具有工作区标识,则必须创建一个新工作区。
重命名工作区
工作区重命名时,工作区标识也会重命名,以确保与工作区名称保持一致。 但是,其Microsoft Entra 应用程序和服务主体保持不变。 请注意,一个租户中可以有多个同名的应用程序和应用注册对象。
注意事项和限制
- 可以在除“我的工作区”之外的任何工作区中创建工作区标识。
- 如果工作区标识的工作区迁移到非 Fabric 容量或非 F SKU Fabric 容量,则不会禁用或删除标识,但依赖受信任工作区访问的 Fabric 项将停止工作。
- 一个租户中最多可以创建 1,000 个工作区标识。 达到此限制后,必须删除工作区标识才能创建更新的标识。
- 具有工作区标识的工作区中的 Azure Data Lake Storage Gen2 快捷方式将能够访问受信任的服务。
排查创建工作区标识时遇到的问题
如果无法创建工作区标识,因为“创建”按钮已禁用,请确保具有工作区管理员角色。
如果在租户中创建工作区标识时遇到问题,请尝试以下步骤:
- 如果工作区标识状态为“失败”,请等待一小时,然后删除该标识。
- 删除标识后,请等待 5 分钟,然后再次创建标识。