Fabric 工作區身分識別是可與 Fabric 工作區相關聯的自動受控服務主體。 將工作區中的 Fabric 專案連接到支援Microsoft Entra 驗證的資源時,您可以使用工作區身分識別作為驗證方法。 工作區身分識別是安全的驗證方法,因為不需要管理密鑰、秘密和憑證。 當您為目標資源(如 ADLS Gen2)授予工作區身分識別許可權時,Fabric 可以使用該身分識別來獲取 Microsoft Entra 令牌以訪問資源。
儲存帳戶的信任存取權和工作區身分識別的驗證可以結合在一起。 您可以使用工作區身分識別作為驗證方法,來存取僅限於所選虛擬網路和IP位址的公用存取權的記憶體帳戶。
本文說明如何在將 OneLake 快捷方式、管線、語意模型和資料流程 Gen2 (CI/CD) 連線到資料來源時,使用工作區身分識別進行驗證。 目標受眾是資料工程師,以及任何有興趣在 Fabric 元素與資料來源之間建立安全連線的人。
支持的數據源
如需支援工作區身分識別驗證之 Fabric 連接器的最 up-to日期資訊,請參閱 Fabric 連接器概觀 :您也可以在 管理連線和閘道 中建立新的連線,並檢閱支援的連線類型。
使用工作區身分識別進行驗證
下列範例顯示使用 Azure Data Lake Storage Gen2 啟用工作區身分識別驗證的步驟。 其他數據源的步驟如下:SQL Server、Azure Blob、Azure Analysis Services。
步驟 1:建立工作區身分識別
您必須成為工作區管理員,才能建立和管理工作區身分識別。
瀏覽至工作區並開啟工作區設定。
選擇 [工作區身分識別] 索引標籤。
選取 [+ 工作區身分識別] 按鈕。
建立工作區身分識別後,索引標籤會顯示工作區身分識別詳細資料和授權使用者清單。
工作區身分識別可由工作區系統管理員建立和刪除。 工作區中的系統管理員、成員和參與者可以將身分識別設定為 OneLake 快捷方式、管線、語意模型和資料流程 Gen2 中使用的連線中的驗證方法。
如需詳細資訊,請參閱 建立和管理工作區身分識別。
步驟 2:授與儲存體帳戶的身分識別權限
登入 Azure 入口網站,然後流覽至您想要從 OneLake 存取的記憶體帳戶。
選取左側提要欄位中的 [存取控制 (IAM)] 索引標籤,然後選取 [ 角色指派]。
選取 [ 新增 ] 按鈕,然後選取 [ 新增角色指派]。
選取您要指派給身分識別的角色,例如 儲存體 Blob 資料讀取者 或 儲存體 Blob 資料貢獻者。
注意
角色必須在儲存體帳戶層級授予。
選取 [指派存取權給使用者、群組或服務主體]。
選取 [+ 選取成員],然後依工作區身分識別的名稱或應用程式 ID 搜尋。 選取與您的工作區相關聯的身分識別。
選取 [ 檢閱 + 指派 ],然後等候角色指派完成。
步驟 3:建立面料項目
OneLake 快捷方式
遵循建立 Azure Data Lake Storage Gen2 快捷方式中列出的步驟。 選取工作區身分識別作為驗證方法(僅支援ADLS Gen2快捷方式)。
具有 Copy、Lookup 和 GetMetadata 活動的管線
若要建立管線,請遵循 模組 1 - 使用 Data Factory 建立管線中列出的步驟。 選取工作區身分識別作為驗證方法(支援複製、查閱和 GetMetadata 活動)。
注意
使用工作區身分識別建立快捷方式的用戶必須在工作區中具有系統管理員、成員或參與者角色。 存取快捷方式的使用者只需要具備 Lakehouse 的權限即可。
報表和語意模型
您可以使用語意模型(匯入模式)搭配工作區身分識別驗證,並建立模型和報表。
請按照使用 Power BI 分析 Azure Data Lake Storage Gen2 中的數據中所列的步驟,在 Power BI Desktop 中建立語意模型,以連接到 ADLS Gen2 儲存帳戶。 您可以使用組織帳戶連線到 Desktop 中的 Azure Data Lake Storage Gen2。
將模型匯入使用工作區身分識別設定的工作區。
流覽至模型設定,然後展開 [網關和雲端連線] 區段。
在 [雲端連線] 下,選取使用工作區身分識別驗證方法和所需 ADLS Gen2 儲存器帳戶設定的數據連線。 您可以在 管理連線和閘道體驗 中建立此連線,或使用透過捷徑或管線建立體驗建立的預先存在的連線。
選取 [套用 ],然後重新整理模型以完成設定。
注意
如果重新整理失敗,請檢查工作區身分識別在記憶體帳戶上擁有的許可權,並驗證記憶體帳戶的網路設定。
資料流第 2 代
Microsoft Fabric Data Factory 使用 Power Query 連接器,將 Dataflow Gen2 連線至 Azure Data Lake Storage Gen2。 若要連線到數據流 Gen2 中的 Azure Data Lake Storage Gen2:
- 在 Fabric 中建立數據流 Gen2
- 遵循從 Power Query Online 連線到 ADLS Gen2 中所列的步驟
- 選取 [工作區身分識別] 作為驗證方法
注意
只有具有部署管線和公用 API 的數據流 Gen2 才支援工作區身分識別。
考量與限制
工作區的身份認證可以在與任何容量相關聯的工作區中建立(除了 [我的工作區] 以外)。
工作區身分識別可用於支持 OneLake 捷徑、管道、語意模型或資料流程二代的任何容量進行驗證。
任何 F 容量都支援啟用防火牆的記憶體帳戶的受信任工作區存取權。
你可以在雲端連線的 「管理閘道與連線 」體驗中,透過工作區身份驗證建立連線。
目前不支援基於 Workspace-Identity 的認證用於閘道連線。
如果您在 OneLake 快捷方式、管線、語意模型或資料流程 Gen2 以外的 Fabric 專案中重複使用使用工作區身分識別驗證方法設定的連線,或在其他工作區中,它們可能無法運作。
具有 workspace-identity-authentication 的連線只能用於 OneLake 捷徑、管線、語意模型或 Dataflows Gen2。
如果您在 [管理閘道和連線 ] 體驗中建立連線,您可能會看到橫幅,指出工作區身分識別驗證類型僅在管線和 OneLake 捷徑中受支援。 這是未來版本將解決的已知問題。
無法檢查使用工作區身份驗證作為驗證方法的連線狀態。
如果您的組織針對包含所有服務主體的工作負載身分識別具有Microsoft Entra 條件式存取原則,則每個網狀架構工作區身分識別都應該從工作負載身分識別的條件式存取原則中排除。 否則,工作區身分識別將無法運作。
工作區身分識別與跨租使用者要求不相容。