Overenie pomocou identity pracovného priestoru
Identita pracovného priestoru služby Fabric je automaticky spravovaný objekt služby, ktorý možno priradiť k pracovnému priestoru služby Fabric. Identitu pracovného priestoru môžete použiť ako metódu overovania pri pripájaní položiek služby Fabric v pracovnom priestore k zdrojom, ktoré podporujú overovanie Microsoft Entra. Identita pracovného priestoru je zabezpečená metóda overovania, pretože nie je potrebné spravovať kľúče, tajné kódy a certifikáty. Keď udelíte identitu pracovného priestoru povoleniami pre cieľové zdroje, ako je napríklad ADLS gen2, fabric môže použiť identitu na získanie tokenov Microsoft Entra na prístup k prostriedku.
Dôveryhodné prístupy ku kontám úložiska a overovanie pomocou identity pracovného priestoru je možné skombinovať spolu. Identitu pracovného priestoru môžete použiť ako metódu overovania na prístup k kontám úložiska, ktoré majú verejný prístup obmedzený na vybraté virtuálne siete a IP adresy.
Tento článok popisuje, ako používať identitu pracovného priestoru na overenie pri pripájaní klávesových skratiek OneLake a kanálov údajov k zdrojom údajov. Cieľovou skupinou sú dátoví inžinieri a každý, kto má záujem o vytvorenie zabezpečeného prepojenia medzi položkami služby Fabric a zdrojmi údajov.
Krok č. 1: Vytvorenie identity pracovného priestoru
Ak chcete mať možnosť vytvárať a spravovať identitu pracovného priestoru, musíte byť správcom pracovného priestoru.
Prejdite do pracovného priestoru a otvorte nastavenia pracovného priestoru.
Vyberte kartu Identita pracovného priestoru.
Vyberte tlačidlo + Identita pracovného priestoru.
Po vytvorení identity pracovného priestoru sa na karte zobrazia podrobnosti o identite pracovného priestoru a zoznam oprávnených používateľov.
Identitu pracovného priestoru môžu vytvoriť a odstrániť správcovia pracovného priestoru. Identita pracovného priestoru má v pracovnom priestore rolu prispievateľa pracovného priestoru. Správcovia, členovia a prispievatelia v pracovnom priestore môžu nakonfigurovať identitu ako metódu overovania v pripojeniach služby Azure Data Lake Storage (ADLS) Gen2, ktoré sa používajú v kanáloch údajových kanálov a skratiek.
Ďalšie podrobnosti nájdete v téme Vytvorenie a spravovanie identity pracovného priestoru.
Krok č. 2: Udelenie povolení identity kontu úložiska
Prihláste sa na portál Azure a prejdite do konta úložiska, ku ktorému chcete získať prístup z oneLake.
Vyberte kartu Riadenie prístupu (IAM) na ľavom bočnom paneli a vyberte položku Priradenia rolí.
Vyberte tlačidlo Pridať a potom položku Pridať priradenie roly.
Vyberte rolu, ktorú chcete priradiť k identite, napríklad prispievateľ údajov ukladacieho priestoru objektu Blob alebo prispievateľ údajov ukladacieho priestoru objektu Blob.
Poznámka
Rola musí byť poskytnutá na úrovni konta úložiska.
Vyberte položku Priradiť prístup k používateľovi, skupine alebo objektu služby.
Vyberte položku + Vybrať členov a vyhľadajte identitu pracovného priestoru podľa mena alebo ID aplikácie. Vyberte identitu priradenú k vášmu pracovnému priestoru.
Vyberte položku Skontrolovať a priradiť a čakať na dokončenie priradenia roly.
Krok č. 3: Vytvorenie položky na tkanine
Skratka OneLake
Postupujte podľa krokov uvedených v téme Vytvorenie odkazu na úložisko Azure Data Lake Storage Gen2. Ako metódu overovania vyberte identitu pracovného priestoru (podporovaná iba pre ADLS Gen2).
Kanály údajov s aktivitami Kopírovať, Vyhľadať a GetMetadata
Postupujte podľa krokov uvedených v Module 1 – Vytvorenie kanála pomocou služby Data Factory na vytvorenie kanála údajov. Ako metódu overenia vyberte identitu pracovného priestoru (podporovaná iba pre ADLS Gen2 a pre aktivity Kopírovať, Vyhľadať a GetMetadata).
Poznámka
Používateľ, ktorý vytvára odkaz s identitou pracovného priestoru, musí mať rolu správcu, člena alebo prispievateľa v pracovnom priestore. Používatelia, ktorí pristupujú k odkazom, potrebujú len povolenia v dome lakehouse.
Dôležité informácie a obmedzenia
Identitu pracovného priestoru možno vytvoriť v pracovných priestoroch priradených k ľubovoľnej kapacite (okrem časti Moje pracovné priestory).
Identitu pracovného priestoru možno použiť na overenie v ľubovoľnej kapacite, ktorá podporuje skratky OneLake a údajové kanály.
Dôveryhodný prístup pracovného priestoru k kontám úložiska s podporou brány firewall je podporovaný v ľubovoľnej kapacite F.
V prostredí Spravovať brány a pripojenia môžete vytvárať pripojenia úžerníka ADLS Gen2 pomocou overovania na základe identity pracovného priestoru.
Pripojenia pomocou overovania identity pracovného priestoru možno používať iba v skratkách služby Onelake a kanáloch údajov.
Kontrola stavu pripojenia, ktoré má identitu pracovného priestoru, pretože metóda overovania nie je podporovaná.