通过

使用工作区标识进行身份验证

Fabric 工作区标识是可与 Fabric 工作区关联的自动托管服务主体。 将工作区中的 Fabric 项目连接到支持 Microsoft Entra 身份验证的资源时,可以使用工作区标识作为身份验证方法。 工作区标识是一种安全身份验证方法,因为无需管理密钥、机密和证书。 向工作区标识授予对目标资源(例如 ADLS gen 2)的权限时,Fabric 可以使用该标识获取 Microsoft Entra 令牌以访问资源。

可以将对存储帐户的受信任访问和使用工作区标识的身份验证结合在一起。 可以使用工作区标识作为身份验证方法来访问将公共访问权限限制为选定虚拟网络和 IP 地址的存储帐户。

本文介绍如何在将 OneLake 快捷方式、数据管道和语义模型连接到数据源时使用工作区标识进行身份验证。 目标受众是数据工程师以及任何有兴趣在 Fabric 项目和数据源之间建立安全连接的人。

步骤 1:创建工作区标识

你必须是工作区管理员才能创建和管理工作区标识。

  1. 导航到工作区并打开工作区设置。

  2. 选择“工作区标识”选项卡。

  3. 选择“+ 工作区标识”选项卡。

创建工作区标识后,该选项卡将显示工作区标识详细信息和授权用户列表。

工作区标识可由工作区管理员创建和删除。 工作区标识在工作区上具有工作区参与者角色。 工作区中的管理员、成员和参与者可以将标识配置为数据管道和快捷方式中使用的 Azure Data Lake Storage (ADLS) Gen2 连接中的身份验证方法。

有关详细信息,请参阅创建和管理工作区标识

步骤 2:授予对存储帐户的标识权限

  1. 登录 Azure 门户,导航到要从 OneLake 访问的存储帐户。

  2. 选择左侧边栏上的“访问控制 (IAM)”选项卡,然后选择“角色分配”。

  3. 选择“添加”按钮,然后选择“添加角色分配”。

  4. 选择要分配给标识的角色,例如存储 Blob 数据读取者或存储 Blob 数据参与者

    注意

    必须在存储帐户级别提供角色。

  5. 选择“将访问权限分配给用户、组或服务主体”

  6. 选择“+ 选择成员”,然后按工作区标识的名称或应用 ID 进行搜索。 选择与工作区关联的标识。

  7. 选择“查看 + 分配”,然后等待角色分配完成。

步骤 3:创建 Fabric 项

OneLake 快捷方式

按照创建 Azure Data Lake Storage Gen2 快捷方式中列出的步骤进行操作。 选择工作区标识作为身份验证方法(仅支持 ADLS Gen2)。

显示工作区标识作为身份验证选项的屏幕截图。

包含 Copy、Lookup 和 GetMetadata 活动的数据管道

若要创建数据管道,请按照 模块 1 中列出的步骤作 - 使用数据工厂创建管道。 选择工作区标识作为身份验证方法(仅支持 ADLS Gen2 以及 Copy、Lookup 和 GetMetadata 活动)。

注意

使用工作区标识创建快捷方式的用户必须在工作区中具有管理员、成员或参与者角色。 访问快捷方式的用户只需要拥有对湖屋的权限。

报表和语义模型

可以将语义模型(导入模式)与工作区标识身份验证配合使用,并针对 ADLS Gen2 存储帐户中的数据创建模型和报表。

  1. 在 Power BI Desktop 中创建语义模型,该模型使用在 Power BI 中分析 Azure Data Lake Storage Gen2 数据文档中列出的步骤来连接到 ADLS Gen2 存储帐户。 可以使用组织帐户在桌面版中连接到 Azure Data Lake Storage Gen2。

  2. 将模型导入到配置了工作区标识的工作区。

  3. 导航到模型设置并展开“网关和云连接”部分。

  4. 在“云连接”下,选择配置了工作区标识身份验证方法和所需的 ADLS Gen2 存储帐户的数据连接。 可以在 “管理连接和网关 ”体验中创建此连接,也可以使用通过快捷方式或数据管道创建体验创建的预先存在的连接。

  5. 选择 “应用 ”,然后刷新模型以完成配置。

注意

如果刷新失败,请检查工作区标识对存储帐户的权限,并验证存储帐户的网络设置。

注意事项和限制

  • 可以在与任何容量关联的工作区(“我的工作区”除外)中创建工作区标识。

  • 工作区标识可用于在支持 OneLake 快捷方式、数据管道和语义模型的任何容量中进行身份验证。

  • 任何 F 容量都支持对启用防火墙的存储帐户进行受信任的工作区访问。

  • 可以在 “管理网关和连接 ”体验中创建具有基于工作区标识的身份验证的 ADLS Gen 2 连接。

  • 如果在快捷方式、管道、语义模型等 Fabric 项目中或在其他工作区中重复使用使用工作区标识身份验证方法配置的连接,它们可能无法正常工作。

  • 与工作区标识身份验证的连接只能在 OneLake 快捷方式、数据管道和语义模型中使用。

  • 如果在 “管理网关和连接” 体验中创建连接,可能会看到一个横幅,指出工作区标识身份验证类型仅在数据管道和 OneLake 快捷方式中受支持。 这是将在未来版本中解决的已知问题。

  • 使用工作区标识身份验证创建连接时,你将看到工作区标识(预览版)。 这是将在未来版本中解决的已知问题。

  • 不支持检查以工作区标识作为身份验证方法的连接的状态。

  • 如果组织具有包含所有服务主体的工作负荷标识的 Microsoft Entra 条件访问策略,则应从工作负荷标识的条件访问策略中排除每个 Fabric 工作区标识。 否则,工作区标识将不起作用。

  • 工作区标识与跨租户请求不兼容。

相关内容