Compartir a través de

Autenticación con la identidad del área de trabajo

Una identidad del área de trabajo de Fabric es una entidad de servicio administrada automáticamente que se puede asociar a un área de trabajo de Fabric. Puede usar la identidad del área de trabajo como método de autenticación al conectar elementos de Fabric en el área de trabajo a los recursos que admiten la autenticación de Microsoft Entra. La identidad del área de trabajo es un método de autenticación seguro, ya que no es necesario administrar claves, secretos y certificados. Al conceder a la identidad del área de trabajo permisos en recursos de destino como ADLS Gen2, Fabric puede usar la identidad para obtener tokens de Microsoft Entra para acceder al recurso.

El acceso de confianza a las cuentas de almacenamiento y la autenticación con la identidad del área de trabajo se pueden combinar. Puede usar la identidad del área de trabajo como método de autenticación para acceder a las cuentas de almacenamiento que tengan acceso público restringido a las redes virtuales y direcciones IP seleccionadas.

En este artículo se describe cómo usar la identidad del área de trabajo para autenticarse al conectar accesos directos de OneLake, canalizaciones, modelos semánticos y flujos de datos Gen2 (CI/CD) a orígenes de datos. El público de destino son ingenieros de datos y cualquier persona interesada en establecer una conexión segura entre los elementos de Fabric y los orígenes de datos.

Orígenes de datos compatibles

Para obtener la información más up-to-date sobre los conectores de Fabric compatibles con la autenticación de identidad del área de trabajo, consulte Información general sobre el conector de Fabric . También puede crear una nueva conexión en Administrar conexiones y puertas de enlace y revisar los tipos de conexión admitidos.

Autenticación con la identidad del área de trabajo

En el ejemplo siguiente se muestran los pasos para habilitar la autenticación de identidad del área de trabajo con Azure Data Lake Storage Gen2. Los pasos para otros orígenes de datos, como SQL Server, Blobs de Azure, Azure Analysis Services serán similares.

Paso 1: Creación de la identidad del área de trabajo

Debe ser administrador del área de trabajo para poder crear y administrar una identidad de área de trabajo.

  1. Vaya al área de trabajo y abra la configuración del área de trabajo.

  2. Seleccione la pestaña Identidad del área de trabajo.

  3. Seleccione el botón +Identidad del área de trabajo.

Una vez creada la identidad del espacio de trabajo, la pestaña muestra los detalles de la identidad del espacio de trabajo y la lista de usuarios autorizados.

Los administradores del área de trabajo pueden crear y eliminar la identidad del área de trabajo. Los administradores, miembros y colaboradores del área de trabajo pueden configurar la identidad como método de autenticación en las conexiones que se usan en accesos directos de OneLake, canalizaciones, modelos semánticos y Flujos de datos Gen2.

Para obtener más información, consulte Creación y administración de una identidad del área de trabajo.

Paso 2: Concesión de permisos de identidad en la cuenta de almacenamiento

  1. Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento a la que desea acceder desde OneLake.

  2. Seleccione la pestaña Control de acceso (IAM) de la barra lateral izquierda y seleccione Asignaciones de roles.

  3. Seleccione el botón Agregar y, luego, Agregar asignación de roles.

  4. Seleccione el rol que desea asignar a la identidad, como lector de datos de blobs de almacenamiento o colaborador de datos de blobs de almacenamiento.

    Nota:

    El rol debe proporcionarse en el nivel de cuenta de almacenamiento.

  5. Seleccione Asignar acceso a usuario, grupo o entidad de servicio.

  6. Seleccione + Seleccionar miembrosy busque por nombre o identificador de aplicación de la identidad del área de trabajo. Seleccione la identidad asociada a este área de trabajo.

  7. Seleccione Revisar y asignar y espere a que se complete la asignación de roles.

Paso 3: Creación del elemento de Fabric

Acceso directo de OneLake

Siga los pasos enumerados en Creación de un acceso directo de Azure Data Lake Storage Gen2. Seleccione la identidad del área de trabajo como método de autenticación (solo se admite para los accesos directos de ADLS Gen2).

Captura de pantalla que muestra la identidad del área de trabajo como opción de autenticación.

Canalizaciones con actividades de copiar, buscar y obtener metadatos

Para crear la canalización, siga los pasos indicados en el módulo 1: Creación de una canalización con Data Factory. Seleccione la identidad del área de trabajo como método de autenticación (compatible con las actividades Copy, Lookup y GetMetadata).

Nota:

El usuario que crea el acceso directo con la identidad del área de trabajo debe tener un rol de administrador, miembro o colaborador en el área de trabajo. Los usuarios que accedan a los accesos directos solo necesitan permisos en el almacén de lago de datos.

Informes y modelos semánticos

Puede usar un modelo semántico (modo de importación) con la autenticación de identidad del área de trabajo y crear modelos e informes.

  1. Cree el modelo semántico en Power BI Desktop que se conecte a la cuenta de almacenamiento de ADLS Gen2 mediante los pasos indicados en Análisis de datos en Azure Data Lake Storage Gen2 mediante Power BI. Puede usar la cuenta de organización para conectarse a Azure Data Lake Storage Gen2 en el escritorio.

  2. Importe el modelo al área de trabajo configurada con la identidad del área de trabajo.

  3. Vaya a la configuración del modelo y expanda la sección Conexiones de puerta de enlace y nube.

  4. En Conexiones en la nube, seleccione una conexión de datos configurada con el método de autenticación de identidad del área de trabajo y la cuenta de almacenamiento de ADLS Gen2 deseada. Puede crear esta conexión en la experiencia Administrar conexiones y puertas de enlace , o bien usar una conexión preexistente creada a través de las experiencias de creación de canalizaciones o acceso directo.

  5. Seleccione Aplicar y, a continuación, actualice el modelo para finalizar la configuración.

Nota:

Si se produce un error en la actualización, compruebe los permisos que tiene la identidad del área de trabajo en la cuenta de almacenamiento y valide la configuración de red de la cuenta de almacenamiento.

Flujos de datos Gen2

Data Factory en Microsoft Fabric usa conectores de Power Query para conectar el flujo de datos Gen2 a Azure Data Lake Storage Gen2. Para conectarse a Azure Data Lake Storage Gen2 en Dataflow Gen2:

  1. Creación del flujo de datos Gen2 en Fabric
  2. Siga los pasos indicados en Conexión a ADLS Gen2 desde Power Query Online.
  3. Seleccione Identidad del área de trabajo como método de autenticación.

Nota:

La identidad del espacio de trabajo solo es compatible con Dataflows Gen2, canalizaciones de implementación y API pública.

Consideraciones y limitaciones

  • La identidad del área de trabajo se puede crear en áreas de trabajo asociadas a cualquier capacidad (excepto en Mis áreas de trabajo).

  • La identidad del área de trabajo se puede usar para la autenticación en cualquier capacidad que sea compatible con accesos directos de OneLake, canalizaciones, modelos semánticos o Dataflows Gen2.

  • El acceso de confianza del área de trabajo a las cuentas de almacenamiento con firewall habilitado se admite en cualquier capacidad F.

  • Puede crear conexiones con autenticación de área de trabajo basada en identidad en la interfaz de Administrar puertas de enlace y conexiones.

  • Si reutiliza las conexiones configuradas con el método de autenticación de identidad del área de trabajo en elementos de Fabric distintos de los accesos directos de OneLake, canalizaciones, modelos semánticos o Flujos de datos Gen2, o en otras áreas de trabajo, es posible que no funcionen.

  • Las conexiones con workspace-identity-authentication solo se pueden usar en accesos directos de OneLake, canalizaciones, modelos semánticos o Dataflows Gen2.

  • Si crea una conexión en la experiencia Administrar puertas de enlace y conexiones, es posible que vea un banner que indica que el tipo de autenticación de identidad del área de trabajo solo se admite en canalizaciones y atajos de OneLake. Se trata de un problema conocido que se resolverá con futuras versiones.

  • No se admite la comprobación del estado de una conexión que tenga la identidad del área de trabajo como método de autenticación.

  • Si su organización tiene una directiva de acceso condicional de Microsoft Entra para las identidades de carga de trabajo que incluye todas las entidades de servicio, cada identidad del área de trabajo de Fabric debe excluirse de la directiva de acceso condicional para las identidades de carga de trabajo. De lo contrario, las identidades del área de trabajo no funcionarán.

  • La identidad del área de trabajo no es compatible con las solicitudes entre inquilinos.

Contenido relacionado

  • Last updated on