Partager via

S’authentifier avec l’identité d’espace de travail

Une identité d’espace de travail Fabric est un principal de service managé automatiquement qui peut être associé à un espace de travail Fabric. Vous pouvez utiliser l’identité d’espace de travail comme méthode d’authentification lors de la connexion d’éléments Fabric dans l’espace de travail aux ressources qui prennent en charge l’authentification Microsoft Entra. L’identité de l’espace de travail est une méthode d’authentification sécurisée, car il n’est pas nécessaire de gérer les clés, les secrets et les certificats. Lorsque vous octroyez à l’identité d’espace de travail des autorisations sur des ressources cibles telles que ADLS Gen 2, Fabric peut utiliser l’identité pour obtenir des jetons Microsoft Entra pour accéder à la ressource.

L’accès approuvé aux comptes de stockage et l’authentification avec l’identité d’espace de travail peuvent être combinés. Vous pouvez utiliser l’identité d’espace de travail comme méthode d’authentification pour accéder aux comptes de stockage qui ont un accès public restreint aux réseaux virtuels et adresses IP sélectionnés.

Cet article explique comment utiliser l’identité de l’espace de travail pour vous authentifier lors de la connexion de raccourcis OneLake, de pipelines, de modèles sémantiques et de dataflows Gen2 (CI/CD) à des sources de données. L’audience cible est les ingénieurs données et toute personne qui souhaite établir une connexion sécurisée entre les éléments Fabric et les sources de données.

Sources de données prises en charge

Pour obtenir les informations les plus up-to-date sur les connecteurs Fabric avec prise en charge de l’authentification d’identité de l’espace de travail, reportez-vous à La vue d’ensemble du connecteur Fabric . Vous pouvez également créer une connexion dans Gérer les connexions et les passerelles et passer en revue les types de connexions pris en charge.

S’authentifier avec l’identité d’espace de travail

L’exemple ci-dessous vous montre les étapes permettant d’activer l’authentification d’identité de l’espace de travail avec Azure Data Lake Storage Gen2. Les étapes d’autres sources de données telles que SQL Server, Les objets blob Azure, Azure Analysis Services seront similaires.

Étape 1 : créer l’identité d’espace de travail

Vous devez être administrateur d’un espace de travail pour pouvoir créer et gérer une identité d’espace de travail.

  1. Accédez à l’espace de travail et ouvrez les paramètres de l’espace de travail.

  2. Sélectionnez l’onglet Identité de l’espace de travail.

  3. Sélectionnez le bouton + Identité de l’espace de travail.

Une fois l’identité de l’espace de travail créée, l’onglet affiche les détails de l’identité de l’espace de travail et la liste des utilisateurs autorisés.

L’identité de l’espace de travail peut être créée et supprimée par les administrateurs de l’espace de travail. Les administrateurs, les membres et les contributeurs de l’espace de travail peuvent configurer l’identité comme méthode d’authentification dans les connexions utilisées dans les raccourcis OneLake, les pipelines, les modèles sémantiques et Dataflows Gen2.

Pour plus d’informations, consultez Créer et gérer une identité d’espace de travail.

Étape 2 : accorder les autorisations d’identité sur le compte de stockage

  1. Connectez-vous au Portail Azure et accédez au compte de stockage auquel vous souhaitez accéder depuis OneLake.

  2. Sélectionnez l’onglet Contrôle d’accès (IAM) dans la barre latérale gauche, puis sélectionnez Attributions de rôle.

  3. Sélectionnez le bouton Ajouter puis sélectionnez Ajouter une attribution de rôle.

  4. Sélectionnez le rôle que vous souhaitez attribuer à l’identité, par exemple Lecteur de données Blob de stockage ou Contributeur aux données blob de stockage.

    Remarque

    Le rôle doit être fourni au niveau du compte de stockage.

  5. Sélectionnez Attribuer l’accès à Utilisateur, groupe ou principal de service.

  6. Sélectionnez + Sélectionner des membres , puis recherchez par nom ou ID d’application de l’identité d’espace de travail. Sélectionnez l’identité associée à votre espace de travail.

  7. Sélectionnez Vérifier + attribuer et attendez que l’attribution de rôle soit réalisée.

Étape 3 : créer l’élément Fabric

Raccourci OneLake

Suivez les étapes répertoriées dans Créer un raccourci Azure Data Lake Storage Gen2. Sélectionnez l’identité de l’espace de travail comme méthode d’authentification (prise en charge uniquement pour les raccourcis ADLS Gen2).

Capture d’écran montrant Identité d’espace de travail comme option d’authentification.

Pipelines avec des activités Copier, Rechercher et ObtenirMétadonnées

Pour créer le pipeline, suivez les étapes répertoriées dans le module 1 - Créer un pipeline avec Data Factory. Sélectionnez l’identité de l’espace de travail comme méthode d’authentification (prise en charge pour les activités Copy, Lookup et GetMetadata).

Remarque

L’utilisateur qui crée le raccourci avec l’identité de l’espace de travail doit avoir un rôle administrateur, membre ou contributeur dans l’espace de travail. Les utilisateurs qui accèdent aux raccourcis n’ont besoin que d'autorisations sur le Lakehouse.

Rapports et modèles sémantiques

Vous pouvez utiliser un modèle sémantique (mode d’importation) avec l’authentification d’identité de l’espace de travail et créer des modèles et des rapports.

  1. Créez le modèle sémantique dans Power BI Desktop qui se connecte au compte de stockage ADLS Gen2 à l’aide des étapes répertoriées dans Analyser les données dans Azure Data Lake Storage Gen2 à l’aide de Power BI. Vous pouvez utiliser un compte d’organisation pour vous connecter à Azure Data Lake Storage Gen2 dans Desktop.

  2. Importez le modèle dans l’espace de travail configuré avec l’identité de l’espace de travail.

  3. Accédez aux paramètres du modèle et développez la section Passerelle et connexions cloud.

  4. Sous connexions cloud, sélectionnez une connexion de données configurée avec la méthode d’authentification d’identité de l’espace de travail et le compte de stockage ADLS Gen2 souhaité. Vous pouvez créer cette connexion dans l’expérience Gérer les connexions et les passerelles , ou utiliser une connexion préexistante créée via les expériences de création de raccourci ou de pipeline.

  5. Sélectionnez Appliquer , puis actualisez le modèle pour finaliser la configuration.

Remarque

En cas d’échec de l’actualisation, vérifiez les autorisations que l’identité de l’espace de travail a sur le compte de stockage et validez les paramètres réseau du compte de stockage.

Flux de données Gen2

Data Factory dans Microsoft Fabric utilise des connecteurs Power Query pour connecter Dataflow Gen2 à Azure Data Lake Storage Gen2. Pour vous connecter à Azure Data Lake Storage Gen2 dans Dataflow Gen2 :

  1. Créer le dataflow Gen2 dans Fabric
  2. Suivez les étapes répertoriées dans Se connecter à ADLS Gen2 à partir de Power Query Online
  3. Sélectionner l’identité de l’espace de travail comme méthode d’authentification

Remarque

L’identité de l’espace de travail est prise en charge uniquement pour Dataflows Gen2 avec les pipelines de déploiement et l’API publique.

Observations et limitations

  • L’identité d’espace de travail peut être créée dans des espaces de travail associés à toute capacité (à l’exception de Mes espaces de travail).

  • L’identité de l’espace de travail peut être utilisée pour l’authentification dans toute capacité prenant en charge les raccourcis OneLake, les pipelines, les modèles sémantiques ou les flux de données de la génération 2.

  • L’accès de l’espace de travail approuvé aux comptes de stockage prenant en charge le pare-feu est pris en charge dans toute capacité F.

  • Vous pouvez créer des connexions avec l’authentification basée sur l’identité de l’espace de travail dans l’expérience Gérer les passerelles et les connexions .

  • Si vous réutilisez les connexions configurées avec la méthode d’authentification d’identité de l’espace de travail dans les éléments Fabric autres que les raccourcis OneLake, les pipelines, les modèles sémantiques ou Dataflows Gen2, ou dans d’autres espaces de travail, ils peuvent ne pas fonctionner.

  • Les connexions avec l’authentification d’identité de l’espace de travail ne peuvent être utilisées que dans les raccourcis OneLake, dans les pipelines, dans les modèles sémantiques ou dans Dataflows Gen2.

  • Si vous créez une connexion dans l’expérience Gérer les passerelles et connexions , vous pouvez voir une bannière indiquant que le type d’authentification d’identité de l’espace de travail n’est pris en charge que dans les pipelines et les raccourcis OneLake. Il s’agit d’un problème connu qui sera résolu avec les futures versions.

  • Le contrôle de l'état d'une connexion utilisant l'identité d'espace de travail comme méthode d'authentification n'est pas pris en charge.

  • Si votre organisation dispose d’une stratégie d’accès conditionnel Microsoft Entra pour les identités de charge de travail qui inclut tous les principaux de service, chaque identité d’espace de travail Fabric doit être exclue de la stratégie d’accès conditionnel pour les identités de charge de travail. Sinon, les identités d’espace de travail ne fonctionnent pas.

  • L'identité de l'espace de travail n'est pas compatible avec les demandes inter-locataires.

Contenu connexe

  • Last updated on