Autenticar-se com a identidade do workspace

Uma identidade de workspace do Fabric é uma entidade de serviço gerenciada automaticamente que pode ser associada a um workspace do Fabric. É possível usar a identidade do workspace como método de autenticação ao conectar itens do Fabric no workspace a recursos compatíveis com a autenticação do Microsoft Entra. A identidade do workspace é um método de autenticação segura, pois não é necessário gerenciar chaves, segredos e certificados. Quando você concede à identidade do workspace permissões com relação a recursos de destino, como o ADLS de 2ª geração, o Fabric pode usar essa identidade para obter tokens do Microsoft Entra a fim de acessar esses recursos.

O acesso confiável às contas de armazenamento e a autenticação com a identidade do workspace podem ser usados em conjunto. É possível usar a identidade do workspace como método de autenticação para acessar contas de armazenamento com acesso público restrito a redes virtuais e endereços IP selecionados.

Este artigo descreve como usar a identidade do workspace para autenticar-se ao conectar atalhos do OneLake, pipelines, modelos semânticos e Fluxos de Dados Gen2 (CI/CD) a fontes de dados. O público-alvo são engenheiros de dados e qualquer pessoa interessada em estabelecer uma conexão segura entre itens do Fabric e fontes de dados.

Fontes de dados com suporte

Para obter as informações de data mais up-tosobre conectores do Fabric com suporte para autenticação de identidade do workspace, consulte a Visão geral do Conector do Fabric . Você também pode criar uma nova conexão em Gerenciar Conexões e Gateways e examinar os tipos de conexão com suporte.

Autenticar-se com a identidade do workspace

O exemplo a seguir mostra as etapas para habilitar a autenticação de identidade do workspace com o Azure Data Lake Storage Gen2. As etapas para outras fontes de dados, como SQL Server, Blobs do Azure, Azure Analysis Services, serão semelhantes.

Etapa 1: criar a identidade da área de trabalho

Você deve ser um administrador de espaço de trabalho para poder criar e gerenciar uma identidade de espaço de trabalho.

1. Navegue até o espaço de trabalho e abra as configurações do espaço de trabalho.

2. Selecione a guia Identidade do espaço de trabalho.

3. Selecione o botão + Identidade do espaço de trabalho.

Quando a identidade do espaço de trabalho tiver sido criada, a guia exibirá os detalhes da identidade do espaço de trabalho e a lista de usuários autorizados.

A identidade do espaço de trabalho pode ser criada e excluída pelos administradores do espaço de trabalho. Administradores, membros e colaboradores no espaço de trabalho podem configurar a identidade como o método de autenticação em conexões usadas em atalhos do OneLake, pipelines, modelos semânticos e fluxos de dados Gen2 do OneLake.

Para saber mais, confira Criar e gerenciar uma identidade de workspace.

Etapa 2: conceder as permissões de identidade na conta de armazenamento

1. Entre no portal do Azure e acesse a conta de armazenamento que você deseja acessar por meio do OneLake.

2. Selecione a guia do IAM (Controle de acesso) na barra lateral esquerda e clique em Atribuições de função.

3. Clique no botão Adicionar e selecione Adicionar atribuição de função.

4. Selecione a função que você deseja atribuir à identidade, como Leitor de dados do blob de armazenamento ou Colaborador de dados do blob de armazenamento.

   Observação

   A função deve ser fornecida no nível da conta de armazenamento.

5. Selecione Atribuir acesso a usuário, grupo ou entidade de serviço.

6. Clique em + Selecionar membros e pesquise pelo nome ou ID do aplicativo da identidade do workspace. Selecione a identidade associada ao ambiente de trabalho.

7. Selecione Revisar + atribuir e aguarde a conclusão da atribuição de função.

Etapa 3: criar o item do Fabric

Atalho do OneLake

Siga as etapas listadas em Criar um atalho do Azure Data Lake Storage Gen2. Selecione a identidade do workspace como o método de autenticação (com suporte apenas para atalhos do ADLS Gen2).

Pipelines com atividades de Cópia, Pesquisa e GetMetadata

Para criar o pipeline, siga as etapas listadas no Módulo 1 – Criar um pipeline com o Data Factory. Selecione a identidade do workspace como o método de autenticação (compatível com as atividades Copy, Lookup e GetMetadata).

Relatórios e modelos semânticos

Você pode usar um modelo semântico (modo de importação) com autenticação de identidade de workspace e criar modelos e relatórios.

1. Crie o modelo semântico no Power BI Desktop que se conecta à conta de armazenamento do ADLS Gen2 usando as etapas listadas em Analisar dados no Azure Data Lake Storage Gen2 usando o Power BI. Você pode usar a conta organizacional para se conectar ao Azure Data Lake Storage Gen2 na Área de Trabalho.

2. Importe o modelo para o espaço de trabalho configurado com a identidade do espaço de trabalho.

3. Navegue até as configurações do modelo e expanda a seção Gateway e conexões de nuvem.

4. Em conexões de nuvem, selecione uma conexão de dados configurada com o método de autenticação de identidade do workspace e a conta de armazenamento do ADLS Gen2 desejada. Você pode criar essa conexão na experiência Gerenciar conexões e gateways ou usar uma conexão pré-existente criada por meio das experiências de criação de atalho ou pipeline.

5. Selecione Aplicar e atualize o modelo para finalizar a configuração.

Fluxos de Dados Gen2

O Data Factory no Microsoft Fabric usa conectores do Power Query para conectar o Dataflow Gen2 ao Azure Data Lake Storage Gen2. Para se conectar ao Azure Data Lake Storage Gen2 no Dataflow Gen2:

1. Criar o Fluxo de Dados Gen2 no Fabric
2. Siga as etapas listadas no Connect to ADLS Gen2 do Power Query Online
3. Selecione a Identidade do Workspace como o método de autenticação

Considerações e limitações

• A identidade do espaço de trabalho pode ser criada em espaços de trabalho associados a qualquer capacidade (exceto Meus espaços de trabalho).

• A identidade do workspace pode ser usada para autenticação em qualquer capacidade que ofereça suporte a atalhos do OneLake, pipelines, modelos semânticos ou Fluxos de Dados Gen2.

• O acesso confiável do workspace a contas de armazenamento habilitadas para firewall é aceito em uma capacidade F.

• Você pode criar conexões com a autenticação baseada em identidade do workspace na experiência Gerenciar Gateways e Conexões .

• Se você reutilizar conexões configuradas com o método de autenticação de identidade do workspace em itens do Fabric que não sejam atalhos do OneLake, pipelines, modelos semânticos ou Fluxos de Dados Gen2 ou em outros workspaces, eles poderão não funcionar.

• Conexões com workspace-identity-authentication só podem ser usadas em atalhos do OneLake, pipelines, modelos semânticos ou Fluxos de Dados Gen2.

• Se você criar uma conexão na experiência Gerenciar Gateways e Conexões, poderá ver um banner informando que o tipo de autenticação de identidade do workspace só tem suporte em pipelines e atalhos do OneLake. Esse é um problema conhecido que será resolvido com versões futuras.

• Não há suporte para verificar o status de uma conexão que tenha a identidade do workspace como método de autenticação.

• Se sua organização tiver uma política de Acesso Condicional do Microsoft Entra para identidades de carga de trabalho que incluam todas as entidades de serviço, cada identidade de workspace do Fabric deverá ser excluída da política de Acesso Condicional para identidades de carga de trabalho. Caso contrário, as identidades do workspace não funcionarão.

• A identidade do espaço de trabalho não é compatível com solicitações entre diferentes locatários.

Conteúdo relacionado

• Identidade do espaço de trabalho
• Acesso confiável ao espaço de trabalho
• Identidades do Fabric