Autenticar com a identidade do espaço de trabalho

Uma identidade de espaço de trabalho Fabric é um principal de serviço gerido automaticamente que pode ser associado a um espaço de trabalho Fabric. Você pode usar a identidade do espaço de trabalho como método de autenticação ao conectar itens do Fabric no espaço de trabalho a recursos que oferecem suporte à autenticação do Microsoft Entra. A identidade do espaço de trabalho é um método de autenticação seguro, pois não há necessidade de gerenciar chaves, segredos e certificados. Quando concede permissões à identidade do espaço de trabalho em recursos de destino, tais como o ADLS gen 2, o Fabric pode utilizar essa identidade para obter tokens do Microsoft Entra para aceder ao recurso.

O acesso confiável às contas de armazenamento e a autenticação com a identidade do espaço de trabalho podem ser combinados. Você pode usar a identidade do espaço de trabalho como o método de autenticação para acessar contas de armazenamento que têm acesso público restrito a redes virtuais e endereços IP selecionados.

Este artigo descreve como usar a identidade do espaço de trabalho para autenticar ao conectar atalhos, pipelines, modelos semânticos e Dataflows Gen2 (CI/CD) do OneLake a fontes de dados. O público-alvo são engenheiros de dados e qualquer pessoa interessada em estabelecer uma conexão segura entre itens do Fabric e fontes de dados.

Fontes de dados suportadas

Para obter as informações mais up-toatualizadas sobre conectores de malha com suporte para autenticação de identidade de espaço de trabalho, consulte Visão geral do conector de malha Você também pode criar uma nova conexão em Gerenciar conexões e gateways e revisar os tipos de conexão suportados.

Autenticar com a identidade do espaço de trabalho

O exemplo abaixo mostra as etapas para habilitar a autenticação de identidade do espaço de trabalho com o Azure Data Lake Storage Gen2. As etapas para outras fontes de dados, como SQL Server, Blobs do Azure, Azure Analysis Services, serão semelhantes.

Etapa 1: Criar a identidade do espaço de trabalho

Você deve ser um administrador de espaço de trabalho para poder criar e gerenciar uma identidade de espaço de trabalho.

1. Navegue até o espaço de trabalho e abra as configurações do espaço de trabalho.

2. Selecione o separador Identidade do espaço de trabalho.

3. Selecione o botão + Identidade do espaço de trabalho.

Quando a identidade do espaço de trabalho tiver sido criada, a guia exibirá os detalhes da identidade do espaço de trabalho e a lista de usuários autorizados.

A identidade do espaço de trabalho pode ser criada e excluída pelos administradores do espaço de trabalho. Administradores, membros e colaboradores no espaço de trabalho podem configurar a identidade como o método de autenticação em conexões usadas em atalhos, pipelines, modelos semânticos e Dataflows Gen2 do OneLake.

Para obter mais detalhes, consulte Criar e gerenciar uma identidade de espaço de trabalho.

Etapa 2: Conceder as permissões de identidade na conta de armazenamento

1. Entre no portal do Azure e navegue até a conta de armazenamento que você deseja acessar do OneLake.

2. Selecione a guia Controle de acesso (IAM) na barra lateral esquerda e selecione Atribuições de função.

3. Selecione o botão Adicionar e selecione Adicionar atribuição de função.

4. Selecione a função que deseja atribuir à identidade, como Leitor de Dados de Blob de Armazenamento ou Colaborador de Dados de Blob de Armazenamento.

   Nota

   A função deve ser fornecida no nível da conta de armazenamento.

5. Selecione Atribuir acesso a Utilizador, grupo ou principal do serviço.

6. Selecione + Selecionar membros e pesquise por nome ou ID do aplicativo da identidade do espaço de trabalho. Selecione a identidade associada ao seu espaço de trabalho.

7. Selecione Rever + atribuir e aguarde até que a atribuição de função seja concluída.

Etapa 3: Criar o item Tecido

Atalho OneLake

Siga as etapas listadas em Criar um atalho do Azure Data Lake Storage Gen2. Selecione a identidade do espaço de trabalho como o método de autenticação (suportado apenas para atalhos do ADLS Gen2).

Pipelines com atividades de Cópia, Consulta e ObterMetadados

Para criar o pipeline, siga as etapas listadas no Módulo 1 - Criar um pipeline com o Data Factory. Selecione a identidade do espaço de trabalho como o método de autenticação (com suporte para as atividades Copy, Lookup e GetMetadata).

Relatórios e modelos semânticos

Você pode usar um modelo semântico (modo de importação) com autenticação de identidade de espaço de trabalho e criar modelos e relatórios.

1. Crie o modelo semântico no Power BI Desktop que se conecta à conta de armazenamento ADLS Gen2 usando as etapas listadas em Analisar dados no Azure Data Lake Storage Gen2 usando o Power BI. Você pode usar a conta organizacional para se conectar ao Azure Data Lake Storage Gen2 na Área de Trabalho.

2. Importe o modelo para o espaço de trabalho configurado com a identidade do espaço de trabalho.

3. Navegue até as configurações do modelo e expanda a seção Gateway e conexões na nuvem.

4. Em Conexões de nuvem, selecione uma conexão de dados configurada com o método de autenticação de identidade do espaço de trabalho e a conta de armazenamento ADLS Gen2 desejada. Você pode criar essa conexão na experiência Gerenciar conexões e gateways ou usar uma conexão preexistente criada por meio das experiências de criação de atalho ou pipeline.

5. Selecione Aplicar e atualize o modelo para finalizar a configuração.

Fluxos de dados Gen2

O Data Factory no Microsoft Fabric usa conectores do Power Query para conectar o Dataflow Gen2 ao Azure Data Lake Storage Gen2. Para se conectar ao Azure Data Lake Storage Gen2 no Dataflow Gen2:

1. Criar o Dataflow Gen2 na malha
2. Siga os passos listados em Ligar ao ADLS Gen2 a partir do Power Query Online
3. Selecione Identidade do Espaço de Trabalho como o método de autenticação

Considerações e limitações

• A identidade do espaço de trabalho pode ser criada em espaços de trabalho associados a qualquer capacidade (exceto Meus espaços de trabalho).

• A identidade do espaço de trabalho pode ser usada para autenticação em qualquer capacidade que ofereça suporte aos atalhos do OneLake, pipelines, modelos semânticos ou Dataflows Gen2.

• O acesso de espaço de trabalho confiável a contas de armazenamento habilitadas para firewall é suportado em qualquer capacidade F.

• Você pode criar conexões com autenticação baseada em identidade de espaço de trabalho na experiência Gerenciar Gateways e Conexões .

• Se reutilizar conexões configuradas com o método de autenticação de identidade do espaço de trabalho em itens do Fabric diferentes de atalhos do OneLake, pipelines, modelos semânticos ou Dataflows Gen2, ou em outros espaços de trabalho, elas podem não funcionar.

• As conexões com autenticação de identidade de espaço de trabalho só podem ser usadas em atalhos do OneLake, pipelines, modelos semânticos ou Dataflows Gen2.

• Se criar uma conexão na funcionalidade Gerir Gateways e Conexões, poderá ver um banner a informar que o tipo de autenticação de identidade do espaço de trabalho só é suportado em pipelines e atalhos do OneLake. Este é um problema conhecido que será resolvido com versões futuras.

• Não há suporte para verificação do status de uma conexão que tenha identidade de espaço de trabalho como método de autenticação.

• Se sua organização tiver uma política de Acesso Condicional do Microsoft Entra para identidades de carga de trabalho que inclua todas as entidades de serviço, cada identidade de espaço de trabalho de malha deverá ser excluída da política de Acesso Condicional para identidades de carga de trabalho. Caso contrário, as identidades do espaço de trabalho não funcionarão.

• A identidade do espaço de trabalho não é compatível com requisições entre diferentes locatários.

Conteúdos relacionados

• Identidade do espaço de trabalho
• Acesso ao espaço de trabalho confiável
• Identidades de tecido