Workspace Identity es una identidad gestionada automáticamente que Microsoft Fabric asocia a un workspace. Es esencialmente un service principal que se crea en Microsoft Entra ID (Azure AD) sin que tengas que gestionar manualmente credenciales, secretos o certificados.

Ventajas principales

• ✅ Sin gestión de credenciales: No hay contraseñas, secretos ni certificados que mantener

• ✅ Sin expiración: Las credenciales no caducan, evitando interrupciones en pipelines productivos

• ✅ Mayor seguridad: Elimina el riesgo de fugas de credenciales en código o configuraciones

• ✅ Autenticación unificada: Usa Microsoft Entra ID para todos los servicios compatibles

---

Cómo crear Workspace Identity

Ve a tu workspace en Fabric y haz clic en el icono de engranaje (⚙️) para abrir Workspace Settings

Selecciona la pestaña Workspace identity y haz clic en + Workspace identity

¿Qué ocurre en segundo plano?

Al crear la Workspace Identity, Fabric automáticamente:

1. Registra una aplicación empresarial (Enterprise Application) en Microsoft Entra ID

2. El service principal se crea con el mismo nombre que tu workspace

3. Puedes encontrarlo en Azure Portal → Microsoft Entra ID → Enterprise Applications

⚠️ Importante: La creación del service principal NO otorga permisos automáticos sobre ningún recurso de Azure. Debes configurar los permisos manualmente para cada servicio.

El flujo de trabajo completo

---

Caso de uso 1: Azure Storage Account

Escenario

Quieres leer datos en un Azure Data Lake Storage Gen2 (ADLS Gen2) desde tus pipelines de Fabric.

Paso 1: Crear Workspace Identity

Ya cubierto en la sección anterior.

Paso 2: Asignar permisos en Azure Storage

1. Ve a tu Storage Account en Azure Portal

2. En el menú lateral, selecciona Access Control (IAM)

3. Haz clic en + Add → Add role assignment

   

4. Selecciona el rol apropiado:

   • Storage Blob Data Reader: Solo lectura

5. En la pestaña Members, haz clic en + Select members

6. Busca tu workspace por nombre (el service principal tiene el mismo nombre)

   

7. Selecciónalo y haz clic en Select

8. Haz clic en Review + assign

Paso 3: Creación de la conexión

Una vez asignados los permisos, se debe de crear la conexión en Fabric.

1. Ve a Manage connections and gateways

   

2. Haz clic en + New connection → Cloud

3. Selecciona Azure Data Lake Storage Gen2

4. Completa los datos:

   • Connection name: Nombre descriptivo (ej: "ADLS-WorkspaceIdentity")

   • Account name or URL: Tu storage account URL (https://mystorageaccount.dfs.core.windows.net)

   • Authentication method: Selecciona Workspace identity

   1. Haz clic en Create

Paso 4: Usar Workspace Identity en una Pipeline

En tu Pipeline:

1. Crea una actividad "Copy data"

2. En Source:

   • Connection: Selecciona la conexión creada anteriormente

   • File path: Container y carpeta (ej: contoso-csv-1m/product.csv)

     

3. En Destination:

   • Selecciona tu Lakehouse

   • Tabla destino (Nueva o ya existente)

4. Ejecuta el pipeline

Bonus: OneLake Shortcut con Workspace Identity

1. Ve a tu Lakehouse en Fabric

2. Haz clic en New shortcut

3. Selecciona Azure Data Lake Storage Gen2

   

4. Selecciona la conexión creada anteriormente

   

5. Haz clic en Create

Ahora puedes navegar por los datos del storage como si estuvieran en tu Lakehouse, sin moverlos físicamente.

---

Caso de uso 2: Azure SQL Database

Paso 1: Crear Workspace Identity

Ya cubierto anteriormente.

Paso 2: Dar permisos en Azure SQL Database

Debes crear un usuario de base de datos que represente al service principal y asignarle los permisos necesarios.

Conectar a la base de datos

Usa SQL Server Management Studio (SSMS), Azure Data Studio o el Query Editor de Azure Portal para conectarte a tu base de datos con una cuenta de administrador.

Ejecutar comandos SQL

-- Crear el usuario para el service principal
-- El nombre debe coincidir EXACTAMENTE con el nombre de tu workspace
CREATE USER [DataGym] FROM EXTERNAL PROVIDER;

-- Asignar roles de base de datos
-- Para solo lectura:
ALTER ROLE db_datareader ADD MEMBER [DataGym];

-- Para ejecutar stored procedures:
GRANT EXECUTE TO [DataGym];

-- Verificar que el usuario se creó correctamente
SELECT name, type_desc, authentication_type_desc 
FROM sys.database_principals 
WHERE name = 'DataGym';

💡 Tip: Si el nombre de tu workspace contiene caracteres especiales, asegúrate de usar corchetes [] alrededor del nombre.

Paso 3: Crear conexión

1. En Fabric, ve a Manage connections and gateways

2. Haz clic en + New connection → Cloud

3. Selecciona SQL Server

4. Completa:

   • Connection name: "AzureSQL-WorkspaceIdentity"

   • Server: myserver.database.windows.net

   • Database: Nombre de tu base de datos

   • Authentication method: Workspace identity

5. Haz clic en Create

Paso 4: Usar Workspace Identity en una Pipeline

En tu Pipeline:

1. Crea una actividad "Copy data"

2. En Source:

   • Connection: Selecciona la conexión creada anteriormente

     

3. En Destination:

   • Selecciona tu Lakehouse

   • Tabla destino (Nueva o ya existente)

Ejecuta el pipeline

---

Gestión Avanzada

Ver todas las Workspace Identities del tenant

1. Ve a Admin Portal en Fabric

2. Selecciona Fabric identities

3. Aquí verás todas las identidades creadas y podrás:

   • Ver detalles del service principal

   • Eliminar identidades (⚠️ acción irreversible)

Auditoría

Los eventos de creación y eliminación de Workspace Identities se registran en Microsoft Purview Audit Log:

• Evento de creación: WorkspaceIdentityCreated

• Evento de eliminación: WorkspaceIdentityDeleted

Asignar rol al área de trabajo para automatizaciones

Desde el 27 de julio de 2025, las nuevas Workspace Identities ya no tienen el rol Contributor asignado automáticamente sobre el workspace.

Impacto: Si necesitas que la Workspace Identity tenga permisos dentro del workspace de Fabric (por ejemplo, para automatización), debes asignarlos explícitamente:

1. Ve a Workspace Settings → Manage access

2. Haz clic en + Add people or groups

3. Busca el nombre de tu workspace (el service principal)

4. Asigna el rol apropiado (Viewer, Contributor, etc.)

---

Conclusión

Workspace Identity simplifica radicalmente la autenticación en Microsoft Fabric al:

• Eliminar la gestión manual de credenciales

• Centralizar la autenticación en Microsoft Entra ID

• Reducir riesgos de seguridad

El flujo es siempre el mismo:

1. Crear la Workspace Identity en Fabric

2. Asignar permisos al service principal en Azure/servicios externos

3. Utilizar en tus conexiones seleccionando "Workspace identity"

A medida que Microsoft expande el soporte a más conectores y artefactos, Workspace Identity se está convirtiendo en el método de autenticación estándar para entornos productivos de Fabric.

---

Referencias

Identidad del área de trabajo - Microsoft Fabric | Microsoft Learn

Autenticación con la identidad del área de trabajo de Microsoft Fabric - Microsoft Fabric | Microsoft Learn

Introducción a los conectores - Microsoft Fabric | Microsoft Learn