Share via

Správa uživatelů, instančních objektů a skupin

  • Článek

Tento článek představuje model správy identit Azure Databricks a poskytuje přehled o správě uživatelů, skupin a instančních objektů v Azure Databricks.

Názorný pohled na to, jak nejlépe nakonfigurovat identitu v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.

Informace o správě přístupu pro uživatele, instanční objekty a skupiny najdete v tématu Ověřování a řízení přístupu.

Identity Azure Databricks

Existují tři typy identity Azure Databricks:

  • Uživatelé: Identity uživatelů rozpoznané službou Azure Databricks a reprezentované e-mailovými adresami
  • Instanční objekty: Identity pro použití s úlohami, automatizovanými nástroji a systémy, jako jsou skripty, aplikace a platformy CI/CD.
  • Skupiny: Kolekce identit používaných správci ke správě přístupu ke skupinám k pracovním prostorům, datům a dalším zabezpečitelným objektům. Všechny identity Databricks je možné přiřadit jako členy skupin. V Azure Databricks existují dva typy skupin: skupiny účtů a místní skupiny pracovního prostoru. Další informace najdete v tématu Rozdíl mezi skupinami účtů a místními skupinami pracovního prostoru.

V účtu může být maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin. V každém pracovním prostoru může být maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin.

Podrobné pokyny najdete tady:

Kdo může spravovat identity v Azure Databricks?

Pokud chcete spravovat identity v Azure Databricks, musíte mít jednu z těchto možností: roli správce účtu, roli správce pracovního prostoru nebo roli správce v instančním objektu nebo skupině.

  • Správci účtů můžou do účtu přidávat uživatele, instanční objekty a skupiny a přiřazovat jim role správce. Správci účtů můžou aktualizovat a odstraňovat uživatele, instanční objekty a skupiny v účtu. Můžou uživatelům udělit přístup k pracovním prostorům, pokud tyto pracovní prostory používají federaci identit.

    Pokud chcete vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.

  • Správci pracovního prostoru můžou do účtu Azure Databricks přidávat uživatele a instanční objekty. Pokud jsou jejich pracovní prostory povolené pro federaci identit, můžou do účtu Azure Databricks také přidat skupiny. Správci pracovních prostorů můžou uživatelům, instančním objektům a skupinám udělit přístup ke svým pracovním prostorům. Nemůžou z účtu odstranit uživatele a instanční objekty.

    Správci pracovního prostoru můžou také spravovat místní skupiny pracovního prostoru. Další informace najdete v tématu Správa místních skupin pracovního prostoru (starší verze).

  • Správci skupin můžou spravovat členství ve skupinách a skupinu odstranit. Můžou také přiřadit další uživatele roli správce skupiny. Správci účtů mají roli správce skupin ve všech skupinách v účtu. Správci pracovního prostoru mají roli správce skupin u skupin účtů, které vytvoří. Viz Kdo může spravovat skupiny účtů?.

  • Správci instančních objektů můžou spravovat role v instančním objektu. Správci účtů mají roli správce instančního objektu pro všechny instanční objekty v účtu. Správci pracovního prostoru mají u instančních objektů, které vytvářejí, roli správce instančního objektu. Další informace naleznete v tématu Role pro správu instančních objektů.

Jak správci přiřazují uživatele k účtu?

Databricks doporučuje používat zřizování SCIM k automatické synchronizaci všech uživatelů a skupin z Microsoft Entra ID (dříve Azure Active Directory) s vaším účtem Azure Databricks. Uživatelé v účtu Azure Databricks nemají výchozí přístup k pracovnímu prostoru, datům nebo výpočetním prostředkům. Správci účtů a správci pracovního prostoru můžou uživatelům účtu přiřazovat pracovní prostory. Správci pracovního prostoru můžou také přidat nového uživatele přímo do pracovního prostoru, který uživatele automaticky přidá do účtu a přiřadí ho k ho němuž.

Pomocí sdílené složky řídicího panelu můžou uživatelé sdílet publikované řídicí panely s ostatními uživateli v účtu Databricks, i když tito uživatelé nejsou členy jejich pracovního prostoru. Další informace najdete v tématu Co je sdílená složka k účtu?.

Podrobné pokyny k přidání uživatelů do účtu najdete tady:

Jak správci přiřazují uživatele k pracovním prostorům?

Aby mohl uživatel, instanční objekt nebo skupina pracovat v pracovním prostoru Azure Databricks, musí mu správce účtu nebo správce pracovního prostoru přiřadit pracovní prostor. Přístup k pracovnímu prostoru můžete přiřadit uživatelům, instančním objektům a skupinám, které existují v účtu, pokud je pracovní prostor povolený pro federaci identit.

Správci pracovního prostoru můžou do pracovního prostoru přidat také nového uživatele, instančního objektu nebo skupinu účtů. Tato akce automaticky přidá vybraného uživatele, instanční objekt nebo skupinu účtů k účtu a přiřadí je k tomuto konkrétnímu pracovnímu prostoru.

Diagram identit na úrovni účtu

Poznámka:

Správci pracovních prostorů můžou také vytvářet starší místní skupiny pracovních prostorů v pracovních prostorech pomocí rozhraní API skupiny pracovních prostorů. Místní skupiny pracovního prostoru se do účtu nepřidávají automaticky. Místní skupiny pracovního prostoru nelze přiřadit k dalším pracovním prostorům ani udělit přístup k datům v metastoru katalogu Unity.

U pracovních prostorů, které nejsou povolené pro federaci identit, správci pracovního prostoru spravují uživatele pracovního prostoru, instanční objekty a skupiny zcela v rámci oboru pracovního prostoru. Do účtu se automaticky přidají uživatelé a instanční objekty přidané do federovaných pracovních prostorů bez identity. Skupiny přidané do federovaných pracovních prostorů bez identity jsou staršími skupinami místních pracovních prostorů, které se do účtu nepřidávají.

Podrobné pokyny najdete tady:

Jak správci povolí federaci identit v pracovním prostoru?

Pokud byl váš účet vytvořen po 9. listopadu 2023, je federace identit ve výchozím nastavení povolená ve všech nových pracovních prostorech a nedá se zakázat.

Pokud chcete povolit federaci identit v pracovním prostoru, musí správce účtu povolit pracovní prostor pro katalog Unity přiřazením metastoru katalogu Unity. Viz Povolení pracovního prostoru pro katalog Unity.

Po dokončení přiřazení se federace identit v konzole účtu označí jako Povolená na kartě Konfigurace pracovního prostoru.

Správci pracovního prostoru můžou zjistit, jestli je na stránce nastavení pracovního prostoru povolená federace identit. Když se v pracovním prostoru federovaného identit rozhodnete přidat uživatele, instanční objekt nebo skupinu v nastavení správce pracovního prostoru, máte možnost vybrat uživatele, instanční objekt nebo skupinu z vašeho účtu, který chcete přidat do pracovního prostoru.

Přidání federace identit uživatelů

V pracovním prostoru, který není federovaný s identitou, nemáte možnost přidávat uživatele, instanční objekty ani skupiny z vašeho účtu.

Přiřazení správcovských rolí

Správci účtů můžou přiřadit jiné uživatele jako správce účtu. Mohou se také stát správci metastoru katalogu Unity z důvodu vytvoření metastoru a mohou přenést roli správce metastoru do jiného uživatele nebo skupiny.

Správci účtu i správci pracovního prostoru můžou přiřadit ostatní uživatele jako správce pracovního prostoru. Role správce pracovního prostoru je určená členstvím ve skupině správců pracovního prostoru, což je výchozí skupina v Azure Databricks a nelze ji odstranit.

Správci účtů můžou také přiřadit ostatní uživatele jako správce Marketplace.

Přečtěte si:

Nastavení jednotného přihlašování (SSO)

Jednotné přihlašování (SSO) ve formě přihlášení založeného na Službě Microsoft Entra (dříve Azure Active Directory) je k dispozici ve službě Azure Databricks pro všechny zákazníky. Jednotné přihlašování Microsoft Entra ID můžete použít pro konzolu účtu i pracovní prostory.

Viz Jednotné přihlašování.