Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Automatická správa identit umožňuje bezproblémově přidávat uživatele, instanční objekty a skupiny z Microsoft Entra ID do Azure Databricks. Pokud je povolená automatická správa identit, můžete přímo vyhledávat uživatele, instanční objekty a skupiny v federovaných pracovních prostorech identit a přidávat je do pracovního prostoru. Azure Databricks jako zdroj záznamu používá Microsoft Entra ID, takže všechny změny členství ve skupinách se respektují v Azure Databricks.
Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025.
Uživatelé můžou také sdílet řídicí panely s libovolným uživatelem, instančním objektem nebo skupinou ve vašem zprostředkovateli identity. Při sdílení se tito uživatelé, zástupci služby a členové skupin při přihlášení automaticky přidají do účtu Azure Databricks. Nejsou přidáni jako členové do pracovního prostoru, ve kterém je řídicí panel. Uživatelům, kteří nemají přístup k pracovnímu prostoru, je udělen přístup ke kopii řídicího panelu, která je publikovaná se sdílenými oprávněními k datům. Další informace o sdílení řídicího panelu najdete v tématu Sdílení řídicího panelu.
Zřizování just-in-time (JIT) je vždy povoleno, když je zapnuta automatická správa identit, a nemůžete jej vypnout. Noví uživatelé jsou v Azure Databricks při prvním přihlášení automaticky vytvořeni. Viz Automatické zřizování uživatelů (JIT).
Automatická správa identit není podporována v federovaných pracovních prostorech bez identity. Další informace o federaci identit najdete v tématu Federace identit.
Stav uživatele, instančního objektu a skupiny
Pokud je povolena automatická správa identit, uživatelé, instanční objekty a skupiny z Microsoft Entra ID jsou viditelné v konzole účtu a na stránce nastavení správce pracovního prostoru. Jejich stav odráží jejich aktivitu a stav mezi ID Microsoft Entra a Azure Databricks:
| Status | Meaning |
|---|---|
| Neaktivní: Žádné využití | Pro uživatele a instanční objekty služby: identita ve zprostředkovateli identity, která se ještě nepřihlásila do Azure Databricks. Pro skupiny: Skupina nebyla přidána do pracovního prostoru. |
| Aktivní | Identita je v Azure Databricks aktivní. |
| Aktivní: Odebrán z [IdP] | Dříve byl aktivní v Azure Databricks a byl odstraněn ze zprostředkovatele identity. Azure Databricks tyto uživatele automaticky deaktivuje během další synchronizace identity. Nelze se přihlásit ani ověřit v rozhraních API. |
| Deaktivováno | Identita je deaktivovaná u poskytovatele identity nebo ji Azure Databricks automaticky deaktivoval po jejím odstranění od poskytovatele identity. Nelze se přihlásit ani ověřit v rozhraních API. |
| Odepřeno | Identita byla přidána do seznamu odepření přístupu k účtu. Azure Databricks nastaví identitu na neaktivní. Nelze se přihlásit, používat osobní přístupové tokeny nebo se zobrazit v dialogových oknech sdílení. Viz Odepření přístupu identit k vašemu účtu. |
Štítek stavu Active: Removed From [IdP] obsahuje název vašeho poskytovatele identity. Například Aktivní: Odebráno z EntraID.
Tip
V rámci osvědčených postupů zabezpečení Databricks doporučuje zneplatnit osobní přístupové tokeny uživatelů se stavem Deaktivováni a Aktivní: odebráni z [IdP]. Když se uživatelé odstraní ze zprostředkovatele identity, Azure Databricks automaticky deaktivuje své účty, ale neodvolá tokeny automaticky.
Identity spravované pomocí automatické správy identit se v Azure Databricks zobrazují jako externí . Externí identity nelze aktualizovat pomocí uživatelského rozhraní Azure Databricks.
Sdílení a přiřazování oprávnění
Pokud je povolená automatická správa identit, můžete při sdílení nebo přiřazování oprávnění v celém Azure Databricks vybrat uživatele a instanční objekty z Microsoft Entra ID.
U skupin se chování sdílení liší podle typu prostředku:
- Prostředky na úrovni účtu: Skupiny jsou k dispozici při sdílení nebo přiřazování oprávnění k prostředkům na úrovni účtu, jako jsou Databricks Apps, objekty katalogu Unity, řídicí panely AI/BI, agenti Genie a přiřazení pracovního prostoru.
- Prostředky na úrovni pracovního prostoru: Pokud chcete sdílet prostředky na úrovni pracovního prostoru (například poznámkové bloky, úlohy, služby SQL Warehouse, upozornění a soubory) se skupinami, musí správci pracovního prostoru nejprve skupinu přidat přímo do pracovního prostoru.
Automatická správa identit vs. zřizování SCIM
Pokud je povolená automatická správa identit, synchronizují se všichni uživatelé, skupiny a členství ve skupinách od zprostředkovatele identity do Azure Databricks takže zřizování SCIM není nutné. Pokud zřizování SCIM udržujete paralelně, SCIM bude dál spravovat identity přidané pomocí zřizování SCIM. Nespravuje identity, které nebyly přidány prostřednictvím provisioningu SCIM.
Zřizování SCIM vyžaduje roli Správce cloudových aplikací a samostatnou aplikaci Microsoft Entra ID.
Azure Databricks doporučuje používat automatickou správu identit. Následující tabulka porovnává funkce automatické správy identit s funkcemi zřizování SCIM.
| Features | Automatická správa identit | Zřizování SCIM |
|---|---|---|
| Synchronizace uživatelů | ✓ | ✓ |
| Synchronizovat skupiny | ✓ | ✓ (Pouze přímí členové) |
| Synchronizace vnořených skupin | ✓ | |
| Synchronizace servisních identit | ✓ | |
| Dostupné ve výchozím nastavení v Azure Databricks | ✓ | |
| Funguje se všemi edicemi Microsoft Entra ID | ✓ | |
| K dispozici bez administrátorských rolí Microsoft Entra ID | ✓ | |
| Vyžaduje federaci identit. | ✓ |
Externí identifikátor Azure Databricks a ID objektu Microsoft Entra ID
Azure Databricks používá ID Microsoft Entra ObjectId jako autoritativní odkaz pro synchronizaci identit a členství ve skupinách a automaticky aktualizuje externalId pole tak, aby odpovídalo ObjectId dennímu opakujícímu se toku. Databricks nedoporučuje míchat metody zřizování. Přidání stejné identity prostřednictvím automatické správy identit i zřizování SCIM způsobí konflikty duplicitních položek a oprávnění. Používejte automatickou správu identit jako jediný zdroj pravdy a členství ve skupinách zrcadlí ID Microsoft Entra.
Tyto duplicitní identity můžete sloučit tak, že v Azure Databricks poskytnete jejich externí ID. Pomocí rozhraní API Uživatelé účtu, Servisní principály účtu nebo Skupiny účtů aktualizujte principál a přidejte jejich Microsoft Entra ID do pole objectIdexternalId.
Vzhledem k tomu, že externalId může být v průběhu času aktualizován, Azure Databricks důrazně doporučuje, abyste nepoužívejte vlastní pracovní postupy, které závisí na poli externalId.
Jak funguje synchronizace členství ve skupinách
Pokud je povolena automatická správa identit, Azure Databricks aktualizuje členství uživatelů ve skupinách od vašeho zprostředkovatele identity při činnostech, které spouštějí ověřování a kontroly autorizace, například při přihlášení v prohlížeči, ověřování pomocí tokenu nebo spouštění úloh. Tím zajistíte, aby oprávnění založená na skupinách v Azure Databricks zůstala synchronizovaná se změnami provedenými ve vašem zprostředkovateli identity.
Když Azure Databricks aktualizuje členství ve skupinách, načte z vašeho zprostředkovatele identity tranzitivní (vnořené) členství ve skupině. To znamená, že pokud je uživatel členem skupiny A a skupina A je členem skupiny B, Azure Databricks rozpozná uživatele jako člena obou skupin. Azure Databricks načítá členství jenom pro skupiny přidané do Azure Databricks. Nesynchronizuje ani nerekonstruuje úplnou hierarchii nadřazených skupin od vašeho poskytovatele identity.
Azure Databricks aktualizuje členství ve skupinách podle různých plánů v závislosti na aktivitě:
- Přihlášení v prohlížeči: Členství ve skupinách se synchronizuje, pokud uplynulo více než 5 minut od poslední synchronizace.
- Jiné aktivity (například ověřování tokenů nebo spouštění úloh): Členství ve skupinách se synchronizují, pokud uplynulo více než 40 minut od poslední synchronizace.
Vnořené skupiny a služební principálové
Pokud je povolená automatická správa identit, členové vnořených skupin dědí oprávnění ze zřízených skupin. Oprávnění přiřazená nadřazené skupině platí pro všechny uživatele a instanční objekty, které patří do skupiny, včetně těch, které jsou přidané přímo do skupiny, a těch, kteří patří prostřednictvím vnořených členství ve skupině. Vnořené skupiny a instanční objekty ve skupině se ale v účtu nedají automaticky odkazovat, s výjimkou sdílení řídicího panelu.
Viditelnost vnořených skupin
Vnořené skupiny jsou viditelné v Azure Databricks. Zvažte podřízenou skupinu, Group-C, která je členem nadřazené skupiny Group-P. Pokud přidáte Group-P do pracovního prostoru, budou mít všechny identity v obou Group-PGroup-C případech přístup k pracovnímu prostoru. V uživatelském rozhraní správce účtu a správce pracovního prostoru se Group-C na stránce podrobností členů skupiny zobrazí jako člen Group-P . Na stránce podrobností skupiny se zobrazí pouze první úroveň vnoření.
Úvahy o vnořených skupinách
- Přístup k pracovnímu prostoru: Vnořené skupiny a služební účty není nutné přidávat přímo do pracovního prostoru pro získání přístupu. Pokud je nadřazená skupina přidána do pracovního prostoru, budou mít všichni členové této skupiny přístup k pracovnímu prostoru.
- Prostředky na úrovni účtu: Skupiny jsou k dispozici při sdílení nebo přiřazování oprávnění k prostředkům na úrovni účtu, jako jsou Databricks Apps, objekty katalogu Unity, řídicí panely AI/BI, agenti Genie a přiřazení pracovního prostoru.
- Limity skupin účtů a instančních objektů: Vnořené skupiny a instanční objekty, které nejsou přímo zřízené pro účet, se nezapočítávají do limitů skupiny účtů. Do limitů se započítávají pouze ty skupiny, které jsou explicitně zřízené pro účet.
Například v Microsoft Entra ID máte následující strukturu skupiny:
-
Marketing-All(nadřazená skupina)-
Marketing-US(podřízená skupina) -
Marketing-EU(podřízená skupina) -
Marketing-APAC(podřízená skupina)
-
Pokud správce pracovního prostoru přidá Marketing-All do svého pracovního prostoru:
- Udělený přístup: Všichni členové
Marketing-Alla všechny její podřízené skupiny (Marketing-US,Marketing-EU,Marketing-APAC) mají přístup k pracovnímu prostoru. Uživatelé a služební identity vMarketing-APACmohou například ověřit svou totožnost a používat pracovní prostor. - Zřizování účtů: Pouze
Marketing-Allse zřizuje pro účet Azure Databricks a započítává se do limitů skupiny účtů. Podřízené skupiny se nezapočítávají do limitů, pokud je výslovně nenakonfigurujete. - Prostředky na úrovni účtu:
Marketing-Alla všechny její podřízené skupiny (Marketing-US,Marketing-EU,Marketing-APAC) jsou k dispozici při sdílení nebo přiřazování oprávnění k prostředkům na úrovni účtu, jako jsou řídicí panely a objekty v katalogu Unity.
Povolení automatické správy identit
Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025. Správci účtů můžou v konzole účtu povolit automatickou správu identit.
Jako správce účtu se přihlaste ke konzole účtu.
Na bočním panelu klikněte na Zabezpečení.
Na kartě Zřizování uživatelů přepněte automatickou správu identit na Povoleno.
Změny se projeví za pět až deset minut.
Jakmile bude váš účet povolen, přidejte a odeberte uživatele, instanční objekty služby a skupiny ve vašem zprostředkovateli identity podle následujících pokynů:
Pokud chcete migrovat ze zřizování SCIM, přečtěte si téma Migrace na automatickou správu identit pomocí Microsoft Entra ID.
Zákaz automatické správy identit
Pokud je automatická správa identit zakázaná:
- Uživatelé a instanční objekty služby zůstanou zachováni: Zachovají si přístup, ale již nebudou synchronizováni s vaším poskytovatelem identity. Po zakázání automatické správy identit můžete uživatele a instanční objekty v konzole účtu ručně odebrat nebo deaktivovat.
- Skupiny ztratí členství: Skupiny zůstanou v Azure Databricks, ale všichni členové skupiny se odeberou.
- Žádná synchronizace s zprostředkovatelem identity: Změny ve zprostředkovateli identity (například odebrání uživatele nebo aktualizace skupin) se neprojeví v Azure Databricks.
- Bez dědičnosti oprávnění: Uživatelé spravovaní automatickou správou identit nemůžou dědit oprávnění z nadřazených skupin. To má vliv na vnořené modely oprávnění na základě skupin.
Pokud plánujete zakázat automatickou správu identit, Databricks doporučuje nastavit zřizování SCIM předem jako záložní. SCIM pak může převzít synchronizaci identit a skupin.
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Zabezpečení.
- Na kartě Zřizování uživatelů přepněte automatickou správu identit na Zakázáno.
Odepření přístupu identit k vašemu účtu
Seznam odepření přístupu k účtu určuje, které identity z vašeho zprostředkovatele identity mají povolený přístup k vašemu účtu Azure Databricks. Správci účtu můžou do seznamu odepření přidat konkrétní uživatele, skupiny nebo instanční objekty, aby jim zablokovali přístup. Členství v seznamu odepřených je tranzitivní – pokud odepřete přístup skupině, bude přístup odepřen i všem jejím členům, včetně členů vnořených skupin.
Pokyny ke konfiguraci a úplný popis chování seznamu zamítnutí najdete v tématu Odepření přístupu identit k vašemu účtu.
Auditování událostí automatické správy identit
Pokud je povolená automatická správa identit, můžete pomocí protokolů auditu sledovat operace identit prováděné procesem automatické správy identit.
Značky protokolu auditu pro automatické události správy identit
Automatická správa identit používá existující události protokolu auditu, ale přidává značky k identifikaci operací provedených automaticky procesem synchronizace identit:
-
koncový bod: "autoUserCreation" – označuje, že událost se vygenerovala z procesu automatické správy identit. Tato značka se zobrazí v operacích uživatelů (, , , ), operacích skupiny (
add,activateUser,deactivateUser) a operacích členství ve skupinách (updateUser,createGroup).updateGroupremoveGroupaddPrincipalToGroupremovePrincipalFromGroup -
groupMembershipType: IdentityProvider – zobrazí se v operacích členství ve skupině (
addPrincipalToGroup, ) a indikuje,removePrincipalFromGroupže členství ve skupině bylo synchronizováno z vašeho zprostředkovatele identity.
Dotaz na události auditu automatizované správy identit
Můžete dotazovat tabulku system.access.audit a sledovat automatické operace správy identit. Příklad:
Sledování přihlášení uživatelů:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Sledování uživatelů vytvořených automatickou správou identit:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Členství ve skupinách synchronizovaná od vašeho poskytovatele identity:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Další informace o tabulce naleznete v tématu Referenční informace o system.access.auditsystémové tabulce protokolu auditu.
Známé chování a omezení
Tato část popisuje chování, které nemusí být okamžitě zřejmé při práci s automatickou správou identit.
Vytvoření skupiny a přiřazení pracovního prostoru
Když automatická správa identit synchronizuje skupiny od zprostředkovatele identity, automaticky je vytvoří na úrovni účtu. Tyto události se zobrazí v protokolech auditu jako createGroup operace označené endpoint: "autoUserCreation". Vytvoření skupiny na úrovni účtu je automatické, ale přiřazení pracovního prostoru je samostatný ruční krok. Členové synchronizované skupiny získají přístup k pracovnímu prostoru až po přiřazení skupiny správci účtu k pracovnímu prostoru. Automatické řízení správy identit řídí členství ve skupinách a přístup k pracovnímu prostoru řídí správce.
Synchronizace názvů skupin není proaktivní
Přejmenování skupiny ve zprostředkovateli identity okamžitě neaktualizuje název skupiny v Azure Databricks. Název skupiny se synchronizuje jenom v případech, kdy správce účtu otevře stránku podrobností skupiny v konzole účtu. Do té doby si skupina zachová předchozí název v Azure Databricks.
Automatická správa identit neodebere členství synchronizovaná SCIM
Automatická správa identit neodstraňuje skupinová členství, která byla původně synchronizována pomocí SCIM provisioning. Je to záměrně, abyste se vyhnuli přerušení stávajících úloh a oprávnění, která závisí na těchto členstvích. Pokud chcete odebrat neaktuální členství synchronizované pomocí SCIM, použijte rozhraní API SCIM k jejich ručnímu vyčištění.
Zřizování principálu služby při prvním použití
Přidání skupiny, která obsahuje servisní principály do Azure Databricks, tyto servisní principály nezřídí. Azure Databricks vytváří služební identity jen při prvním použití, jako je ověřování tokenu nebo spuštění úlohy. Dokud se principál služby neověří nebo nespustí úlohu, v Azure Databricks se nezobrazí.
Adresáře ID Entra napříč tenanty se nepodporují.
Automatická správa identit nepodporuje adresáře Microsoft Entra ID napříč tenanty. Pokud potřebujete správu identit napříč tenanty, nakonfigurujte zřizování SCIM v rámci spolupráce Microsoft Entra B2B.
Vnořené skupiny a principály služeb prostřednictvím rozhraní API a Terraformu
V uživatelském rozhraní konzoly účtu se zobrazují vnořené skupiny a instanční objekty, které nejsou přímo zřízené pro účet Azure Databricks, ale nedají se načíst ani spravovat prostřednictvím rozhraní API Databricks nebo Terraformu. Pokud je chcete spravovat prostřednictvím kódu programu, explicitně je zřiďte pro účet.
Přenos oprávnění při migraci z SCIM na automatickou správu identit
Při migraci ze SCIM zřizování na automatizovanou správu identit zůstávají skupiny stejnými interními objekty Azure Databricks. Oprávnění katalogu Unity, přiřazení pracovních prostorů a další nastavení se automaticky přenesou. Během migrace nepřijdete o žádná oprávnění.