Správa uživatelů, instančních objektů a skupin
Tento článek představuje model správy identit Azure Databricks a poskytuje přehled o správě uživatelů, skupin a instančních objektů v Azure Databricks.
Názorný pohled na to, jak nejlépe nakonfigurovat identitu v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.
Informace o správě přístupu pro uživatele, instanční objekty a skupiny najdete v tématu Ověřování a řízení přístupu.
Identity Azure Databricks
Existují tři typy identity Azure Databricks:
- Uživatelé: Identity uživatelů rozpoznané službou Azure Databricks a reprezentované e-mailovými adresami
- Instanční objekty: Identity pro použití s úlohami, automatizovanými nástroji a systémy, jako jsou skripty, aplikace a platformy CI/CD.
- Skupiny: Kolekce identit používaných správci ke správě přístupu ke skupinám k pracovním prostorům, datům a dalším zabezpečitelným objektům. Všechny identity Databricks je možné přiřadit jako členy skupin. V Azure Databricks existují dva typy skupin: skupiny účtů a místní skupiny pracovního prostoru. Další informace najdete v tématu Rozdíl mezi skupinami účtů a místními skupinami pracovního prostoru.
V účtu může být maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin. V každém pracovním prostoru může být maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin.
Podrobné pokyny najdete tady:
- Spravovat uživatele
- Správa instančních objektů
- Správa skupin
- Synchronizace uživatelů a skupin z Microsoft Entra ID
Kdo může spravovat identity v Azure Databricks?
Pokud chcete spravovat identity v Azure Databricks, musíte mít jednu z těchto možností: roli správce účtu, roli správce pracovního prostoru nebo roli správce v instančním objektu nebo skupině.
Správci účtů můžou do účtu přidávat uživatele, instanční objekty a skupiny a přiřazovat jim role správce. Správci účtů můžou aktualizovat a odstraňovat uživatele, instanční objekty a skupiny v účtu. Můžou uživatelům udělit přístup k pracovním prostorům, pokud tyto pracovní prostory používají federaci identit.
Pokud chcete vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.
Správci pracovního prostoru můžou do účtu Azure Databricks přidávat uživatele a instanční objekty. Pokud jsou jejich pracovní prostory povolené pro federaci identit, můžou do účtu Azure Databricks také přidat skupiny. Správci pracovních prostorů můžou uživatelům, instančním objektům a skupinám udělit přístup ke svým pracovním prostorům. Nemůžou z účtu odstranit uživatele a instanční objekty.
Správci pracovního prostoru můžou také spravovat místní skupiny pracovního prostoru. Další informace najdete v tématu Správa místních skupin pracovního prostoru (starší verze).
Správci skupin můžou spravovat členství ve skupinách a skupinu odstranit. Můžou také přiřadit další uživatele roli správce skupiny. Správci účtů mají roli správce skupin ve všech skupinách v účtu. Správci pracovního prostoru mají roli správce skupin u skupin účtů, které vytvoří. Podívejte se, kdo může spravovat skupiny účtů?
Správci instančních objektů můžou spravovat role v instančním objektu. Správci účtů mají roli správce instančního objektu pro všechny instanční objekty v účtu. Správci pracovního prostoru mají u instančních objektů, které vytvářejí, roli správce instančního objektu. Další informace naleznete v tématu Role pro správu instančních objektů.
Jak správci přiřazují uživatele k účtu?
Databricks doporučuje používat zřizování SCIM k automatické synchronizaci všech uživatelů a skupin z Microsoft Entra ID s vaším účtem Azure Databricks. Uživatelé v účtu Azure Databricks nemají výchozí přístup k pracovnímu prostoru, datům nebo výpočetním prostředkům. Správci účtů a správci pracovního prostoru můžou uživatelům účtu přiřazovat pracovní prostory. Správci pracovního prostoru můžou také přidat nového uživatele přímo do pracovního prostoru, který uživatele automaticky přidá do účtu a přiřadí ho k ho němuž.
Uživatelé můžou sdílet publikované řídicí panely s ostatními uživateli v účtu Azure Databricks, i když tito uživatelé nejsou členy svého pracovního prostoru. Uživatelé v účtu Azure Databricks, kteří nejsou členy žádného pracovního prostoru, jsou ekvivalentem uživatelů jen pro zobrazení v jiných nástrojích. Mohou zobrazit objekty, které s nimi někdo sdílí, ale nemohou upravovat objekty. Další informace najdete v tématu Správa uživatelů a skupin pro sdílení řídicího panelu.
Podrobné pokyny k přidání uživatelů do účtu najdete tady:
- Synchronizace uživatelů a skupin z Microsoft Entra ID
- Přidání uživatelů do účtu
- Přidání instančních objektů do vašeho účtu
- Přidání skupin do účtu
Jak správci přiřazují uživatele k pracovním prostorům?
Aby mohl uživatel, instanční objekt nebo skupina pracovat v pracovním prostoru Azure Databricks, musí mu správce účtu nebo správce pracovního prostoru přiřadit pracovní prostor. Přístup k pracovnímu prostoru můžete přiřadit uživatelům, instančním objektům a skupinám, které existují v účtu, pokud je pracovní prostor povolený pro federaci identit.
Správci pracovního prostoru můžou do pracovního prostoru přidat také nového uživatele, instančního objektu nebo skupinu účtů. Tato akce automaticky přidá vybraného uživatele, instanční objekt nebo skupinu účtů k účtu a přiřadí je k tomuto konkrétnímu pracovnímu prostoru.
Poznámka:
Správci pracovních prostorů můžou také vytvářet starší místní skupiny pracovních prostorů v pracovních prostorech pomocí rozhraní API skupiny pracovních prostorů. Místní skupiny pracovního prostoru se do účtu nepřidávají automaticky. Místní skupiny pracovního prostoru nelze přiřadit k dalším pracovním prostorům ani udělit přístup k datům v metastoru katalogu Unity.
U pracovních prostorů, které nejsou povolené pro federaci identit, správci pracovního prostoru spravují uživatele pracovního prostoru, instanční objekty a skupiny zcela v rámci oboru pracovního prostoru. Do účtu se automaticky přidají uživatelé a instanční objekty přidané do federovaných pracovních prostorů bez identity. Skupiny přidané do federovaných pracovních prostorů bez identity jsou staršími skupinami místních pracovních prostorů, které se do účtu nepřidávají.
Pokud uživatel pracovního prostoru sdílí uživatelské jméno (e-mailovou adresu) s uživatelem účtu nebo správcem, který už existuje, budou tito uživatelé sloučeni.
Podrobné pokyny najdete tady:
- Přidání uživatelů do pracovního prostoru
- Přidání instančních objektů do pracovního prostoru
- Přidání skupin do pracovního prostoru
Jak správci povolí federaci identit v pracovním prostoru?
Služba Databricks začala automaticky povolovat nové pracovní prostory pro federaci identit a katalog Unity 9. listopadu 2023 s postupným zaváděním napříč účty. Pokud je váš pracovní prostor ve výchozím nastavení povolený pro federaci identit, nejde ho zakázat. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Pokud chcete povolit federaci identit v pracovním prostoru, musí správce účtu povolit pracovní prostor pro katalog Unity přiřazením metastoru katalogu Unity. Viz Povolení pracovního prostoru pro katalog Unity.
Po dokončení přiřazení se federace identit v konzole účtu označí jako Povolená na kartě Konfigurace pracovního prostoru.
Správci pracovního prostoru můžou zjistit, jestli je na stránce nastavení pracovního prostoru povolená federace identit. Když se v pracovním prostoru federovaného identit rozhodnete přidat uživatele, instanční objekt nebo skupinu v nastavení správce pracovního prostoru, máte možnost vybrat uživatele, instanční objekt nebo skupinu z vašeho účtu, který chcete přidat do pracovního prostoru.
V pracovním prostoru, který není federovaný s identitou, nemáte možnost přidávat uživatele, instanční objekty ani skupiny z vašeho účtu.
Přiřazení správcovských rolí
Správci účtů můžou přiřadit jiné uživatele jako správce účtu. Mohou se také stát správci metastoru katalogu Unity z důvodu vytvoření metastoru a mohou přenést roli správce metastoru do jiného uživatele nebo skupiny.
Správci účtu i správci pracovního prostoru můžou přiřadit ostatní uživatele jako správce pracovního prostoru. Role správce pracovního prostoru je určená členstvím ve skupině správců pracovního prostoru, což je výchozí skupina v Azure Databricks a nelze ji odstranit.
Správci účtů můžou také přiřadit ostatní uživatele jako správce Marketplace.
Přečtěte si:
- Přiřazení rolí správce účtu uživateli
- Přiřazení role správce pracovního prostoru uživateli pomocí stránky nastavení pracovního prostoru
- Přiřazení správce metastoru
- Přiřazení role správce Marketplace
Nastavení jednotného přihlašování (SSO)
Jednotné přihlašování (SSO) ve formě přihlášení založeného na ID Microsoftu entra je k dispozici ve službě Azure Databricks pro všechny zákazníky. Jednotné přihlašování Microsoft Entra ID můžete použít pro konzolu účtu i pracovní prostory.