Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Databricks poskytuje centralizovanou správu identit pro uživatele, skupiny a službové identity ve vašem účtu a prostorách pro práci. Správa identit v Azure Databricks umožňuje řídit, kdo má přístup k vašim pracovním prostorům, datům a výpočetním prostředkům, s flexibilními možnostmi synchronizace identit od zprostředkovatele identity.
Názorný pohled na to, jak nejlépe nakonfigurovat identitu v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.
Spravovat přístup pro uživatele, služební identity a skupiny můžete prostřednictvím Ověřování a řízení přístupu.
Identity Azure Databricks
Databricks podporuje tři typy identit pro ověřování a řízení přístupu:
| Typ identityt | Description |
|---|---|
| Users | Identity uživatelů rozpoznané službou Azure Databricks a reprezentované e-mailovými adresami |
| Služební principál | Identity pro použití s úlohami, automatizovanými nástroji a systémy, jako jsou skripty, aplikace a platformy CI/CD. |
| Skupiny | Kolekce identit, které správci používají ke správě skupinového přístupu k pracovním prostorům, datům a dalším zabezpečitelným objektům. Všechny identity Databricks je možné přiřadit jako členy skupin. |
Účet Azure Databricks může mít maximálně 10 000 kombinovaných uživatelů a služebních principálů a až 5 000 skupin. Každý pracovní prostor může mít také maximálně 10 000 kombinovaných uživatelů a služebních principálů jako členů, a až 5 000 skupin.
Kdo může spravovat identity v Azure Databricks?
Pokud chcete spravovat identity v Azure Databricks, musíte mít jednu z následujících rolí:
| Role | Capabilities |
|---|---|
| Správci účtů |
|
| Správci pracovního prostoru |
|
| Správci skupin |
|
| Správci služebních principálů |
|
Pokud chcete vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.
Pracovní postupy správy identit
Poznámka:
Většina pracovních prostorů je ve výchozím nastavení povolená pro federaci identit. Federace identit umožňuje centrálně spravovat identity na úrovni účtu a přiřazovat je k pracovním prostorům. Na této stránce se předpokládá, že váš pracovní prostor má povolenou federaci identit. Pokud máte starší pracovní prostor bez federace identit, přečtěte si téma Starší pracovní prostory bez federace identit.
Federace identit
Databricks začal od 9. listopadu 2023 automaticky povolovat nové pracovní prostory pro federaci identit a Unity Catalog. Pracovní prostory povolené pro federaci identit ho ve výchozím nastavení nemůžou zakázat. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Když v pracovním prostoru federovaného identit přidáte uživatele, instanční objekt nebo skupinu v nastavení správce pracovního prostoru, můžete si vybrat z identit, které existují ve vašem účtu. V pracovním prostoru, který není federovaný s identitou, nemáte možnost přidávat uživatele, instanční objekty ani skupiny z vašeho účtu.
Pokud chcete zkontrolovat, jestli má váš pracovní prostor povolenou federaci identit, vyhledejte federaci identit: Povoleno na stránce pracovního prostoru v konzole účtu. Pokud chcete povolit federaci identit pro starší pracovní prostor, musí správce účtu povolit pracovní prostor pro katalog Unity přiřazením metastoru katalogu Unity. Viz Povolení pracovního prostoru pro katalog Unity.
Synchronizace identit od zprostředkovatele identity
Databricks doporučuje synchronizovat identity z Microsoft Entra ID do Azure Databricks pomocí automatické správy identit. Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025.
Pomocí automatické správy identit můžete přímo vyhledat uživatele, instanční objekty a skupiny Microsoft Entra ID v nastavení správce pracovního prostoru a přidat je do pracovního prostoru a do účtu Azure Databricks. Databricks používá jako zdroj záznamu ID Microsoft Entra, takže všechny změny členství uživatelů nebo skupin se v Azure Databricks respektují. Podrobné pokyny najdete v tématu Automatická synchronizace uživatelů a skupin z Microsoft Entra ID.
Přiřazení identit k pracovním prostorům
Pokud chcete uživateli, instančnímu objektu nebo skupině povolit práci v pracovním prostoru Azure Databricks, správce účtu nebo správce pracovního prostoru je přiřadí k pracovnímu prostoru. Přístup k pracovnímu prostoru můžete přiřadit libovolnému uživateli, instančnímu objektu nebo skupině, které v účtu existují.
Správci pracovního prostoru můžou do pracovního prostoru také přidat nového uživatele, instanční objekt nebo skupinu. Tato akce automaticky přidá identitu do účtu a přiřadí ji k tomuto pracovnímu prostoru.
Podrobné pokyny najdete tady:
- Přidání uživatelů do pracovního prostoru
- Přidat služební principály do pracovního prostoru
- Přidání skupin do pracovního prostoru
Sdílení řídicích panelů s uživateli účtu
Uživatelé můžou sdílet publikované řídicí panely s ostatními uživateli v účtu Azure Databricks, i když tito uživatelé nejsou členy svého pracovního prostoru. Pomocí automatické správy identit můžou uživatelé sdílet řídicí panely s libovolným uživatelem v Microsoft Entra ID, který uživatele při přihlášení přidá do účtu Azure Databricks. Uživatelé v účtu Azure Databricks, kteří nejsou členy žádného pracovního prostoru, jsou ekvivalentem uživatelů jen pro zobrazení v jiných nástrojích. Mohou zobrazit objekty, které s nimi někdo sdílí, ale nemohou upravovat objekty. Uživatelé v účtu Azure Databricks nemají výchozí přístup k pracovnímu prostoru, datům nebo výpočetním prostředkům. Další informace naleznete v tématu Správa uživatelů a skupin.
Autentizace
Jednotné přihlašování (SSO)
Jednotné přihlašování (SSO) ve formě přihlášení založeného na ID Microsoftu Entra je dostupné ve službě Azure Databricks pro všechny zákazníky ve výchozím nastavení pro konzolu účtu i pracovní prostory. Viz Jednotné přihlašování pomocí Microsoft Entra ID.
Průběžné zřizování
Zřizování během běhu (JIT) konfigurujete tak, aby se při prvním přihlášení automaticky vytvářely nové uživatelské účty z Microsoft Entra ID. Viz Automatické zřizování uživatelů (JIT).
Řízení přístupu
Správci mohou uživatelům, instančním objektům a skupinám přiřadit role, práva a oprávnění k řízení přístupu k pracovním prostorům, datům a dalším zabezpečeným objektům. Další informace najdete v tématu Přehled řízení přístupu.
Starší pracovní prostory bez federace identit
Pro pracovní prostory, které nejsou povoleny pro federaci identit, správci pracovního prostoru spravují uživatele pracovního prostoru, služební identity a skupiny zcela v rámci daného pracovního prostoru. Do účtu se automaticky přidají uživatelé a instanční objekty přidané do federovaných pracovních prostorů bez identity. Pokud uživatel pracovního prostoru sdílí uživatelské jméno (tj. e-mailovou adresu) s uživatelem účtu nebo správcem, který už existuje, jsou tito uživatelé sloučeni do jedné identity. Skupiny přidané do federovaných pracovních prostorů bez identity jsou staršími skupinami místních pracovních prostorů, které se do účtu nepřidávají.
Pokud chcete povolit federaci identit pro starší pracovní prostor, přečtěte si téma Federace identit.
Dodatečné zdroje
- Osvědčené postupy správy identit – Pokyny k konfiguraci identity v Azure Databricks
- Uživatelé – Správa identit uživatelů
- Instanční objekty – Správa identit instančních objektů
- Skupiny – Správa identit skupin
- Řízení přístupu – Správa oprávnění a přístupu
- Zřizování SCIM – Synchronizace identit od poskytovatele identity
- Místní skupiny pracovního prostoru – Správa starých místních skupin pracovního prostoru