Dienstprinzipale

Ein Dienstprinzipal ist eine spezielle Identität in Azure Databricks, der für den Zugriff auf Automatisierungs- und Programmierfunktionen konzipiert ist. Dienstprinzipale bieten sicheren, API-only-Zugriff auf Azure Databricks-Ressourcen für automatisierte Tools, Skripts und CI/CD-Plattformen, ohne sich auf einzelne Benutzeranmeldeinformationen zu verlassen.

Informationen zum Verwalten von Dienstprinzipalen finden Sie unter Verwalten von Dienstprinzipalen.

Hinweis

Auf dieser Seite wird davon ausgegangen, dass ihr Arbeitsbereich den Identitätsverbund aktiviert hat. Dies ist die Standardeinstellung für die meisten Arbeitsbereiche. Informationen zu älteren Arbeitsbereichen ohne Identitätsverbund finden Sie unter Ältere Arbeitsbereiche ohne Identitätsverbund.

Was ist ein Dienstprinzipal?

Diensteprinzipale ermöglichen automatisierten Tools und Skripten ausschließlich API-Zugriff auf Azure Databricks-Ressourcen und gewährleisten eine höhere Sicherheit als die Verwendung von Benutzerkonten. Sie können den Zugriff eines Dienstprinzipals auf Ressourcen auf die gleiche Weise gewähren und einschränken wie ein Azure Databricks-Benutzer. Sie können z. B. einem Dienstprinzipal die Rolle des Kontoadministrators oder des Arbeitsbereichsadministrators gewähren, Den Zugriff auf Daten mithilfe des Unity-Katalogs gewähren oder einen Dienstprinzipal als Mitglied einer Gruppe hinzufügen.

Sie können Azure Databricks-Benutzern, Dienstprinzipalen und Gruppen Berechtigungen erteilen, um einen Dienstprinzipal zu verwenden. Auf diese Weise können Benutzer Aufträge als Dienstprinzipal anstelle ihrer Identität ausführen, wodurch verhindert wird, dass Aufträge fehlschlagen, wenn ein Benutzer Ihre Organisation verlässt oder eine Gruppe geändert wird.

Dienstprinzipale in Databricks und Microsoft Entra ID

Dienstprinzipale können entweder von Azure Databricks verwaltete Dienstprinzipale oder von Microsoft Entra ID verwaltete Dienstprinzipale sein.

Von Azure Databricks verwaltete Dienstprinzipale können sich mithilfe der OAuth-Authentifizierung von Databricks und persönlichen Zugriffstoken bei Azure Databricks authentifizieren. Von Microsoft Entra ID verwaltete Dienstprinzipale können sich mithilfe der OAuth-Authentifizierung von Databricks und Microsoft Entra ID-Token bei Azure Databricks authentifizieren. Weitere Informationen zur Authentifizierung für Dienstprinzipale finden Sie unter Verwalten von Token für einen Dienstprinzipal.

Verwaltete Dienstprinzipale von Azure Databricks werden direkt in Azure Databricks verwaltet. Verwaltete Dienstprinzipale der Microsoft Entra ID werden in der Microsoft Entra ID verwaltet, die zusätzliche Berechtigungen erfordert. Databricks empfiehlt, von Azure Databricks verwaltete Dienstprinzipale für die Azure Databricks-Automatisierung zu verwenden und von Microsoft Entra ID verwaltete Dienstprinzipale in Fällen zu verwenden, in denen Sie sich bei Azure Databricks und anderen Azure-Ressourcen gleichzeitig authentifizieren müssen.

Um einen verwalteten Dienstprinzipal für Azure Databricks zu erstellen, überspringen Sie diesen Abschnitt und fahren Sie fort mit Wer kann Dienstprinzipale verwalten und verwenden?.

Um von Microsoft Entra ID verwaltete Dienstprinzipale in Azure Databricks zu verwenden, muss eine Microsoft Entra ID-Anwendung in Azure durch einen der Administratorbenutzer erstellt werden. Informationen zum Erstellen eines verwalteten Dienstprinzipals von Microsoft Entra ID finden Sie unter "Authentifizieren mit Microsoft Entra-Dienstprinzipale".

Gängige Anwendungsfälle

Dienstprinzipale eignen sich ideal für Automatisierungsszenarien wie die folgenden, bei denen Sie sicheren, zuverlässigen programmgesteuerten Zugriff auf Databricks-Ressourcen benötigen:

Anwendungsfall	Example
CI/CD-Pipelines	Stellen Sie Notizbücher, Bibliotheken und Konfigurationen automatisch als Teil Ihrer kontinuierlichen Integrations- und Bereitstellungsworkflows bereit.
Geplante Aufträge	Führen Sie ETL-Pipelines, Datenverarbeitungsaufträge und automatisierte Berichte in einem Zeitplan aus, ohne dass sie von einzelnen Benutzerkonten abhängig sind.
Systemübergreifende Integrationen	Verbinden Sie externe Anwendungen und Dienste mit Databricks für Datenaufnahme, Transformation oder Analyse.
Automatisiertes Testen	Führen Sie Integrationstests aus und überprüfen Sie Datenpipelinen im Rahmen Ihres Testframeworks.
Infrastruktur als Code	Bereitstellen und Verwalten von Databricks-Ressourcen mithilfe von Tools wie Terraform, ARM-Vorlagen oder Databricks Asset Bundles.

Wer kann Dienstprinzipale verwalten und verwenden?

Um Dienstprinzipale in Azure Databricks zu verwalten, müssen Sie über eine der folgenden Rollen verfügen:

Rolle	Fähigkeiten
Kontoadministratoren	Fügen Sie dem Konto Dienstprinzipale hinzu, und weisen Sie ihnen Administratorrollen zu. Weisen Sie Dienstprinzipale Arbeitsbereichen zu. Automatisch die Rolle des Dienstprinzipalmanagers für alle Dienstprinzipale im Konto übernehmen.
Arbeitsbereichsadministratoren	Fügen Sie einem Azure Databricks-Arbeitsbereich Dienstprinzipale hinzu. Weisen Sie ihnen die Administratorrolle des Arbeitsbereichs zu. Verwalten des Zugriffs auf Objekte und Funktionen im Arbeitsbereich. Automatisch die Rolle des Dienstprinzipal-Managers für die Dienstprinzipale erhalten, die sie erstellen.
Dienstprinzipalmanager	Verwalten von Rollen für einen Dienstprinzipal. Weisen Sie anderen Benutzern die Rolle des Dienstprinzipalmanagers zu.
Dienstprinzipalbenutzer	Führen Sie Aufträge als Dienstprinzipal aus, indem Sie seine Identität anstelle der Identität des Auftragsbesitzers nutzen.

Hinweis

• Der Ersteller eines Dienstprinzipals wird automatisch zum Dienstprinzipalmanager.
• Benutzer mit der Rolle "Dienstprinzipal-Manager" erben nicht die Benutzerrolle des Dienstprinzipals. Wenn Sie den Dienstprinzipal zum Ausführen von Aufträgen verwenden möchten, müssen Sie sich die Rolle „Dienstprinzipalbenutzer“ explizit selbst zuweisen.
• Wenn die RestrictWorkspaceAdmins Einstellung auf ALLOW ALL festgelegt ist, können Arbeitsbereichsadministratoren Token im Namen eines beliebigen Dienstprinzipals in ihrem Arbeitsbereich erstellen. Siehe Restrict workspace admins (Einschränken von Arbeitsbereichsadministratoren).

Weitere Informationen dazu, wie dem Dienstprinzipal und Benutzenden Rollen zugewiesen werden, finden Sie unter Rollen für die Verwaltung von Dienstprinzipalen.

Synchronisieren von Benutzern und Benutzerinnen mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten

Sie können Microsoft Entra ID-Dienstprinzipale automatisch von Ihrem Microsoft Entra ID-Mandanten mit Ihrem Azure Databricks-Konto mithilfe der automatischen Identitätsverwaltung synchronisieren. Databricks verwendet Microsoft Entra-ID als Quelle, sodass alle Änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden. Details zur automatischen Synchronisierung von Benutzern und Gruppen aus der Microsoft Entra-ID finden Sie unter .

Die SCIM-Bereitstellung unterstützt keine Synchronisierung von Dienstprinzipalen.

Weitere Ressourcen

• Verwalten von Dienstprinzipalen – Erstellen und Verwalten von Dienstprinzipalen
• Dienstprinzipalzugriffskontrolle – Manager- und Benutzerrollen vergeben
• Auftragsberechtigungen – Ausführen von Aufträgen als Dienstprinzipal
• Authentifizierung für die Automatisierung von Databricks – Authentifizierungsmethoden für Serviceprinzipale
• Verwalten von Identitäten – Übersicht über die Identitätsverwaltung in Databricks

• Azure-Dienstprinzipale – Erstellen von Microsoft Entra ID-Dienstprinzipalen
• Automatische Identitätsverwaltung – Synchronisierungsdienstprinzipale von Microsoft Entra ID