Verwalten von Dienstprinzipalen

Auf dieser Seite wird erläutert, wie Dienstprinzipale für Ihr Azure Databricks-Konto und -Arbeitsbereiche verwaltet werden.

Eine Übersicht über Dienstprinzipale finden Sie unter Dienstprinzipale.

Synchronisieren von Benutzern und Benutzerinnen mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten

Sie können Microsoft Entra ID-Dienstprinzipale automatisch von Ihrem Microsoft Entra ID-Mandanten mit Ihrem Azure Databricks-Konto mithilfe der automatischen Identitätsverwaltung (Public Preview) synchronisieren. Databricks verwendet Microsoft Entra-ID als Quelle, sodass alle Änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Informationen zum Aktivieren der automatischen Identitätsverwaltung finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen aus der Microsoft Entra-ID.

Die SCIM-Bereitstellung unterstützt keine Synchronisierung von Dienstprinzipalen.

Hinzufügen von Dienstprinzipalen zu Ihrem Konto

Kontoadministratoren und Arbeitsbereichsadministratoren können dem Azure Databricks-Konto Mithilfe der Kontokonsole oder der Seite "Arbeitsbereichsadministratoreinstellungen" Dienstprinzipale hinzufügen.

Dienstprinzipale können entweder in Azure Databricks erstellt oder über einen vorhandenen Dienstprinzipal in Microsoft Entra ID verknüpft werden. Weitere Informationen finden Sie unter Dienstprinzipale in Databricks und Microsoft Entra ID. Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie direkt aus der Microsoft Entra-ID nach Dienstprinzipalen suchen und diese hinzufügen.

Kontoadministratoren und Arbeitsbereichsadministratoren können dem Azure Databricks-Konto Mithilfe der Kontokonsole oder der Seite "Arbeitsbereichsadministratoreinstellungen" Dienstprinzipale hinzufügen.

Kontokonsole

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Klicken Sie auf der Registerkarte Dienstprinzipale auf Dienstprinzipal hinzufügen.
4. Wählen Sie unter Verwaltung die Option Von Databricks verwaltet oder Von Microsoft Entra ID verwaltet aus.
5. Wenn Sie Von Microsoft Entra ID verwaltet ausgewählt haben, fügen Sie unter Anwendungs-ID in Microsoft Entra die Anwendungs-ID (Client-ID) für den Dienstprinzipal ein.
6. Geben Sie einen Namen für den Dienstprinzipal ein.
7. Klicken Sie auf Hinzufügen.

Administratoreinstellungen für den Arbeitsbereich

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.

3. Klicken Sie auf die Registerkarte Identität und Zugriff.

4. Klicken Sie neben Dienstprinzipale auf Verwalten.

5. Klicken Sie auf Dienstprinzipal hinzufügen.

6. Klicken Sie auf Neues hinzufügen.

7. Wählen Sie "Von Databricks verwaltet" oder "Von Microsoft Entra ID verwaltet" aus. Wenn Sie "Microsoft Entra ID Managed" auswählen, fügen Sie die Anwendungs-ID (Client-ID) für den Service Principal ein.

8. Geben Sie einen Namen für den Dienstprinzipal ein.

9. Klicken Sie auf Hinzufügen.

Administratorrollen auf Kontoebene einem Dienstprinzipal zuweisen

Hinweis

Auf der Seite "Dienstprinzipaldetails " werden nur Rollen angezeigt, die dem Dienstprinzipal direkt zugewiesen sind. Rollen, die über die Gruppenmitgliedschaft geerbt werden, sind aktiv, aber ihre Umschaltfläche wird in der Benutzeroberfläche nicht als aktiviert angezeigt.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Suchen Sie auf der Registerkarte Dienstprinzipale den Benutzernamen und klicken Sie auf ihn.
4. Wählen Sie auf der Registerkarte "Rollen " eine oder mehrere Rollen aus.

Zuweisen eines Dienstprinzipals zu einem Arbeitsbereich

Kontoadministratoren und Arbeitsbereichsadministratoren können einem Azure Databricks-Arbeitsbereich Mithilfe der Kontokonsole oder der Seite "Arbeitsbereichsadministratoreinstellungen" Dienstprinzipale zuweisen.

Kontokonsole

Zum Hinzufügen von Benutzern zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Klicken Sie auf der Registerkarte Berechtigungen auf Berechtigungen hinzufügen.
5. Suchen Sie nach dem Dienstprinzipal, wählen Sie ihn aus und weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin). Klicken Sie dann auf Speichern.

Administratoreinstellungen für den Arbeitsbereich

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Dienstprinzipale auf Verwalten.
5. Klicken Sie auf Dienstprinzipal hinzufügen.
6. Wählen Sie einen vorhandenen Dienstprinzipal aus.
7. Klicken Sie auf Hinzufügen.

Entfernen Sie einen Dienstprinzipal aus einem Arbeitsbereich

Kontoadministratoren und Arbeitsbereichsadministratoren können einen Diensthauptbenutzer aus einem Azure Databricks-Arbeitsbereich über die Kontokonsole oder über die Seite Arbeitsbereichsadministratoreinstellungen entfernen.

Wenn ein Dienstprinzipal aus einem Arbeitsbereich entfernt wird, kann der Dienstprinzipal nicht mehr auf den Arbeitsbereich zugreifen. Berechtigungen werden jedoch für den Dienstprinzipal verwaltet. Wenn der Dienstprinzipal später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

Kontokonsole

Zum Entfernen von Dienstprinzipalen aus einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein.

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
4. Suchen Sie auf der Registerkarte Berechtigungen den Dienstprinzipal.
5. Klicken Sie auf das Kebab-Menü ganz rechts in der Dienstprinzipal-Reihe und wählen Sie "Entfernen" aus.
6. Klicken Sie im Bestätigungsdialogfeld auf Entfernen.

Administratoreinstellungen für den Arbeitsbereich

Wenn ein Dienstprinzipal aus einem Arbeitsbereich entfernt wird, kann der Dienstprinzipal nicht mehr auf den Arbeitsbereich zugreifen. Berechtigungen werden jedoch für den Dienstprinzipal verwaltet. Wenn der Dienstprinzipal später wieder zu einem Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Dienstprinzipale auf Verwalten.
5. Wählen Sie den Dienstprinzipal aus.
6. Klicken Sie in der oberen rechten Ecke auf Löschen.
7. Klicken Sie auf Löschen, um den Vorgang zu bestätigen.

Weisen Sie die Rolle des Arbeitsbereichsadministrators einem Dienstprinzipal zu.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Gruppen auf Verwalten.
5. Wählen Sie die Systemgruppe admins aus.
6. Klicken Sie auf Mitglieder hinzufügen.
7. Wählen Sie den Dienstprinzipal aus, und klicken Sie auf Bestätigen.

Um die Arbeitsbereichsadministratorrolle von einem Dienstprinzipal zu entfernen, entfernen Sie den Dienstprinzipal aus der Administratorgruppe.

Deaktivieren eines Dienstprinzipals

Sie können einen Dienstprinzipal entweder auf Konto- oder Arbeitsbereichsebene deaktivieren. Die Deaktivierung verhindert, dass der Dienstprinzipal sich authentifiziert und auf die Databricks-APIs zugreift, entfernt jedoch weder seine Berechtigungen noch seine Objekte. Dies ist der Entfernung vorzuziehen, was eine destruktive Aktion ist.

Auswirkungen der Deaktivierung:

• Der Dienstprinzipal kann sich nicht authentifizieren oder auf die Databricks-APIs zugreifen.
• Anwendungen oder Skripts, die die vom Dienstprinzipal generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht für die Authentifizierung verwendet werden, während ein Dienstprinzipal deaktiviert ist.
• Berechnete Ressourcen, die von dem Dienstprinzipal stammen, laufen weiterhin.
• Geplante Aufträge, die vom Dienstprinzipal erstellt wurden, schlagen fehl, sofern sie nicht einem neuen Besitzer zugewiesen werden.

Bei der Reaktivierung erhält der Dienstprinzipal erneut Zugriff mit denselben Berechtigungen.

Deaktivierung auf Kontoebene

Kontoadministratoren können Dienstprinzipale in einem Azure Databricks-Konto deaktivieren. Wenn ein Dienstprinzipal auf der Kontoebene deaktiviert wird, kann er sich nicht beim Azure Databricks-Konto oder bei Arbeitsbereichen innerhalb des Kontos authentifizieren.

Sie können einen Dienstprinzipal nicht über die Kontokonsole deaktivieren. Verwenden Sie stattdessen die Konto-Dienstprinzipal-API.

Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Deaktivierung auf Arbeitsbereichsebene

Wenn ein Dienstprinzipal auf Arbeitsbereichsebene deaktiviert wird, kann er sich nicht für diesen bestimmten Arbeitsbereich authentifizieren, kann sich jedoch weiterhin für das Konto und andere Arbeitsbereiche im Konto authentifizieren.

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
3. Klicken Sie auf die Registerkarte Identität und Zugriff.
4. Klicken Sie neben Dienstprinzipale auf Verwalten.
5. Wählen Sie den Dienstprinzipal aus, den Sie deaktivieren möchten.
6. Deaktivieren Sie unter Status die Option Aktiv.

Wenn Sie einen Dienstprinzipal auf „aktiv“ festlegen möchten, führen Sie dieselben Schritte aus, aber aktivieren Sie stattdessen das Kontrollkästchen.

Entfernen von Dienstprinzipalen aus Ihrem Azure Databricks-Konto

Kontoadministratoren können Dienstprinzipale aus einem Azure Databricks-Konto löschen. Arbeitsbereichsadministratoren können das nicht. Wenn Sie einen Dienstprinzipal aus dem Konto löschen, wird dieser Prinzipal auch aus ihren Arbeitsbereichen entfernt.

Von Bedeutung

Wenn Sie einen Dienstprinzipal aus dem Konto entfernen, wird dieser Dienstprinzipal auch aus seinem Arbeitsbereich entfernt, unabhängig davon, ob der Identitätsverbund aktiviert wurde oder nicht. Wir empfohlen, dass Sie Dienstprinzipale auf Kontoebene löschen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche im Konto verlieren. Beachten Sie die folgenden Folgen des Löschens von Dienstprinzipalen:

• Anwendungen oder Skripts, welche die vom Dienstprinzipal generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen.
• Aufträge, die dem Dienstprinzipal gehören, schlagen fehl
• Rechenressource im Besitz des Dienstprinzipal stoppen
• Abfragen oder Dashboards, die vom Dienstprinzipal erstellt und mit den Anmeldeinformationen „Als Besitzer ausführen“ freigegeben wurden, müssen einem neuen Besitzer zugewiesen werden, um zu verhindern, dass die Freigabe fehlschlägt.

Wenn ein Microsoft Entra ID-Dienstprinzipal aus einem Konto entfernt wird, kann der Dienstprinzipal nicht mehr auf das Konto oder seine Arbeitsbereiche zugreifen, die Berechtigungen werden jedoch für den Dienstprinzipal verwaltet. Wenn der Dienstprinzipal später wieder zum Konto hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

Gehen Sie wie folgt vor, um einen Dienstprinzipal mithilfe der Kontokonsole zu entfernen:

1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
3. Suchen Sie auf der Registerkarte Dienstprinzipale den Benutzernamen und klicken Sie auf ihn.
4. Klicken Sie auf der Registerkarte "Prinzipalinformationen " auf das Kebab-Menü in der oberen rechten Ecke, und wählen Sie "Löschen" aus.
5. Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.

Hinweis

Wenn die automatische Identitätsverwaltung aktiviert ist, werden Dienstprinzipale, die sich in der Microsoft Entra-ID befinden, in der Kontokonsole angezeigt. Ihr Status wird als "Inaktiv" angezeigt: Keine Verwendung und kann nicht aus der Liste der Dienstprinzipale entfernt werden. Sie sind nicht im Konto aktiv und zählen nicht auf Grenzwerte.

Verwalten von Dienstprinzipalen mit der API

Kontoadministrator*innen und Arbeitsbereichsadministrator*innen können Dienstprinzipale im Azure Databricks-Konto und in den Arbeitsbereichen mithilfe von Databricks-APIs verwalten. Informationen zum Verwalten von Rollen für einen Dienstprinzipal mithilfe der API finden Sie unter Verwalten von Dienstprinzipalrollen mithilfe der Databricks-CLI.

Verwalten von Dienstprinzipalen im Konto mithilfe der API

Administratoren können Dienstprinzipale im Azure Databricks-Konto mithilfe der Konto-Dienstprinzipal-API hinzufügen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen rufen die API mithilfe einer anderen Endpunkt-URL auf:

• Die Kontoadministratoren verwenden {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/account/scim/v2/.

Weitere Informationen finden Sie unter Account Service Principals API.

Verwalten von Dienstprinzipalen im Arbeitsbereich mithilfe der API

Konto- und Arbeitsbereichsadministratoren können die Arbeitsbereichszuweisungs-API auf Kontoebene verwenden, um Arbeitsbereichen, die für den Identitätsverbund aktiviert sind, Dienstprinzipale zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und dessen Arbeitsbereiche unterstützt.

• Die Kontoadministratoren verwenden {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.

Wenn der Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, kann ein Arbeitsbereichsadministrator kann die APIs auf Arbeitsbereichsebene verwenden, um seinen Arbeitsbereichen Dienstprinzipale zuzuweisen. Weitere Informationen finden Sie unter Workspace Service Principals API.

Verwalten von Token für einen Dienstprinzipal

Dienstprinzipale können sich bei Databricks-APIs mithilfe von OAuth-Token oder persönlichen Zugriffstoken (PERSONAL Access Tokens, PATs) authentifizieren, wobei jeweils unterschiedliche Bereiche und Sicherheitsaspekte beachtet werden.

Von Bedeutung

Databricks empfiehlt die Verwendung von OAuth-Token für die Dienstprinzipalauthentifizierung, wenn möglich, um die Sicherheit und die Lebenszyklusverwaltung zu verbessern. Verwenden Sie PATs nur, wenn OAuth für Ihren Anwendungsfall nicht verfügbar ist.

• Azure Databricks OAuth-Token

  • Authentifizieren sie sich sowohl bei APIs auf Kontoebene als auch bei APIs auf Arbeitsbereichsebene.
  • OAuth-Token, die auf Kontoebene erstellt wurden, können sowohl auf Konto- als auch Arbeitsbereichs-APIs zugreifen. OAuth-Token, die auf Arbeitsbereichsebene erstellt wurden, sind auf die APIs des Arbeitsbereichs beschränkt.
  • OAuth wird für die meisten Szenarien aufgrund verbesserter Sicherheit und automatischer Tokenverwaltung empfohlen.
  • Anweisungen zum Einrichten finden Sie unter Autorisieren des unbeaufsichtigten Zugriffs auf Azure Databricks-Ressourcen mit einem Dienstprinzipal mit OAuth.

• Persönliche Zugriffstoken

  • Authentifizieren Sie sich nur bei APIs auf Arbeitsbereichsebene.
  • Databricks empfiehlt die Verwendung von PATs nur, wenn OAuth nicht unterstützt wird.
  • Weitere Informationen finden Sie in der Azure Databricks-Authentifizierung für persönliche Zugriffstoken.

Ausführliche Informationen zum Arbeiten mit Microsoft Managed Service Identities (MSI) oder Microsoft Entra ID-Zugriffstoken finden Sie unter Azure Managed Identity Authentication bzw. MS Entra-Dienstprinzipalauthentifizierung .