Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite enthält eine Übersicht über Dienstprinzipale in Azure Databricks. Informationen zum Verwalten von Dienstprinzipalen finden Sie unter Verwalten von Dienstprinzipalen.
Was ist ein Dienstprinzipal?
Ein Dienstprinzipal ist eine spezielle Identität in Azure Databricks, der für den Zugriff auf Automatisierungs- und Programmierfunktionen konzipiert ist. Dienstprinzipien ermöglichen automatisierten Tools und Skripten ausschließlich API-Zugriff auf Azure Databricks-Ressourcen und bieten dadurch eine höhere Sicherheit als die Nutzung von Benutzerkonten.
Sie können den Zugriff eines Dienstprinzipals auf Ressourcen auf die gleiche Weise gewähren und einschränken wie ein Azure Databricks-Benutzer. Beispielsweise können Sie folgende Aktionen ausführen:
- Zuweisen der Administratorrolle für das Konto oder den Arbeitsbereich zu einem Dienstprinzipal
- Gewähren eines Dienstprinzipalzugriffs auf Daten mithilfe des Unity-Katalogs.
- Fügen Sie einen Dienstprinzipal als Mitglied zu einer Gruppe hinzu.
Sie können Azure Databricks-Benutzern, Dienstprinzipalen und Gruppen Berechtigungen erteilen, um einen Dienstprinzipal zu verwenden. Auf diese Weise können Benutzer Aufträge als Dienstprinzipal anstelle ihrer Identität ausführen, wodurch verhindert wird, dass Aufträge fehlschlagen, wenn ein Benutzer Ihre Organisation verlässt oder eine Gruppe geändert wird.
Vorteile der Verwendung von Dienstprinzipalen:
- Sicherheit und Stabilität: Automatisieren Sie Aufträge und Workflows, ohne sich auf einzelne Benutzeranmeldeinformationen zu verlassen, um risiken im Zusammenhang mit Änderungen oder Abgängen des Benutzerkontos zu reduzieren.
- Flexible Berechtigungen: Benutzern, Gruppen oder anderen Dienstprinzipalen das Delegieren von Berechtigungen an einen Dienstprinzipal gestatten, wodurch die Auftragsausführung in ihrem Auftrag ermöglicht wird.
- API-Only Identität: Im Gegensatz zu regulären Databricks-Benutzern sind Dienstprinzipale ausschließlich für den API-Zugriff konzipiert und können sich nicht bei der Databricks-Benutzeroberfläche anmelden.
Dienstprinzipale in Databricks und Microsoft Entra ID
Dienstprinzipale können entweder von Azure Databricks verwaltete Dienstprinzipale oder von Microsoft Entra ID verwaltete Dienstprinzipale sein.
Von Azure Databricks verwaltete Dienstprinzipale können sich mithilfe der OAuth-Authentifizierung von Databricks und persönlichen Zugriffstoken bei Azure Databricks authentifizieren. Von Microsoft Entra ID verwaltete Dienstprinzipale können sich mithilfe der OAuth-Authentifizierung von Databricks und Microsoft Entra ID-Token bei Azure Databricks authentifizieren. Weitere Informationen zur Authentifizierung für Dienstprinzipale finden Sie unter Verwalten von Token für einen Dienstprinzipal.
Verwaltete Dienstprinzipale von Azure Databricks werden direkt in Azure Databricks verwaltet. Verwaltete Dienstprinzipale der Microsoft Entra ID werden in der Microsoft Entra ID verwaltet, die zusätzliche Berechtigungen erfordert. Databricks empfiehlt, von Azure Databricks verwaltete Dienstprinzipale für die Azure Databricks-Automatisierung zu verwenden und von Microsoft Entra ID verwaltete Dienstprinzipale in Fällen zu verwenden, in denen Sie sich bei Azure Databricks und anderen Azure-Ressourcen gleichzeitig authentifizieren müssen.
Um einen verwalteten Dienstprinzipal für Azure Databricks zu erstellen, überspringen Sie diesen Abschnitt und fahren Sie fort mit Wer kann Dienstprinzipale verwalten und verwenden?.
Um von Microsoft Entra ID verwaltete Dienstprinzipale in Azure Databricks zu verwenden, muss eine Microsoft Entra ID-Anwendung in Azure durch einen der Administratorbenutzer erstellt werden. Weitere Informationen zum Erstellen eines verwalteten Dienstprinzipals von Microsoft Entra ID finden Sie unter Microsoft Entra-Dienstprinzipalauthentifizierung.
Wer kann Dienstprinzipale verwalten und verwenden?
Zum Verwalten von Dienstprinzipalen in Azure Databricks müssen Sie über eine der folgenden Rollen verfügen: die Rolle „Kontoadministrator“, „Arbeitsbereichsadministrator“ oder „Manager“ für einen Dienstprinzipal oder eine Gruppe.
- Kontoadministratoren können dem Konto Dienstprinzipale hinzufügen und ihnen Administratorrollen zuweisen. Sie können Dienstprinzipalen auch Zugriff auf Arbeitsbereiche gewähren, solange diese Arbeitsbereiche den Identitätsverbund verwenden.
- Arbeitsbereichsadministratoren können einem Azure Databricks-Arbeitsbereich Dienstprinzipale hinzufügen, ihnen die Administratorrolle des Arbeitsbereichs zuweisen und den Zugriff auf Objekte und Funktionen im Arbeitsbereich verwalten, z. B. die Möglichkeit, Cluster zu erstellen oder auf bestimmte personabasierte Umgebungen zuzugreifen.
- Dienstprinzipalmanager können Rollen für einen Dienstprinzipal verwalten. Der Ersteller eines Dienstprinzipals wird zum Dienstprinzipal-Manager. Kontoadministratoren sind Dienstprinzipalmanager für alle Dienstprinzipale in einem Konto.
- Dienstprinzipalbenutzer können Aufträge als Dienstprinzipal ausführen. Der Auftrag wird unter Verwendung der Identität des Dienstprinzipals statt der Identität des Auftragsbesitzers ausgeführt. Weitere Informationen finden Sie unter Verwalten von Identitäten, Berechtigungen und Berechtigungen für Lakeflow-Aufträge.
Benutzer mit der Rolle "Dienstprinzipal-Manager " erben nicht die Rolle " Dienstprinzipalbenutzer" . Wenn Sie den Dienstprinzipal zum Ausführen von Aufträgen verwenden möchten, müssen Sie sich die Rolle „Dienstprinzipalbenutzer“ explizit selbst zuweisen.
Weitere Informationen dazu, wie dem Dienstprinzipal und Benutzenden Rollen zugewiesen werden, finden Sie unter Rollen für die Verwaltung von Dienstprinzipalen.
Synchronisieren von Benutzern und Benutzerinnen mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten
Sie können Microsoft Entra ID-Dienstprinzipale automatisch von Ihrem Microsoft Entra ID-Mandanten mit Ihrem Azure Databricks-Konto mithilfe der automatischen Identitätsverwaltung (Public Preview) synchronisieren. Databricks verwendet Microsoft Entra-ID als Quelle, sodass alle Änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Anweisungen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen aus der Microsoft Entra-ID.
Die SCIM-Bereitstellung unterstützt keine Synchronisierung von Dienstprinzipalen.