Megosztás a következőn keresztül:

Ajánlott identitáskezelési eljárások

  • Cikk

Ez a cikk az identitás Azure Databricksben való legjobb konfigurálásáról nyújt véleményt. Útmutatót tartalmaz az identitásösszevonásba való migrálásról, amely lehetővé teszi az Azure Databricks-fiók összes felhasználójának, csoportjának és szolgáltatásnevének kezelését.

Az Azure Databricks identitásmodelljének áttekintéséért tekintse meg az Azure Databricks-identitásokat.

További információ az Azure Databricks API-k biztonságos eléréséről: Személyes hozzáférési jogkivonat-engedélyek kezelése.

Felhasználók, szolgáltatásnevek és csoportok konfigurálása

Az Azure Databricks-identitásnak három típusa van:

  • Felhasználók: Az Azure Databricks által felismert és e-mail-címek által képviselt felhasználói identitások.
  • Szolgáltatásnevek: Identitások feladatokhoz, automatizált eszközökhöz és rendszerekhez, például szkriptekhez, alkalmazásokhoz és CI/CD-platformokhoz.
  • Csoportok: A csoportok leegyszerűsítik az identitáskezelést, így egyszerűbben rendelhetők hozzá a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való hozzáférés.

A Databricks szolgáltatásnevek létrehozását javasolja az éles feladatok futtatásához vagy az éles adatok módosításához. Ha az éles adatokkal kapcsolatos összes folyamat szolgáltatásnevek használatával fut, az interaktív felhasználóknak nincs szükségük írási, törlési vagy módosítási jogosultságokra az éles környezetben. Ez kiküszöböli annak kockázatát, hogy egy felhasználó véletlenül felülírja az éles adatokat.

Ajánlott a Unity Katalógusban lévő munkaterületekhez és hozzáférés-vezérlési szabályzatokhoz való hozzáférést csoportokhoz rendelni, nem pedig egyéni felhasználókhoz. Minden Azure Databricks-identitás hozzárendelhető csoporttagként, a tagok pedig a csoporthoz rendelt engedélyeket öröklik.

Az Azure Databricks-identitások kezelésére a következő felügyeleti szerepkörök használhatók:

  • A fiókadminisztrátor felhasználókat , szolgáltatásneveket és csoportokat adhat hozzá a fiókhoz, és rendszergazdai szerepköröket rendelhet hozzájuk. Hozzáférést biztosíthatnak a felhasználóknak a munkaterületekhez, amíg ezek a munkaterületek identitás-összevonást használnak.
  • A munkaterület rendszergazdái felhasználókat és szolgáltatásneveket adhatnak hozzá az Azure Databricks-fiókhoz. Csoportokat is felvehetnek az Azure Databricks-fiókba, ha a munkaterületeik engedélyezve vannak az identitásösszevonáshoz. A munkaterület rendszergazdái hozzáférést biztosíthatnak a felhasználóknak, a szolgáltatásneveknek és a csoportoknak a munkaterületeikhez.
  • A csoportkezelők kezelhetik a csoporttagságokat. Más felhasználókat is hozzárendelhetnek a csoportkezelői szerepkörhöz.
  • A szolgáltatásnév-kezelők kezelhetik a szerepköröket egy szolgáltatásnéven.

A Databricks azt javasolja, hogy fiókonként korlátozott számú fiókadminisztrátor és munkaterület-rendszergazda legyen az egyes munkaterületeken.

Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból az Azure Databricks-fiókba

A Databricks scim-kiépítés használatát javasolja a felhasználók és csoportok automatikus szinkronizálásához a Microsoft Entra ID-ból az Azure Databricks-fiókba. Az SCIM leegyszerűsíti egy új alkalmazott vagy csapat előkészítését a Microsoft Entra ID használatával, amellyel felhasználókat és csoportokat hozhat létre az Azure Databricksben, és megfelelő szintű hozzáférést biztosíthat számukra. Ha egy felhasználó elhagyja a szervezetét, vagy már nincs szüksége az Azure Databrickshez való hozzáférésre, a rendszergazdák megszüntethetik a felhasználót a Microsoft Entra-azonosítóban, és a felhasználó fiókja is törlődik az Azure Databricksből. Ez biztosítja a konzisztens előkészítési folyamatot, és megakadályozza, hogy illetéktelen felhasználók hozzáférjenek a bizalmas adatokhoz.

A Microsoft Entra-azonosítóban szereplő összes felhasználót és csoportot szinkronizálnia kell a fiókkonzolra, nem pedig az egyes munkaterületeket. Így csak egy SCIM-kiépítési alkalmazást kell konfigurálnia, hogy az összes identitás konzisztens legyen a fiók összes munkaterületén. Lásd: Az Azure Databricks elérésének engedélyezése a Microsoft Entra-azonosító összes felhasználója számára.

Fontos

Ha már rendelkezik olyan SCIM-összekötőkkel, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel, akkor le kell tiltania ezeket az SCIM-összekötőket, ha engedélyezve van a fiókszintű SCIM-összekötő. Lásd: Frissítés identitás-összevonásra.

Fiókszintű SCIM-diagram

Fiókszintű SCIM-diagram

Ha az identitásszolgáltatónál 10 000-nél több felhasználó van, a Databricks azt javasolja, hogy rendeljen hozzá egy csoportot az identitásszolgáltatóhoz, amely az összes felhasználót tartalmazza a fiókszintű SCIM-alkalmazáshoz. A fiókból meghatározott felhasználók, csoportok és szolgáltatásnevek rendelhetők hozzá az Azure Databricks adott munkaterületeihez identitásösszevonás használatával.

Identitás-összevonás engedélyezése

Az identitás-összevonással konfigurálhatja a felhasználókat, a szolgáltatásneveket és a csoportokat a fiókkonzolon, majd hozzárendelheti ezeket az identitásokat adott munkaterületekhez. Ez leegyszerűsíti az Azure Databricks felügyeletét és adatszabályozását.

Fontos

A Databricks 2023. november 9-én kezdte el automatikusan engedélyezni az identitás-összevonás és a Unity Katalógus új munkaterületeit, és fokozatosan léptek fel a fiókok között. Ha a munkaterület alapértelmezés szerint engedélyezve van az identitás-összevonáshoz, az nem tiltható le. További információ: A Unity Katalógus automatikus engedélyezése.

Az identitásösszevonással az Azure Databricks felhasználóit, szolgáltatásneveit és csoportjait egyszer konfigurálhatja a fiókkonzolon, ahelyett, hogy az egyes munkaterületeken külön-külön megismételte a konfigurációt. Ez csökkenti az új csapat Azure Databricksbe való bevezetése során jelentkező súrlódást, és lehetővé teszi, hogy az egyes munkaterületekhez külön SCIM-kiépítési alkalmazás helyett egy SCIM-kiépítési alkalmazást tartson fenn a Microsoft Entra ID-val az Azure Databricks-fiókhoz. Miután hozzáadta a fiókhoz a felhasználókat, szolgáltatásneveket és csoportokat, engedélyeket rendelhet hozzájuk a munkaterületeken. Fiókszintű identitásokhoz csak olyan munkaterületekhez rendelhet hozzáférést, amelyek engedélyezve vannak az identitás-összevonáshoz.

Fiókszintű identitásdiagram

Ha engedélyezni szeretne egy munkaterületet identitás-összevonáshoz, olvassa el a Hogyan engedélyezik a rendszergazdák az identitás-összevonást a munkaterületen? Ha a hozzárendelés befejeződött, az identitás-összevonás engedélyezve van a munkaterület Konfiguráció lapján a fiókkonzolon.

Az identitás-összevonás a munkaterület szintjén engedélyezve van, és az identitásösszetett és a nem identitásalapú összevont munkaterületek kombinációjával is rendelkezhet. Az identitás-összevonáshoz nem engedélyezett munkaterületek esetében a munkaterület rendszergazdái a munkaterület felhasználóit, szolgáltatásneveit és csoportjait teljes egészében a munkaterület hatókörén belül kezelik (az örökölt modell). Nem használhatják a fiókkonzolt vagy a fiókszintű API-kat, hogy felhasználókat rendeljenek a fiókhoz ezekhez a munkaterületekhez, de bármelyik munkaterületszintű felületet használhatják. Amikor új felhasználót vagy szolgáltatásnevet ad hozzá egy munkaterülethez munkaterületszintű felületek használatával, a rendszer szinkronizálja a felhasználót vagy a szolgáltatásnevet a fiókszinttel. Így egyetlen konzisztens felhasználói és szolgáltatásnév-készlettel rendelkezhet a fiókjában.

Ha azonban egy csoportot egy nem identitás által összevont munkaterülethez adnak hozzá munkaterületszintű felületek használatával, az a csoport egy munkaterület-helyi csoport , és nem lesz hozzáadva a fiókhoz. A munkaterület-helyi csoportok helyett a fiókcsoportokat kell használnia. A munkaterület-helyi csoportok nem adhatnak hozzáférés-vezérlési szabályzatokat a Unity Katalógusban, és nem adhatnak engedélyeket más munkaterületekhez.

Frissítés identitás-összevonásra

Ha egy meglévő munkaterületen engedélyezi az identitás-összevonást, tegye a következőket:

  1. Munkaterületszintű SCIM-kiépítés migrálása a fiókszintre

    Ha rendelkezik munkaterületszintű SCIM-kiépítéssel, állítsa be a fiókszintű SCIM-kiépítést, és kapcsolja ki a munkaterületszintű SCIM-kiépítést. A munkaterületszintű SCIM továbbra is létrehozza és frissíti a munkaterület helyi csoportjait. A Databricks a munkaterület-helyi csoportok helyett a fiókcsoportokat javasolja a központosított munkaterület-hozzárendelés és az adathozzáférés-kezelés előnyeinek kihasználásához a Unity Catalog használatával. A munkaterületszintű SCIM nem ismeri fel az identitásfedezett munkaterülethez rendelt fiókcsoportokat, és a munkaterületszintű SCIM API-hívások sikertelenek lesznek, ha fiókcsoportokat is érintenek. A munkaterületszintű SCIM letiltásával kapcsolatos további információkért lásd : Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre.

  2. Munkaterület helyi csoportjainak átalakítása fiókcsoportokká

    A Databricks azt javasolja, hogy a meglévő munkaterület-helyi csoportokat alakítsa át fiókcsoportokká. Útmutatásért tekintse meg a munkaterület-helyi csoportok áttelepítése fiókcsoportokra című témakört.

Csoportok munkaterületi engedélyeinek hozzárendelése

Most, hogy engedélyezve van az identitás-összevonás a munkaterületen, hozzárendelheti a felhasználókat, a szolgáltatásnéveket és a csoportokat a fiókengedélyeihez a munkaterületen. A Databricks azt javasolja, hogy a munkaterületekhez rendeljen csoportengedélyeket ahelyett, hogy külön-külön rendeljen hozzá munkaterület-engedélyeket a felhasználókhoz. Minden Azure Databricks-identitás hozzárendelhető csoporttagként, a tagok pedig a csoporthoz rendelt engedélyeket öröklik.

Munkaterületi engedélyek hozzáadása

További információ