Felhasználók, szolgáltatásnevek és csoportok kezelése
Ez a cikk bemutatja az Azure Databricks identitáskezelési modelljét, és áttekintést nyújt arról, hogyan kezelheti a felhasználókat, csoportokat és szolgáltatásneveket az Azure Databricksben.
Az identitás Azure Databricksben való legjobb konfigurálásához tekintse meg az identitással kapcsolatos ajánlott eljárásokat.
A felhasználók, szolgáltatásnevek és csoportok hozzáférésének kezeléséhez lásd: Hitelesítés és hozzáférés-vezérlés.
Azure Databricks-identitások
Az Azure Databricks-identitásnak három típusa van:
- Felhasználók: Az Azure Databricks által felismert és e-mail-címek által képviselt felhasználói identitások.
- Szolgáltatásnevek: Identitások feladatokhoz, automatizált eszközökhöz és rendszerekhez, például szkriptekhez, alkalmazásokhoz és CI/CD-platformokhoz.
- Csoportok: A rendszergazdák által a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való csoporthozzáférés kezeléséhez használt identitások gyűjteménye. Minden Databricks-identitás csoporttagként rendelhető hozzá. Az Azure Databricksben kétféle csoport létezik: fiókcsoportok és munkaterület-helyi csoportok. További információt a fiókcsoportok és a munkaterület helyi csoportjai közötti különbség című témakörben talál.
Egy fiókban legfeljebb összesen 10 000 felhasználó és szolgáltatásnév szerepelhet, és legfeljebb 5000 csoport. Egy munkaterületen legfeljebb összesen 10 000 felhasználó és szolgáltatásnév szerepelhet, és legfeljebb 5000 csoport.
Részletes útmutatásért lásd:
- Felhasználók kezelése
- Szolgáltatásnevek kezelése
- Csoportok kezelése
- Felhasználók és csoportok szinkronizálása a Microsoft Entra ID-ból
Ki kezelheti az identitásokat az Azure Databricksben?
Az Identitások Azure Databricksben való kezeléséhez a következők egyikével kell rendelkeznie: fiókadminisztrátori szerepkörrel, munkaterület-rendszergazdai szerepkörrel vagy egy szolgáltatásnév vagy csoport felettesi szerepkörével.
A fiókadminisztrátor felhasználókat , szolgáltatásneveket és csoportokat adhat hozzá a fiókhoz, és rendszergazdai szerepköröket rendelhet hozzájuk. A fiókgazdák frissíthetik és törölhetik a fiók felhasználóit, szolgáltatásneveit és csoportjait. Hozzáférést biztosíthatnak a felhasználóknak a munkaterületekhez, amíg ezek a munkaterületek identitás-összevonást használnak.
Az első fiókadminisztrátor létrehozásához lásd : Az első fiókadminisztrátor létrehozása
A munkaterület rendszergazdái felhasználókat és szolgáltatásneveket adhatnak az Azure Databricks-fiókhoz. Csoportokat is felvehetnek az Azure Databricks-fiókba, ha a munkaterületeik engedélyezve vannak az identitásösszevonáshoz. A munkaterület rendszergazdái hozzáférést biztosíthatnak a felhasználóknak, a szolgáltatásneveknek és a csoportoknak a munkaterületeikhez. A felhasználók és a szolgáltatásnevek nem törölhetők a fiókból.
A munkaterület rendszergazdái a munkaterület helyi csoportjait is kezelhetik. További információ: Munkaterület-helyi csoportok kezelése (örökölt).
A csoportkezelők kezelhetik a csoporttagságokat, és törölhetik a csoportot. Más felhasználókat is hozzárendelhetnek a csoportkezelői szerepkörhöz. A fiókadminisztrátor a fiók összes csoportjában rendelkezik csoportkezelői szerepkörrel. A munkaterület-rendszergazdák csoportkezelői szerepkörrel rendelkeznek az általuk létrehozott fiókcsoportokban. Lásd: Ki kezelheti a fiókcsoportokat?.
A szolgáltatásnév-kezelők kezelhetik a szerepköröket egy szolgáltatásnéven. A fiókadminisztrátor a fiók összes szolgáltatásnévén rendelkezik szolgáltatásnév-kezelői szerepkörrel. A munkaterület rendszergazdái rendelkeznek a szolgáltatásnév-kezelő szerepkörrel az általuk létrehozott szolgáltatásneveken. További információ: Szerepkörök a szolgáltatásnevek kezeléséhez.
Hogyan rendelnek felhasználókat a rendszergazdák a fiókhoz?
A Databricks az SCIM-kiépítés használatát javasolja az összes felhasználó és csoport automatikus szinkronizálásához a Microsoft Entra-azonosítóból az Azure Databricks-fiókba. Az Azure Databricks-fiók felhasználói nem rendelkeznek alapértelmezett hozzáféréssel munkaterülethez, adatokhoz vagy számítási erőforrásokhoz. A fiókadminisztrátor és a munkaterület rendszergazdái fiókfelhasználókat rendelhetnek a munkaterületekhez. A munkaterület rendszergazdái közvetlenül is hozzáadhatnak egy új felhasználót egy munkaterülethez, amely automatikusan hozzáadja a felhasználót a fiókhoz, és hozzárendeli őket a munkaterülethez.
A felhasználók akkor is megoszthatják a közzétett irányítópultokat az Azure Databricks-fiók többi felhasználójával, ha ezek a felhasználók nem tagjai a munkaterületüknek. Az Azure Databricks-fiók azon felhasználói, akik nem tagjai munkaterületnek, egyenértékűek a csak megtekintésre jogosult felhasználókkal más eszközökben. Megtekinthetik a velük megosztott objektumokat, de nem módosíthatják az objektumokat. További információ: Felhasználó- és csoportkezelés az irányítópultok megosztásához.
A felhasználók fiókhoz való hozzáadására vonatkozó részletes útmutatásért lásd:
- Felhasználók és csoportok szinkronizálása a Microsoft Entra ID-ból
- Felhasználók hozzáadása a fiókhoz
- Szolgáltatásnevek hozzáadása a fiókhoz
- Csoportok hozzáadása a fiókhoz
Hogyan rendelnek felhasználókat a rendszergazdák a munkaterületekhez?
Ahhoz, hogy egy felhasználó, szolgáltatásnév vagy csoport működhessen egy Azure Databricks-munkaterületen, a fiókadminisztrátornak vagy a munkaterület rendszergazdájának hozzá kell rendelnie őket egy munkaterülethez. Munkaterület-hozzáférést rendelhet a fiókban található felhasználókhoz, szolgáltatásnevekhez és csoportokhoz, amíg a munkaterület engedélyezve van az identitás-összevonáshoz.
A munkaterület rendszergazdái közvetlenül is hozzáadhatnak egy új felhasználót, szolgáltatásnevet vagy fiókcsoportot egy munkaterülethez. Ez a művelet automatikusan hozzáadja a kiválasztott felhasználót, szolgáltatásnevet vagy fiókcsoportot a fiókhoz, és hozzárendeli őket az adott munkaterülethez.
Feljegyzés
A munkaterületgazdák a Munkaterületcsoportok API-val is létrehozhatnak régi munkaterület-helyi csoportokat a munkaterületeken. A munkaterület helyi csoportjai nem lesznek automatikusan hozzáadva a fiókhoz. A munkaterület-helyi csoportok nem rendelhetők hozzá további munkaterületekhez, és nem férhetnek hozzá az adatokhoz a Unity Catalog metaadattárában.
Az identitás-összevonáshoz nem engedélyezett munkaterületek esetében a munkaterület rendszergazdái teljes mértékben a munkaterület hatókörén belül kezelik a munkaterület felhasználóit, szolgáltatásneveit és csoportjait. A nem identitások által összevont munkaterületekhez hozzáadott felhasználók és szolgáltatásnevek automatikusan hozzáadódnak a fiókhoz. A nem identitások által összevont munkaterületekhez hozzáadott csoportok örökölt munkaterület-helyi csoportok, amelyek nem kerülnek a fiókba.
Ha a munkaterület felhasználója megoszt egy felhasználónevet (e-mail-címet) egy már létező fiókfelhasználóval vagy rendszergazdával, a rendszer egyesíti a felhasználókat.
Részletes útmutatásért lásd:
- Felhasználók hozzáadása munkaterülethez
- Szolgáltatásnevek hozzáadása munkaterülethez
- Csoportok hozzáadása munkaterülethez
Hogyan engedélyezik a rendszergazdák az identitás-összevonást egy munkaterületen?
A Databricks 2023. november 9-én kezdte el automatikusan engedélyezni az identitás-összevonás és a Unity Katalógus új munkaterületeit, és fokozatosan léptek fel a fiókok között. Ha a munkaterület alapértelmezés szerint engedélyezve van az identitás-összevonáshoz, az nem tiltható le. További információ: A Unity Katalógus automatikus engedélyezése.
A munkaterület identitás-összevonásának engedélyezéséhez a fiókadminisztrátornak engedélyeznie kell a munkaterületet a Unity Cataloghoz egy Unity Catalog-metaadattár hozzárendelésével. Lásd: Munkaterület engedélyezése a Unity Cataloghoz.
Ha a hozzárendelés befejeződött, az identitás-összevonás engedélyezve van a munkaterület Konfiguráció lapján a fiókkonzolon.
A munkaterület rendszergazdái megállapíthatják, hogy egy munkaterületen engedélyezve van-e az identitás-összevonás a munkaterület rendszergazdai beállításainak lapján. Ha egy identitás-összevonással rendelkező munkaterületen felhasználót, szolgáltatásnevet vagy csoportot szeretne hozzáadni a munkaterület rendszergazdai beállításaihoz, kiválaszthatja a felhasználót, a szolgáltatásnevet vagy a csoportot a fiókjából, hogy hozzáadja a munkaterülethez.
Nem identitásalapú összevont munkaterületen nincs lehetősége felhasználók, szolgáltatásnevek vagy csoportok hozzáadására a fiókjából.
Rendszergazdai szerepkörök hozzárendelése
A fiókadminisztrátorok más felhasználókat is hozzárendelhetnek fiókadminisztrátorként. A metaadattár létrehozása révén Unity Catalog-metaadattár-rendszergazdákká is válhatnak, és átvihetik a metaadattár-rendszergazdai szerepkört egy másik felhasználóra vagy csoportra.
A fiókadminisztrátor és a munkaterület rendszergazdája is hozzárendelhet más felhasználókat munkaterület-rendszergazdaként. A munkaterület-rendszergazdai szerepkört a munkaterület-rendszergazdai csoport tagsága határozza meg, amely az Azure Databricks alapértelmezett csoportja, és nem törölhető.
A fiókadminisztrátorok más felhasználókat is hozzárendelhetnek Marketplace-rendszergazdákként.
Lásd:
- Fiókadminisztrátori szerepkörök hozzárendelése egy felhasználóhoz
- A munkaterület rendszergazdai szerepkörének hozzárendelése egy felhasználóhoz a munkaterület rendszergazdai beállítások lapján
- Metaadattár-rendszergazda hozzárendelése
- A Marketplace rendszergazdai szerepkörének hozzárendelése
Egyszeri bejelentkezés (SSO) beállítása
Az egyszeri bejelentkezés (SSO) Microsoft Entra ID-alapú bejelentkezés formájában minden ügyfél számára elérhető az Azure Databricksben. A Microsoft Entra ID egyszeri bejelentkezést a fiókkonzolhoz és a munkaterületekhez is használhatja.
Lásd: Egyszeri bejelentkezés.