Felhasználók, szolgáltatásnevek és csoportok kezelése

A Databricks központosított identitáskezelést biztosít a felhasználók, csoportok és szolgáltatásnevek számára a fiókban és a munkaterületeken. Az Azure Databricks identitáskezelésével szabályozhatja, hogy ki férhet hozzá a munkaterületekhez, az adatokhoz és a számítási erőforrásokhoz, és rugalmasan szinkronizálhatja az identitásszolgáltató identitásait.

Az identitás Azure Databricksben való legjobb konfigurálásáról erőteljes véleményen alapuló nézőpontért tekintse meg az identitással kapcsolatos ajánlott eljárásokat.

A felhasználók, szolgáltatásnevek és csoportok hozzáférésének kezeléséhez lásd: Hitelesítés és hozzáférés-vezérlés.

Azure Databricks-identitások

A Databricks háromféle identitást támogat a hitelesítéshez és a hozzáférés-vezérléshez:

Identitástípus	Description
Felhasználók	Az Azure Databricks által felismert és e-mail-címek által képviselt felhasználói identitások.
Szolgáltatásnevek	Feladatokhoz, automatizált eszközökhöz és rendszerekhez, például szkriptekhez, alkalmazásokhoz és CI/CD-platformokhoz használható identitások.
csoportok	A rendszergazdák által a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való csoporthozzáférés kezelésére használt identitások gyűjteménye. Minden Databricks-identitás csoporttagként rendelhető hozzá.

Egy Azure Databricks-fiók legfeljebb 10 000 egyesített felhasználóval és szolgáltatásnévvel, valamint legfeljebb 5000 csoporttal rendelkezhet. Minden munkaterület legfeljebb 10 000 egyesített felhasználóval és szolgáltatásnévvel rendelkezhet tagként, akár 5000 csoporttal együtt.

Ki kezelheti az identitásokat az Azure Databricksben?

Az Identitások Azure Databricksben való kezeléséhez az alábbi szerepkörök egyikével kell rendelkeznie:

Role	Capabilities
Fiókadminisztrátor	Felhasználók, szolgáltatásnevek és csoportok hozzáadása, frissítése és törlése a fiókban. Rendszergazdai szerepkörök hozzárendelése és hozzáférés biztosítása a felhasználóknak a munkaterületekhez. Automatikusan rendelkezik a csoportkezelői szerepkörrel a fiók összes csoportján, valamint a szolgáltatásfelelős-kezelői szerepkörrel a fiók összes szolgáltatásfelelősén.
Munkaterület rendszergazdái	Felhasználók, szolgáltatásnevek és csoportok hozzáadása az Azure Databricks-fiókhoz. A fiókban lévő felhasználók vagy szolgáltatásnevek nem frissíthetők vagy törölhetők. Hozzáférést biztosíthat a felhasználóknak, a szolgáltatásneveknek és a csoportoknak a munkaterületeikhez. Régi munkaterület-helyi csoportok kezelése. Automatikusan csoportkezelői szerepkörrel rendelkezik az általuk létrehozott csoportokon, és szolgáltatásnév-kezelői szerepkörrel az általuk létrehozott szolgáltatásneveken.
Csoportmenedzserek	Csoporttagság kezelése és csoportok törlése. Rendelje hozzá a csoportkezelői szerepkört más felhasználókhoz.
Szolgáltatási főazonosító-kezelők	Szerepkörök hozzáadása, frissítése és eltávolítása a szolgáltatás objektumokon.

Az első fiókadminisztrátor létrehozásához lásd : Az első fiókadminisztrátor létrehozása.

Identitáskezelési munkafolyamatok

Megjegyzés:

A legtöbb munkaterület alapértelmezés szerint engedélyezve van az identitás-összevonáshoz. Az identitások összevonásával központilag kezelheti az identitásokat a fiók szintjén, és hozzárendelheti őket a munkaterületekhez. Ez a lap feltételezi, hogy a munkaterületen engedélyezve van az identitás-összevonás. Ha örökölt munkaterülete van identitás-összevonás nélkül, tekintse meg az Örökölt munkaterületek identitás-összevonás nélkül című témakört.

Identitásszövetség

A Databricks 2023. november 9-én automatikusan engedélyezte az identitás-összevonás és a Unity Catalog új munkaterületeit. Az identitás-összevonáshoz alapértelmezés szerint engedélyezett munkaterületek nem tilthatók le. További információ: A Unity Katalógus automatikus engedélyezése.

Ha egy identitást összevont munkaterületen felhasználót, szolgáltatásnevet vagy csoportot ad hozzá a munkaterület rendszergazdai beállításaihoz, kiválaszthatja a fiókjában található identitások közül. Nem identitásalapú összevont munkaterületen nincs lehetősége felhasználók, szolgáltatásnevek vagy csoportok hozzáadására a fiókjából.

Ha ellenőrizni szeretné, hogy a munkaterületen engedélyezve van-e az identitás-összevonás, keresse a fiókkonzol munkaterület oldalán az Identitás-összevonás: Engedélyezett feliratot. Egy régebbi munkaterület identitás-összevonásának engedélyezéséhez a fiókadminisztrátornak engedélyeznie kell a munkaterületet a Unity Cataloghoz egy Unity Catalog-metaadattár hozzárendelésével. Lásd: Munkaterület engedélyezése a Unity Cataloghoz.

Identitások szinkronizálása az identitásszolgáltató használatával

A Databricks azt javasolja, hogy automatikus identitáskezeléssel szinkronizálja az identitásokat a Microsoft Entra ID-ból az Azure Databricksbe. Az automatikus identitáskezelés alapértelmezés szerint engedélyezve van a 2025. augusztus 1. után létrehozott fiókok esetében.

Az automatikus identitáskezeléssel közvetlenül megkeresheti a Microsoft Entra-azonosító felhasználóit, szolgáltatásneveit és csoportjait a munkaterület rendszergazdai beállításai között, és felveheti őket a munkaterületre és az Azure Databricks-fiókba. A Databricks a Microsoft Entra ID azonosítót használja a rekord forrásaként, így a felhasználók vagy csoporttagságok módosításait az Azure Databricks tiszteletben tartja. Részletes útmutatásért lásd: Felhasználók és csoportok automatikus szinkronizálása a Microsoft Entra-azonosítóból.

Identitások hozzárendelése munkaterületekhez

Ha engedélyezni szeretné, hogy egy felhasználó, szolgáltatásnév vagy csoport egy Azure Databricks-munkaterületen dolgozhasson, a fiókadminisztrátor vagy a munkaterület rendszergazdája hozzárendeli őket a munkaterülethez. Munkaterület-hozzáférést rendelhet a fiókban található bármely felhasználóhoz, szolgáltatásnévhez vagy csoporthoz.

A munkaterület rendszergazdái új felhasználót, szolgáltatásnevet vagy csoportot is felvehetnek közvetlenül a munkaterületre. Ez a művelet automatikusan hozzáadja az identitást a fiókhoz, és hozzárendeli az adott munkaterülethez.

Részletes útmutatásért lásd:

• Felhasználók hozzáadása munkaterülethez
• Szolgáltatásfelelősök hozzáadása munkaterülethez
• Csoportok hozzáadása munkaterülethez

Irányítópultok megosztása fiókfelhasználókkal

A felhasználók akkor is megoszthatják a közzétett irányítópultokat az Azure Databricks-fiók többi felhasználójával, ha ezek a felhasználók nem tagjai a munkaterületüknek. Az automatikus identitáskezelés használatával a felhasználók megoszthatják az irányítópultokat a Microsoft Entra ID bármely felhasználójával, amely bejelentkezéskor hozzáadja a felhasználót az Azure Databricks-fiókhoz. Az Azure Databricks-fiók azon felhasználói, akik nem tagjai munkaterületnek, egyenértékűek a csak megtekintésre jogosult felhasználókkal más eszközökben. Megtekinthetik a velük megosztott objektumokat, de nem módosíthatják az objektumokat. Az Azure Databricks-fiók felhasználói nem rendelkeznek alapértelmezett hozzáféréssel munkaterülethez, adatokhoz vagy számítási erőforrásokhoz. További információ: Felhasználó- és csoportkezelés.

Authentication

Egyszeri bejelentkezés (SSO)

Az egyszeri bejelentkezés (SSO) Microsoft Entra ID-alapú bejelentkezés formájában alapértelmezés szerint minden ügyfél számára elérhető az Azure Databricksben a fiókkonzolon és a munkaterületeken egyaránt. Lásd : Egyszeri bejelentkezés a Microsoft Entra-azonosítóval.

Igény szerinti ellátás

A just-in-time (JIT) kiépítés konfigurálható úgy, hogy a Microsoft Entra ID új felhasználói fiókokat automatikusan hozzon létre a felhasználó első bejelentkezésekor. Lásd: Felhasználók automatikus kiépítése (JIT).

Hozzáférés-vezérlés

A rendszergazdák szerepköröket, jogosultságokat és engedélyeket rendelhetnek a felhasználókhoz, szolgáltatásnevekhez és csoportokhoz a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való hozzáférés szabályozásához. További információ: Hozzáférés-vezérlés áttekintése.

Hagyományos munkaterületek identitás-föderáció nélkül

Az identitás-összevonáshoz nem engedélyezett munkaterületek esetében a munkaterület rendszergazdái a munkaterület felhasználóit, szolgáltatásneveit és csoportjait teljes egészében a munkaterület hatókörén belül kezelik. A nem identitás-alapú szövetkezeti munkaterületekhez hozzáadott felhasználók és szolgáltatási elvek automatikusan hozzáadódnak a fiókhoz. Ha a munkaterület felhasználója megoszt egy felhasználónevet (vagyis egy e-mail-címet) egy már létező fiókfelhasználóval vagy rendszergazdával, a rendszer egyetlen identitásba egyesíti ezeket a felhasználókat. A nem identitási federált munkaterületekhez hozzáadott csoportok olyan örökölt munkaterület-helyi csoportok, amelyek nem kerülnek a fiókba.

Ha identitás-összevonást szeretne engedélyezni egy örökölt munkaterülethez, olvassa el az Identitás összevonás című témakört.

További erőforrások

• Az identitáskezelés ajánlott eljárásai – Véleményezett útmutatás az identitás azure Databricksben való konfigurálásához
• Felhasználók – Felhasználói identitások kezelése
• Szolgáltatásnevek – Szolgáltatásnév-identitások kezelése
• Csoportok – Csoportidentitások kezelése
• Hozzáférés-vezérlés – Engedélyek és hozzáférés kezelése
• SCIM ellátás – Identitások szinkronizálása a saját identitásszolgáltatótól
• Munkaterület-helyi csoportok – Örökölt munkaterület-helyi csoportok kezelése