Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a lap véleményezi, hogyan konfigurálhatja a legjobban az identitást az Azure Databricksben. Útmutatót tartalmaz az identitásösszevonásba való migrálásról, amely lehetővé teszi az Azure Databricks-fiók összes felhasználójának, csoportjának és szolgáltatásnevének kezelését.
Az Azure Databricks identitásmodelljének áttekintéséért tekintse meg az Azure Databricks-identitásokat.
További információ az Azure Databricks API-k biztonságos eléréséről: Személyes hozzáférési jogkivonat-engedélyek kezelése.
Felhasználók, szolgáltatásnevek és csoportok konfigurálása
Az Azure Databricks-identitásnak három típusa van:
- Felhasználók: Az Azure Databricks által felismert és e-mail-címek által képviselt felhasználói identitások.
- Szolgáltatásnevek: Identitások feladatokhoz, automatizált eszközökhöz és rendszerekhez, például szkriptekhez, alkalmazásokhoz és CI/CD-platformokhoz.
- Csoportok: A csoportok leegyszerűsítik az identitáskezelést, így egyszerűbben rendelhetők hozzá a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való hozzáférés.
A Databricks szolgáltatásnevek létrehozását javasolja az éles feladatok futtatásához vagy az éles adatok módosításához. Ha az éles adatokkal kapcsolatos összes folyamat szolgáltatásnevek használatával fut, az interaktív felhasználóknak nincs szükségük írási, törlési vagy módosítási jogosultságokra az éles környezetben. Ez kiküszöböli annak kockázatát, hogy egy felhasználó véletlenül felülírja az éles adatokat.
Ajánlott a Unity Katalógusban lévő munkaterületekhez és hozzáférés-vezérlési szabályzatokhoz való hozzáférést csoportokhoz rendelni, nem pedig egyéni felhasználókhoz. Minden Azure Databricks-identitás hozzárendelhető csoporttagként, a tagok pedig a csoporthoz rendelt engedélyeket öröklik.
Az Azure Databricks-identitások kezelésére a következő felügyeleti szerepkörök használhatók:
- A fiókadminisztrátor felhasználókat , szolgáltatásneveket és csoportokat adhat hozzá a fiókhoz, és rendszergazdai szerepköröket rendelhet hozzájuk. Hozzáférést biztosíthatnak a felhasználóknak a munkaterületekhez, amíg ezek a munkaterületek identitás-összevonást használnak.
- A munkaterület rendszergazdái felhasználókat és szolgáltatásneveket adhatnak hozzá az Azure Databricks-fiókhoz. Csoportokat is felvehetnek az Azure Databricks-fiókba, ha a munkaterületeik engedélyezve vannak az identitásösszevonáshoz. A munkaterület rendszergazdái hozzáférést biztosíthatnak a felhasználóknak, a szolgáltatásneveknek és a csoportoknak a munkaterületeikhez.
- A csoportkezelők kezelhetik a csoporttagságokat. Más felhasználókat is hozzárendelhetnek a csoportkezelői szerepkörhöz.
- A szolgáltatási főazonosító kezelők kezelhetik a szerepköröket egy szolgáltatási főazonosítón.
A Databricks azt javasolja, hogy fiókonként korlátozott számú fiókadminisztrátor és munkaterület-rendszergazda legyen az egyes munkaterületeken.
Felhasználók és csoportok automatikus szinkronizálása a Microsoft Entra-azonosítóból
Felhasználókat, szolgáltatásneveket és csoportokat vehet fel a Microsoft Entra ID-ból az Azure Databricksbe anélkül, hogy automatikus identitáskezeléssel konfigurálhat egy alkalmazást a Microsoft Entra ID-ban. Ha az automatikus identitáskezelés engedélyezve van, közvetlenül kereshet az identitásfederált munkaterületeken a Microsoft Entra ID felhasználók, szolgáltatási főazonosítók és csoportok között, és hozzáadhatja őket a munkaterületéhez. A Databricks a Microsoft Entra ID azonosítót használja az igazság forrásaként, így a felhasználók vagy csoporttagságok módosításait az Azure Databricks tiszteletben tartja. Az automatikus identitáskezelés alapértelmezés szerint engedélyezve van a 2025. augusztus 1. után létrehozott fiókok esetében.
A felhasználók a Microsoft Entra ID-ban bármely felhasználóval, szolgáltatásnévvel vagy csoporttal megoszthatják az irányítópultokat. Megosztott felhasználók, szolgáltatásnevek és csoportok tagjai bejelentkezéskor automatikusan hozzáadódnak az Azure Databricks-fiókhoz.
Az automatikus identitáskezelés csak identitás-összevont munkaterületeken támogatott. Az identitás-összevonással kapcsolatos további információkért lásd: Felhasználók és csoportok automatikus szinkronizálása a Microsoft Entra-azonosítóból.
Identitás-összevonás engedélyezése
Az identitás-összevonással konfigurálhatja a felhasználókat, a szolgáltatásneveket és a csoportokat a fiókkonzolon, majd hozzárendelheti ezeket az identitásokat adott munkaterületekhez. Ez leegyszerűsíti az Azure Databricks felügyeletét és adatszabályozását.
A Databricks 2023. november 9-én kezdte el automatikusan engedélyezni az identitás-összevonás és a Unity Katalógus új munkaterületeinek engedélyezését, a fiókokon fokozatosan végighaladva. Ha a munkaterület alapértelmezés szerint engedélyezve van az identitás-összevonáshoz, az nem tiltható le. További információ: A Unity Katalógus automatikus engedélyezése.
Az identitásösszevonással az Azure Databricks felhasználóit, szolgáltatásneveit és csoportjait egyszer konfigurálhatja a fiókkonzolon, ahelyett, hogy minden munkaterületen külön-külön megismételi a konfigurációt. Miután hozzáadta a fiókhoz a felhasználókat, szolgáltatásneveket és csoportokat, engedélyeket rendelhet hozzájuk a munkaterületeken. Fiókszintű identitásokhoz csak olyan munkaterületekhez rendelhet hozzáférést, amelyek engedélyezve vannak az identitás-összevonáshoz.
Ha engedélyezni szeretne egy munkaterületet az identitás-összevonáshoz, olvassa el az Identitás összevonás című témakört. Ha a hozzárendelés befejeződött, az identitás-összevonás engedélyezve van a munkaterület Konfiguráció lapján a fiókkonzolon.
Az identitás-összevonás a munkaterület szintjén engedélyezve van, és az identitásösszetett és a nem identitásalapú összevont munkaterületek kombinációjával is rendelkezhet. Az identitás-összevonáshoz nem engedélyezett munkaterületek esetében a munkaterület rendszergazdái a munkaterület felhasználóit, szolgáltatásneveit és csoportjait teljes egészében a munkaterület hatókörén belül kezelik (az örökölt modell). Nem használhatják a fiókkonzolt vagy a fiókszintű API-kat, hogy felhasználókat rendeljenek a fiókhoz ezekhez a munkaterületekhez, de bármelyik munkaterületszintű felületet használhatják. Amikor új felhasználót vagy szolgáltatásnevet ad hozzá egy munkaterülethez munkaterületszintű felületek használatával, a rendszer szinkronizálja a felhasználót vagy a szolgáltatásnevet a fiókszinttel. Így egyetlen konzisztens felhasználói és szolgáltatásnév-készlettel rendelkezhet a fiókjában.
Ha azonban egy csoportot egy nem identitás által összevont munkaterülethez adnak hozzá munkaterületszintű felületek használatával, az a csoport egy munkaterület-helyi csoport , és nem lesz hozzáadva a fiókhoz. A munkaterület-helyi csoportok helyett a fiókcsoportokat kell használnia. A munkaterület-helyi csoportok nem adhatnak hozzáférés-vezérlési szabályzatokat a Unity Katalógusban, és nem adhatnak engedélyeket más munkaterületekhez.
Frissítés identitás-összevonásra
Ha egy meglévő munkaterületen engedélyezi az identitás-összevonást, tegye a következőket:
Munkaterületszintű SCIM-kiépítés migrálása a fiókszintre
Ha rendelkezik munkaterületszintű SCIM-kiépítéssel, állítsa be a fiókszintű SCIM-kiépítést, és kapcsolja ki a munkaterületszintű SCIM-kiépítőt. A munkaterületszintű SCIM továbbra is létrehozza és frissíti a munkaterület helyi csoportjait. A Databricks a munkaterület-helyi csoportok helyett a fiókcsoportokat javasolja a központosított munkaterület-hozzárendelés és az adathozzáférés-kezelés előnyeinek kihasználásához a Unity Catalog használatával. A munkaterületszintű SCIM nem ismeri fel az identitásfedezett munkaterülethez rendelt fiókcsoportokat, és a munkaterületszintű SCIM API-hívások sikertelenek lesznek, ha fiókcsoportokat is érintenek. A munkaterületszintű SCIM letiltásával kapcsolatos további információkért lásd: Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre.
Munkaterület helyi csoportjainak átalakítása fiókcsoportokká
A Databricks azt javasolja, hogy a meglévő munkaterület-helyi csoportokat alakítsa át fiókcsoportokká. Útmutatásért tekintse meg a munkaterület-helyi csoportok áttelepítése fiókcsoportokra című témakört.
Csoportok munkaterületi engedélyeinek hozzárendelése
Most, hogy engedélyezve van az identitás-összevonás a munkaterületen, hozzárendelheti a felhasználókat, a szolgáltatásnéveket és a csoportokat a fiókengedélyeihez a munkaterületen. A Databricks azt javasolja, hogy a munkaterületekhez rendeljen csoportengedélyeket ahelyett, hogy külön-külön rendeljen hozzá munkaterület-engedélyeket a felhasználókhoz. Minden Azure Databricks-identitás hozzárendelhető csoporttagként, a tagok pedig a csoporthoz rendelt engedélyeket öröklik.
További információ
- Felhasználók, szolgáltatásnevek és csoportok kezelése, további információ az Azure Databricks identitásmodelljéről.
- Szinkronizálja a felhasználókat és csoportokat a Microsoft Entra ID-ból az SCIM használatával, és kezdje el használni az SCIM-kiépítést.
- A Unity Catalog ajánlott eljárásai, útmutató a Unity Catalog legjobb konfigurálásához.