Praktik terbaik pengelolaan identitas

Halaman ini memberikan perspektif berpendapat tentang cara terbaik mengonfigurasi identitas di Azure Databricks. Ini termasuk panduan tentang cara bermigrasi ke federasi identitas, yang memungkinkan Anda mengelola semua pengguna, grup, dan perwakilan layanan Anda di akun Azure Databricks.

Untuk gambaran umum model identitas Azure Databricks, lihat Identitas Azure Databricks.

Untuk informasi tentang cara mengakses API Azure Databricks dengan aman, lihat Mengelola izin token akses pribadi.

Mengonfigurasi pengguna, perwakilan layanan, dan grup

Ada tiga jenis identitas Azure Databricks:

  • Pengguna: Identitas pengguna yang dikenali oleh Azure Databricks dan diwakili oleh alamat email.
  • Prinsipal layanan: Identitas yang digunakan untuk pekerjaan, alat otomatis, dan sistem seperti skrip, aplikasi, dan platform CI/CD.
  • Grup: Grup menyederhanakan manajemen identitas, sehingga lebih mudah untuk menetapkan akses ke ruang kerja, data, dan objek yang dapat diamankan lainnya.

Databricks merekomendasikan pembuatan perwakilan layanan untuk menjalankan pekerjaan produksi atau memodifikasi data produksi. Jika semua proses yang bertindak berdasarkan data produksi berjalan menggunakan prinsipal layanan, pengguna interaktif tidak memerlukan hak tulis, hapus, atau ubah hak istimewa di lingkungan produksi. Ini menghilangkan risiko pengguna secara tidak sengaja menimpa data produksi.

Ini adalah praktik terbaik untuk menetapkan akses ke ruang kerja dan kebijakan kontrol akses di Katalog Unity ke grup, bukan kepada pengguna satu per satu. Semua identitas Azure Databricks dapat ditetapkan sebagai anggota kelompok, dan anggota mewarisi hak akses yang ditetapkan ke kelompok mereka.

Berikut ini adalah peran administratif yang dapat mengelola identitas Azure Databricks:

  • Admin akun dapat menambahkan pengguna, perwakilan layanan, dan grup ke akun dan menetapkan peran admin kepada mereka. Mereka dapat memberi pengguna akses ke ruang kerja, selama ruang kerja tersebut menggunakan federasi identitas.
  • Admin ruang kerja dapat menambahkan pengguna, perwakilan layanan ke akun Azure Databricks. Mereka juga dapat menambahkan grup ke akun Azure Databricks jika ruang kerja mereka diaktifkan untuk federasi identitas. Admin ruang kerja dapat memberi pengguna, perwakilan layanan, dan grup akses ke ruang kerja mereka.
  • Manajer grup dapat mengelola keanggotaan grup. Mereka juga dapat menetapkan peran manajer grup kepada pengguna lain.
  • Manajer prinsipal layanan dapat mengelola peran pada prinsipal layanan.

Databricks merekomendasikan bahwa ada sejumlah admin akun terbatas per akun dan admin ruang kerja di setiap ruang kerja.

Menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra

Anda dapat menambahkan pengguna, perwakilan layanan, dan grup dari ID Microsoft Entra ke Azure Databricks tanpa mengonfigurasi aplikasi di ID Microsoft Entra menggunakan manajemen identitas otomatis. Saat manajemen identitas otomatis diaktifkan, Anda dapat langsung mencari di ruang kerja gabungan identitas untuk pengguna ID Microsoft Entra, perwakilan layanan, dan grup dan menambahkannya ke ruang kerja Anda. Databricks menggunakan ID Microsoft Entra sebagai sumber kebenaran, sehingga setiap perubahan pada pengguna atau keanggotaan grup dihormati di Azure Databricks. Manajemen identitas otomatis diaktifkan secara default untuk akun yang dibuat setelah 1 Agustus 2025.

Pengguna juga dapat berbagi dasbor dengan pengguna, perwakilan layanan, atau grup apa pun di ID Microsoft Entra. Saat dibagikan, pengguna, perwakilan layanan, dan anggota grup tersebut secara otomatis ditambahkan ke akun Azure Databricks saat masuk.

Manajemen identitas otomatis hanya didukung di ruang kerja federasi identitas. Untuk informasi selengkapnya tentang federasi identitas, lihat Menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra.

Mengaktifkan federasi identitas

Federasi identitas memungkinkan Anda mengonfigurasi pengguna, perwakilan layanan, dan grup di konsol akun, lalu menetapkan akses identitas tersebut ke ruang kerja tertentu. Ini menyederhanakan administrasi Dan tata kelola data Azure Databricks.

Databricks mulai mengaktifkan ruang kerja baru untuk federasi identitas dan Unity Catalog secara otomatis pada 9 November 2023, dengan peluncuran berlangsung secara bertahap di seluruh akun. Jika ruang kerja Anda diaktifkan untuk federasi identitas secara default, ruang kerja tidak dapat dinonaktifkan. Untuk informasi selengkapnya, lihat Aktivasi otomatis Unity Catalog.

Dengan federasi identitas, Anda mengonfigurasi pengguna, perwakilan layanan, dan grup Azure Databricks sekali di konsol akun, daripada mengulangi konfigurasi secara terpisah di setiap ruang kerja. Setelah pengguna, perwakilan layanan, dan grup ditambahkan ke akun, Anda dapat menetapkan izin kepada mereka di ruang kerja. Anda hanya dapat menetapkan akses identitas tingkat akun ke ruang kerja yang diaktifkan untuk federasi identitas.

Diagram identitas tingkat akun

Untuk mengaktifkan ruang kerja untuk federasi identitas, lihat Federasi identitas. Setelah penugasan selesai, federasi identitas ditandai sebagai Diaktifkan pada tab Konfigurasi ruang kerja di konsol akun.

Federasi identitas diaktifkan pada tingkat ruang kerja, dan Anda dapat memiliki kombinasi ruang kerja yang difederasikan dengan identitas dan yang tidak difederasikan dengan identitas. Untuk ruang kerja yang tidak diaktifkan untuk federasi identitas, admin ruang kerja mengelola pengguna ruang kerja, perwakilan layanan, dan grup mereka sepenuhnya dalam lingkup ruang kerja (model warisan). Mereka tidak dapat menggunakan konsol akun atau API tingkat akun untuk menetapkan pengguna dari akun ke ruang kerja ini, tetapi mereka dapat menggunakan salah satu antarmuka tingkat ruang kerja. Setiap kali pengguna atau perwakilan layanan baru ditambahkan ke ruang kerja menggunakan antarmuka tingkat ruang kerja, pengguna atau perwakilan layanan tersebut disinkronkan ke tingkat akun. Ini memungkinkan Anda memiliki satu set pengguna dan perwakilan layanan yang konsisten di akun Anda.

Namun, ketika sebuah grup ditambahkan ke ruang kerja berbasis federasi yang bukan identitas menggunakan antarmuka pada tingkat ruang kerja, grup tersebut menjadi grup lokal ruang kerja dan tidak ditambahkan ke akun. Anda perlu bertujuan untuk menggunakan grup akun daripada grup lokal ruang kerja. Grup ruang kerja-lokal tidak dapat diberikan kebijakan kontrol akses di Katalog Unity atau izin ke ruang kerja lain.

Meningkatkan ke federasi identitas

Jika Anda mengaktifkan federasi identitas di ruang kerja yang sudah ada, lakukan hal berikut:

  1. Memigrasikan penyediaan SCIM dari tingkat ruang kerja ke tingkat akun

    Jika Anda memiliki pengaturan provisi SCIM di tingkat ruang kerja di ruang kerja Anda, Anda harus menyiapkan provisi SCIM di tingkat akun dan menonaktifkan provisi SCIM di tingkat ruang kerja. SCIM tingkat ruang kerja akan terus membuat dan memperbarui grup lokal ruang kerja. Databricks merekomendasikan penggunaan grup akun alih-alih grup ruang kerja-lokal untuk memanfaatkan penetapan ruang kerja terpusat dan manajemen akses data menggunakan Katalog Unity. SCIM tingkat ruang kerja juga tidak mengenali grup akun yang ditetapkan ke ruang kerja federasi identitas Anda dan panggilan API SCIM tingkat ruang kerja akan gagal jika melibatkan grup akun. Untuk informasi selengkapnya tentang cara menonaktifkan SCIM tingkat ruang kerja, lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.

  2. Mengonversi grup ruang kerja-lokal ke grup akun

    Databricks merekomendasikan untuk mengonversi grup ruang kerja-lokal yang ada ke grup akun. Lihat Migrasikan grup lokal ruang kerja ke grup akun untuk mendapatkan instruksi.

Menetapkan izin ruang kerja grup

Setelah federasi identitas diaktifkan di ruang kerja, Anda dapat menetapkan pengguna, perwakilan layanan, dan grup di izin akun Anda di ruang kerja tersebut. Databricks merekomendasikan agar Anda menetapkan izin grup ke ruang kerja alih-alih menetapkan izin ruang kerja kepada pengguna satu per satu. Semua identitas Azure Databricks dapat ditetapkan sebagai anggota grup, dan anggota mewarisi izin yang ditetapkan ke grup mereka.

Nota

Dalam rilis mendatang, keanggotaan grup akun juga memengaruhi izin objek ruang kerja. Anggota mewarisi izin pada objek ruang kerja, seperti pekerjaan, buku catatan, dan folder, dari semua grup akun tempat mereka menjadi anggota, terlepas dari apakah grup tersebut ditetapkan ke ruang kerja. Gunakan buku catatan analisis izin yang Terbengkalai untuk meninjau pemberian izin di ruang kerja Anda. Lihat Izin objek Ruang Kerja akan segera diwariskan dari semua grup akun.

Menambahkan izin ruang kerja

Pelajari lebih lanjut

  • Last updated on