Gestire utenti, entità servizio e gruppi

Databricks offre una gestione centralizzata delle identità per utenti, gruppi e entità servizio nell'account e nelle aree di lavoro. La gestione delle identità in Azure Databricks consente di controllare chi può accedere alle aree di lavoro, ai dati e alle risorse di calcolo, con opzioni flessibili per la sincronizzazione delle identità dal provider di identità.

Per una prospettiva autorevole su come configurare al meglio l'identità in Azure Databricks, vedere migliori pratiche per l'identità.

Per gestire l'accesso per utenti, entità servizio e gruppi, vedere Autenticazione e controllo di accesso.

Identità in Azure Databricks

Databricks supporta tre tipi di identità per l'autenticazione e il controllo di accesso:

Tipo di identità	Description
Utenti	Identità utente riconosciute da Azure Databricks e rappresentate dagli indirizzi di posta elettronica.
Principali del servizio	Identità da usare con processi, strumenti automatizzati e sistemi come script, app e piattaforme CI/CD.
Gruppi	Raccolta di identità usate dagli amministratori per gestire l'accesso di gruppo a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.

Un account Azure Databricks può avere un massimo di 10.000 utenti e principali servizio combinati e fino a 5.000 gruppi. Ogni area di lavoro può anche avere un massimo di 10.000 utenti ed entità servizio combinati come membri, insieme a un massimo di 5.000 gruppi.

Chi può gestire le identità in Azure Databricks?

Per gestire le identità in Azure Databricks, è necessario avere uno dei ruoli seguenti:

Ruolo	Capacità
Amministratori account	Aggiungere, aggiornare ed eliminare utenti, entità servizio e gruppi nell'account. Assegnare i ruoli di amministratore e concedere agli utenti l'accesso alle aree di lavoro. Avere automaticamente il ruolo di responsabile di gruppo in tutti i gruppi e il ruolo di responsabile delle entità del servizio in tutte le entità del servizio nell'account.
Amministratori dell'area di lavoro	Aggiungere utenti, entità servizio e gruppi all'account Azure Databricks. Impossibile aggiornare o eliminare utenti o entità servizio nell'account. Concedere agli utenti, alle entità servizio e ai gruppi l'accesso alle aree di lavoro. Gestire i gruppi legacy locali dell'area di lavoro. Avere automaticamente il ruolo di manager del gruppo nei gruppi che creano e il ruolo di manager dell'entità servizio nelle entità servizio che creano.
Responsabili del gruppo	Gestire l'appartenenza ai gruppi ed eliminare i gruppi. Assegnare il ruolo di gestione del gruppo ad altri utenti.
Responsabili dei principali del servizio	Aggiungere, aggiornare e rimuovere ruoli nelle entità servizio.

Per stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account.

Flussi di lavoro di gestione delle identità

Annotazioni

La maggior parte delle aree di lavoro è abilitata per la federazione delle identità per impostazione predefinita. La federazione delle identità consente di gestire le identità centralmente a livello di account e assegnarle alle aree di lavoro. Questa pagina presuppone che l'area di lavoro abbia la federazione delle identità abilitata. Se si dispone di un'area di lavoro legacy senza federazione delle identità, vedere Aree di lavoro legacy senza federazione delle identità.

Federazione delle identità

Databricks ha iniziato ad abilitare automaticamente le nuove aree di lavoro per la federazione delle identità e unity Catalog il 9 novembre 2023. Le aree di lavoro abilitate per la federazione delle identità per impostazione predefinita non possono disabilitarla. Per altre informazioni, vedere Abilitazione automatica del catalogo Unity.

In un'area di lavoro federata di identità, quando si aggiunge un utente, un'entità servizio o un gruppo nelle impostazioni di amministrazione dell'area di lavoro, è possibile selezionare tra le identità esistenti nell'account. In un'area di lavoro federata non con identità non è possibile aggiungere utenti, entità servizio o gruppi dall'account.

Per verificare se l'area di lavoro ha la federazione delle identità abilitata, cercare Federazione delle identità: abilitata nella pagina dell'area di lavoro nella console dell'account. Per abilitare la federazione delle identità per un'area di lavoro precedente, un amministratore dell'account deve abilitare l'area di lavoro per il catalogo Unity assegnando un metastore del catalogo Unity. Vedere Abilitare un'area di lavoro per il catalogo Unity.

Sincronizzare le identità dal fornitore di identità

Databricks consiglia di sincronizzare le identità da Microsoft Entra ID ad Azure Databricks usando la gestione automatica delle identità. La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025.

Usando la gestione automatica delle identità, è possibile cercare direttamente gli utenti, le entità servizio e i gruppi di Microsoft Entra ID nelle impostazioni di amministrazione dell'area di lavoro e aggiungerli all'area di lavoro e all'account Azure Databricks. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Per istruzioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

Assegnare identità alle aree di lavoro

Per consentire a un utente, a un'entità servizio o a un gruppo di lavorare in un'area di lavoro di Azure Databricks, un amministratore dell'account o di un'area di lavoro le assegna all'area di lavoro. È possibile assegnare l'accesso all'area di lavoro a qualsiasi utente, entità servizio o gruppo esistente nell'account.

Gli amministratori dell'area di lavoro possono anche aggiungere un nuovo utente, un'entità servizio o un gruppo direttamente a un'area di lavoro. Questa azione aggiunge automaticamente l'identità all'account e la assegna a tale area di lavoro.

Per istruzioni dettagliate, consultare:

• Aggiungere utenti a un'area di lavoro
• Aggiungere entità servizio a un'area di lavoro
• Aggiungere gruppi a un'area di lavoro

Condividere i dashboard con gli utenti dell'account

Gli utenti possono condividere i dashboard pubblicati con altri utenti nell'account Azure Databricks, anche se tali utenti non sono membri dell'area di lavoro. Usando la gestione automatica delle identità, gli utenti possono condividere dashboard con qualsiasi utente in Microsoft Entra ID, che aggiunge l'utente all'account Azure Databricks al momento dell'accesso. Gli utenti nell'account Azure Databricks che non sono membri di alcuna area di lavoro sono equivalenti agli utenti di sola visualizzazione in altri strumenti. Possono visualizzare gli oggetti che sono stati condivisi con essi, ma non possono modificare gli oggetti. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo. Per altre informazioni, vedere Gestione di utenti e gruppi.

Authentication

Autenticazione unica (SSO)

L'accesso Single Sign-On (SSO) tramite login supportato da Microsoft Entra ID è disponibile in Azure Databricks per tutti i clienti per impostazione predefinita, sia per la console dell'account che per le aree di lavoro. Consultare Accesso Single Sign-On con Microsoft Entra ID.

Provisioning giusto in tempo

È possibile configurare il provisioning JIT (Just-In-Time) per creare automaticamente nuovi account utente da Microsoft Entra ID al primo accesso. Vedere Provisioning automatico degli utenti (JIT).

Controllo di accesso

Gli amministratori possono assegnare ruoli, diritti e autorizzazioni a utenti, entità servizio e gruppi per controllare l'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Per ulteriori informazioni, vedere Panoramica del controllo di accesso.

Aree di lavoro legacy senza federazione delle identità

Per le aree di lavoro non abilitate per la federazione delle identità, gli amministratori dell'area di lavoro gestiscono gli utenti dell'area di lavoro, le entità servizio e i gruppi interamente all'interno dell'ambito dell'area di lavoro. Gli utenti e le entità servizio aggiunti alle aree di lavoro federate non con identità vengono aggiunti automaticamente all'account. Se l'utente dell'area di lavoro condivide un nome utente (ovvero un indirizzo di posta elettronica) con un utente o un amministratore dell'account già esistente, tali utenti vengono uniti in una singola identità. I gruppi aggiunti alle aree di lavoro federate non con identità sono gruppi legacy locali dell'area di lavoro che non vengono aggiunti all'account.

Per abilitare la federazione delle identità per un'area di lavoro legacy, vedere Federazione delle identità.

Risorse aggiuntive

• Procedure consigliate per la gestione delle identità - Indicazioni sulla configurazione dell'identità in Azure Databricks
• Utenti - Gestire le identità utente
• Principali di servizio - Gestire le identità dei principali di servizio
• Gruppi - Gestire le identità dei gruppi
• Controllo di accesso - Gestire autorizzazioni e accesso
• Provisioning SCIM - Sincronizzare le identità dal provider di identità
• Gruppi locali dell'area di lavoro - Gestire i gruppi locali dell'area di lavoro ereditati