Principali del servizio

Questa pagina fornisce una panoramica dei principali del servizio in Azure Databricks. Per informazioni su come gestire le entità servizio, vedere Gestire le entità servizio.

Che cos'è un principale del servizio?

Un principale del servizio è un'identità specializzata in Azure Databricks progettata per l'automazione e l'accesso programmatico. Le entità servizio offrono agli strumenti e agli script automatizzati l'accesso solo api alle risorse di Azure Databricks, offrendo maggiore sicurezza rispetto all'uso degli account utente.

È possibile concedere e limitare l'accesso di un principale del servizio alle risorse nello stesso modo in cui è possibile farlo per un utente di Azure Databricks. Ad esempio, puoi:

• Concedere a un principale del servizio il ruolo di amministratore dell'account o di amministratore dell'area di lavoro
• Concedere a un principale del servizio l'accesso ai dati usando Unity Catalog.
• Aggiungere un principale di servizio come membro a un gruppo.

È possibile concedere agli utenti, alle entità servizio e ai gruppi di Azure Databricks le autorizzazioni per l'uso di un'entità servizio. In questo modo gli utenti possono eseguire attività come principale del servizio, anziché come identità, il che impedisce il fallimento delle attività se un utente lascia l'organizzazione o un gruppo viene modificato.

Vantaggi dell'uso delle entità servizio:

• Sicurezza e stabilità: Automatizzare processi e flussi di lavoro senza basarsi sulle credenziali utente individuali per ridurre i rischi associati alle modifiche o alle uscite dell'account utente.
• Autorizzazioni flessibili: Consentire a utenti, gruppi o altre entità servizio di delegare le autorizzazioni a un'entità servizio, abilitando l'esecuzione del processo per loro conto.
• identitàAPI-Only: A differenza dei normali utenti di Databricks, le entità servizio sono progettate esclusivamente per l'accesso alle API e non possono accedere all'interfaccia utente di Databricks.

Principali di servizio di Databricks e Microsoft Entra ID.

Le entità principali del servizio possono essere gestite da Azure Databricks o gestite da Microsoft Entra ID.

Le entità servizio gestite di Azure Databricks possono eseguire l'autenticazione in Azure Databricks usando l'autenticazione OAuth di Databricks e i token di accesso personale. Le entità servizio gestite di Microsoft Entra ID possono eseguire l'autenticazione in Azure Databricks usando l'autenticazione OAuth di Databricks e i token Microsoft Entra ID. Per altre informazioni sull'autenticazione per le entità servizio, vedere Gestire i token per un'entità servizio.

Le entità servizio gestite di Azure Databricks vengono gestite direttamente in Azure Databricks. I principali di servizio gestiti di Microsoft Entra ID vengono gestiti in Microsoft Entra ID, il che richiede autorizzazioni aggiuntive. Databricks consiglia di usare le entità servizio gestite di Azure Databricks per l'automazione di Azure Databricks e di usare le entità servizio gestite con ID Microsoft Entra nei casi in cui è necessario eseguire l'autenticazione con Azure Databricks e altre risorse di Azure contemporaneamente.

Per creare un'entità servizio gestita di Azure Databricks, ignorare questa sezione e continuare a leggere con Chi può gestire e usare le entità servizio?.

Per usare le entità servizio gestite da Microsoft Entra ID in Azure Databricks, un utente amministratore deve creare un'applicazione Microsoft Entra ID in Azure. Per creare un principal del servizio gestito di Microsoft Entra ID, vedere Autenticazione del principal del servizio MS Entra.

Chi può gestire e usare i principali del servizio?

Per gestire le entità servizio in Azure Databricks, è necessario disporre di uno dei seguenti ruoli: amministratore dell'account, amministratore dell'area di lavoro oppure manager o utente in un'entità servizio.

• Gli amministratori account possono aggiungere entità servizio all'account e assegnarle ruoli di amministratore. Possono anche assegnare i principali di servizio alle aree di lavoro, purché queste usino l'identità federativa.
• Gli amministratori dell'area di lavoro possono aggiungere entità servizio a un'area di lavoro di Azure Databricks, assegnarle il ruolo di amministratore dell'area di lavoro e gestire l'accesso a oggetti e funzionalità nell'area di lavoro, ad esempio la possibilità di creare cluster o accedere a ambienti basati su persona specificati.
• I responsabili delle entità servizio possono gestire i ruoli in un'entità servizio. Il creatore di un'entità servizio diventa il responsabile dell'entità servizio. Gli amministratori degli account sono gestori dei service principal in tutti i service principal in un account.
• Gli utenti del principale del servizio possono eseguire processi come principale del servizio. L'attività si esegue utilizzando l'identità del principale del servizio, anziché l'identità del proprietario dell'attività. Per ulteriori informazioni, vedere Gestione di identità, autorizzazioni e privilegi per i processi Lakeflow.

Gli utenti con il ruolo Gestione Entità Servizio non ereditano il ruolo Utente dell'Entità Servizio. Se si vuole usare l'entità servizio per eseguire i processi, è necessario assegnare in modo esplicito il ruolo utente dell'entità servizio, anche dopo aver creato l'entità servizio.

Per informazioni su come concedere i ruoli di gestore dell'entità servizio e utente, vedere Ruoli per la gestione delle entità servizio.

Sincronizza gli oggetti servizio con il tuo account Azure Databricks dal tenant di Microsoft Entra ID.

È possibile sincronizzare automaticamente i principali del servizio di Microsoft Entra ID dal tenant di Microsoft Entra ID all'account Azure Databricks utilizzando la gestione automatica delle identità (versione di anteprima pubblica). Databricks usa l'ID Microsoft Entra come origine, quindi tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Per istruzioni, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

Il provisioning SCIM non supporta la sincronizzazione delle entità servizio.