この記事では、Azure Databricks の ID 管理モデルを紹介し、Azure Databricks でユーザー、グループ、サービス プリンシパルを管理する方法について概説します。
Azure Databricks で ID を最適に構成する方法については、ID のベスト プラクティスに関する記事を参照してください。
ユーザー、サービス プリンシパル、およびグループのアクセスを管理するには、「認証とアクセス制御」を参照してください。
Azure Databricks の ID
以下の 3 種類の Azure Databricks ID があります。
ユーザー: Azure Databricks で認識され、メール アドレスで表されるユーザー ID。
サービス プリンシパル: ジョブ、自動化ツール、システム (スクリプト、アプリ、CI/CD プラットフォームなど) での使用を目的に作成された ID。
グループ: ワークスペースやデータなどのセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。
1 つの Azure Databricks アカウントには、ユーザーとサービス プリンシパルの合計で最大 10,000 個と、最大 5,000 個のグループ含めることができます。 各ワークスペースには、ユーザーと、メンバーとしてのサービス プリンシパルの合計で最大 10,000 個と、最大 5,000 個のグループ含めることができます。
詳細については、以下を参照してください。
Azure Databricks で ID を管理できるロール
Azure Databricks で ID を管理するには、次のいずれかのロールが必要です。
アカウント管理者 は、アカウント内のユーザー、サービス プリンシパル、およびグループを追加、更新、削除できます。 管理者ロールを割り当て、ユーザーにワークスペースへのアクセス権を付与できます(これらのワークスペースで ID フェデレーションが使用されている場合)。
最初のアカウント管理者を設置するには、最初のアカウント管理者の設置に関するページを参照してください
ワークスペース管理者は、Azure Databricks アカウントにユーザーとサービス プリンシパルを追加できます。 ワークスペースで ID フェデレーションが有効になっている場合は、アカウントにグループを追加することもできます。 ワークスペース管理者は、ユーザー、サービス プリンシパル、およびグループにワークスペースへのアクセス権を付与できますが、アカウントからユーザーまたはサービス プリンシパルを削除することはできません。
ワークスペース管理者は、従来のワークスペースローカル グループを管理することもできます。 詳細については、ワークスペースローカル グループの管理 (レガシ) をご覧ください。
グループ マネージャーは、グループ メンバーシップ を管理したり、グループを削除したりできます。 また、グループ マネージャー ロールを他のユーザーに割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対するグループ マネージャー ロールを持っています。 ワークスペース管理者は、自分が作成するアカウント グループに対するグループ マネージャー ロールを持っています。 「 グループを管理できるユーザー」を参照してください。
サービス プリンシパル マネージャーは、サービス プリンシパル上のロールを管理できます。 アカウント管理者には、アカウント内のすべてのサービス プリンシパルに対するサービス プリンシパル マネージャー ロールがあります。 ワークスペース管理者には、作成するサービス プリンシパルに対するサービス プリンシパル マネージャー ロールがあります。 詳細については、サービス プリンシパルの管理に関するページをご覧ください。
ID フェデレーションを有効にする
ほとんどのワークスペースでは、既定で ID フェデレーションが有効になっています。 Databricks は、2023 年 11 月 9 日、アカウント全体で順次ロールアウトする ID フェデレーションと Unity Catalog の新しいワークスペースの自動有効化を開始しました。 既定で ID フェデレーションのワークスペースが有効になっている場合、ワークスペースは無効にできません。 詳細については、「Unity Catalog の自動有効化」を参照してください。
ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog 用のワークスペースを有効にする必要があります。 割り当てが完了すると、アカウント コンソールのワークスペースの [構成] タブで ID フェデレーションが 有効 としてマークされます。 「Unity Catalog のワークスペースを有効にする」を参照してください。
ID フェデレーション ワークスペースには、ワークスペース管理者設定でユーザー、サービス プリンシパル、またはグループの追加を選ぶと、ワークスペースに追加するユーザー、サービス プリンシパル、またはグループをアカウントから選ぶオプションがあります。
非 ID フェデレーション ワークスペースでは、アカウントからユーザー、サービス プリンシパル、またはグループを追加するオプションはありません。
Azure Databricks にユーザーを割り当てる
Databricks では、自動 ID 管理 (パブリック プレビュー) を使用して、Microsoft Entra ID から Azure Databricks に ID を同期することをお勧めします。
自動 ID 管理を使用すると、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループの ID フェデレーション ワークスペースを直接検索し、ワークスペースと Azure Databricks アカウントに追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 詳細な手順については、「Microsoft Entra IDからユーザーとグループを自動的に同期する」を参照してください。
また、Just-In-Time (JIT) プロビジョニングを構成して、最初のログイン時に Microsoft Entra IDr から新しいユーザー アカウントを自動的に作成することもできます。 「 ユーザーの自動プロビジョニング (JIT)」を参照してください。
ワークスペースにユーザーを割り当てる
ユーザー、サービス プリンシパル、またはグループが Azure Databricks ワークスペースで動作できるようにするには、アカウント管理者またはワークスペース管理者がそれらをワークスペースに割り当てる必要があります。 ワークスペースが ID フェデレーションに対して有効になっている限り、アカウントに存在するユーザー、サービス プリンシパル、およびグループにワークスペース アクセスを割り当てることができます。
ワークスペース管理者は、新しいユーザー、サービス プリンシパル、またはグループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービス プリンシパル、またはグループがアカウントに自動的に追加され、その特定のワークスペースに割り当てられます。
ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者はワークスペースのユーザー、サービス プリンシパル、およびグループをワークスペースのスコープ内で完全に管理します。 非 ID フェデレーション ワークスペースに追加されたユーザーとサービス プリンシパルは、アカウントに自動的に追加されます。 ワークスペース ユーザーのユーザー名 (メール アドレス) が、既に存在するアカウント ユーザーまたは管理者と同じ場合、それらのユーザーはマージされます。 非 ID フェデレーション ワークスペースに追加されるグループはレガシ ワークスペース ローカル グループであり、アカウントには追加されません。
詳しい手順については、以下を参照してください。
アカウント ユーザーとダッシュボードを共有する
ユーザーは、発行済みのダッシュボードを Azure Databricks アカウントの他のユーザーと共有できます。ユーザーがワークスペースのメンバーでない場合でも可能です。 ユーザーは、自動 ID 管理を使用して、Microsoft Entra ID 内の任意のユーザーとダッシュボードを共有できます。このユーザーは、ログイン時に Azure Databricks アカウントに追加されます。 ワークスペースのメンバーではない Azure Databricks アカウントのユーザーは、他のツールの閲覧限定ユーザーと同等です。 自分と共有されているオブジェクトは閲覧できますが、オブジェクトを変更することはできません。 Azure Databricks アカウントのユーザーは、ワークスペース、データ、またはコンピューティング リソースへの既定のアクセス権を持っていません。 詳細については、「 ユーザーとグループの管理」を参照してください。
ロール、権限、アクセス許可の割り当て
管理者は、ユーザー、サービス プリンシパル、およびグループにロール、権利、アクセス許可を割り当てることができます。 詳しくは、「アクセス制御の概要」をご覧ください。
シングル サインオン (SSO)
Microsoft Entra ID に基づくログインの形式のシングル サインオン (SSO) は、アカウント コンソールとワークスペースの両方について、既定ですべての顧客に対して Azure Databricks で使用できます。
「 Microsoft Entra ID を使用したSingle サインオンを参照してください。