Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Databricks biedt gecentraliseerd identiteitsbeheer voor gebruikers, groepen en service-principals in uw account en werkruimten. Met identiteitsbeheer in Azure Databricks kunt u bepalen wie toegang heeft tot uw werkruimten, gegevens en rekenresources, met flexibele opties voor het synchroniseren van identiteiten van uw id-provider.
Zie Beste praktijken voor identiteiten voor een uitgesproken perspectief over het optimaal configureren van identiteiten in Azure Databricks.
Zie Verificatie- en toegangsbeheer voor gebruikers, service-principals en groepen om de toegang voor gebruikers, service-principals en groepen te beheren.
Azure Databricks-identiteiten
Databricks ondersteunt drie typen identiteiten voor verificatie en toegangsbeheer:
| Identiteitstype | Description |
|---|---|
| Users | Gebruikersidentiteiten die worden herkend door Azure Databricks en vertegenwoordigd door e-mailadressen. |
| Serviceprincipals | Identiteiten voor gebruik met taken, geautomatiseerde hulpprogramma's en systemen, zoals scripts, apps en CI/CD-platforms. |
| Groepen | Een verzameling identiteiten die door beheerders worden gebruikt om groepstoegang tot werkruimten, gegevens en andere beveiligbare objecten te beheren. Alle Databricks-identiteiten kunnen worden toegewezen als leden van groepen. |
Een Azure Databricks-account kan maximaal 10.000 gecombineerde gebruikers en service-principals hebben, samen met maximaal 5000 groepen. Elke werkruimte kan ook maximaal 10.000 gecombineerde gebruikers en service-principals hebben als leden, samen met maximaal 5000 groepen.
Wie kan identiteiten beheren in Azure Databricks?
Als u identiteiten in Azure Databricks wilt beheren, moet u een van de volgende rollen hebben:
| Rol | Capabilities |
|---|---|
| Accountbeheerders |
|
| Werkruimtebeheerders |
|
| Groepsbeheerders |
|
| Service-principalmanagers |
|
Zie Uw eerste accountbeheerder instellen voor instructies om uw eerste accountbeheerder tot stand te brengen.
Werkstromen voor identiteitsbeheer
Opmerking
De meeste werkruimten zijn standaard ingeschakeld voor identiteitsfederatie. Met identiteitsfederatie kunt u identiteiten centraal beheren op accountniveau en deze toewijzen aan werkruimten. Op deze pagina wordt ervan uitgegaan dat uw werkruimte identiteitsfederatie heeft ingeschakeld. Als u een verouderde werkruimte zonder identiteitsfederatie hebt, raadpleegt u Verouderde werkruimten zonder identiteitsfederatie.
Identiteitsfederatie
Op 9 november 2023 begon Databricks automatisch nieuwe werkruimtes mogelijk te maken voor identiteitsfederatie en Unity Catalog. Werkruimten die zijn ingeschakeld voor identiteitsfederatie, kunnen deze standaard niet uitschakelen. Zie Automatische activering van Unity Catalog voor meer informatie.
Wanneer u in een federatieve werkruimte voor identiteiten een gebruiker, service-principal of groep toevoegt in de beheerinstellingen van de werkruimte, kunt u kiezen uit identiteiten die in uw account aanwezig zijn. In een niet-identiteitsfedereerde werkruimte hebt u niet de mogelijkheid om gebruikers, service-principals of groepen toe te voegen vanuit uw account.
Als u wilt controleren of identiteitsfederatie is ingeschakeld voor uw werkruimte, zoekt u naar Identiteitsfederatie: Ingeschakeld op de werkruimtepagina in de accountconsole. Als u identiteitsfederatie voor een oudere werkruimte wilt inschakelen, moet een accountbeheerder de werkruimte voor Unity Catalog inschakelen door een Unity Catalog-metastore toe te wijzen. Zie Een werkruimte inschakelen voor Unity Catalog.
Identiteiten synchroniseren van uw id-provider
Databricks raadt aan identiteiten van Microsoft Entra ID te synchroniseren met Azure Databricks met behulp van automatisch identiteitsbeheer. Automatisch identiteitsbeheer is standaard ingeschakeld voor accounts die zijn gemaakt na 1 augustus 2025.
Met behulp van automatisch identiteitsbeheer kunt u rechtstreeks zoeken naar Gebruikers van Microsoft Entra ID, service-principals en groepen in werkruimtebeheerdersinstellingen en deze toevoegen aan uw werkruimte en aan het Azure Databricks-account. Databricks maakt gebruik van Microsoft Entra-id als bron van record, zodat wijzigingen in gebruikers of groepslidmaatschappen worden gerespecteerd in Azure Databricks. Zie Gebruikers en groepen automatisch synchroniseren vanuit Microsoft Entra ID voor gedetailleerde instructies.
Identiteiten toewijzen aan werkruimten
Als u wilt dat een gebruiker, service-principal of groep kan werken in een Azure Databricks-werkruimte, wijst een accountbeheerder of werkruimtebeheerder deze toe aan de werkruimte. U kunt werkruimtetoegang toewijzen aan elke gebruiker, service-principal of groep die in het account bestaat.
Werkruimtebeheerders kunnen ook rechtstreeks een nieuwe gebruiker, service-principal of groep toevoegen aan een werkruimte. Met deze actie wordt de identiteit automatisch aan het account toegevoegd en aan die werkruimte toegewezen.
Zie voor gedetailleerde instructies:
- Gebruikers toevoegen aan een werkruimte
- Service-principals toevoegen aan een werkruimte
- Groepen toevoegen aan een werkruimte
Dashboards delen met accountgebruikers
Gebruikers kunnen gepubliceerde dashboards delen met andere gebruikers in het Azure Databricks-account, zelfs als deze gebruikers geen lid zijn van hun werkruimte. Met behulp van automatisch identiteitsbeheer kunnen gebruikers dashboards delen met elke gebruiker in Microsoft Entra ID, waarmee de gebruiker wordt toegevoegd aan het Azure Databricks-account wanneer ze zich aanmelden. Gebruikers in het Azure Databricks-account die geen lid zijn van een werkruimte, zijn het equivalent van gebruikers met alleen-weergave in andere tools. Ze kunnen objecten bekijken die met hen zijn gedeeld, maar ze kunnen geen objecten wijzigen. Gebruikers in een Azure Databricks-account hebben geen standaardtoegang tot een werkruimte, gegevens of rekenresources. Zie Gebruikers- en groepsbeheer voor meer informatie.
Authenticatie
Eenmalige aanmelding (SSO)
Eenmalige aanmelding (SSO) in de vorm van door Microsoft Entra ID ondersteunde aanmelding is standaard beschikbaar in Azure Databricks voor alle klanten voor zowel de accountconsole als werkruimten. Zie Eenmalige aanmelding met behulp van Microsoft Entra ID.
Just-in-time-voorziening
U kunt Just-In-Time-inrichting (JIT) configureren om automatisch nieuwe gebruikersaccounts uit Microsoft Entra ID te maken bij de eerste inloggen. Zie Automatisch gebruikers inrichten (JIT).
Toegangsbeheer
Beheerders kunnen rollen, rechten en machtigingen toewijzen aan gebruikers, service-principals en groepen om de toegang tot werkruimten, gegevens en andere beveiligbare objecten te beheren. Zie Het overzicht van toegangsbeheer voor meer informatie.
Verouderde werkruimten zonder identiteitsfederatie
Voor werkruimten die niet zijn ingeschakeld voor identiteitsfederatie, beheren werkruimtebeheerders werkruimtegebruikers, service-principals en groepen volledig binnen het bereik van de werkruimte. Gebruikers en service-principals die zijn toegevoegd aan niet-identiteitsfedereerde werkruimten, worden automatisch toegevoegd aan het account. Als de werkruimtegebruiker een gebruikersnaam (een e-mailadres) deelt met een accountgebruiker of beheerder die al bestaat, worden deze gebruikers samengevoegd tot één identiteit. Groepen die zijn toegevoegd aan niet-identiteitsfedereerde werkruimten, zijn verouderde werkruimte-lokale groepen die niet aan het account worden toegevoegd.
Zie identiteitsfederatie om identiteitsfederatie voor een verouderde werkruimte in te schakelen.
Aanvullende bronnen
- Aanbevolen procedures voor identiteitsbeheer - Advies over het configureren van identiteiten in Azure Databricks
- Gebruikers - Gebruikersidentiteiten beheren
- Serviceprincipals - Serviceprincipal-identiteiten beheren
- Groepen - Groepsidentiteiten beheren
- Toegangsbeheer - Machtigingen en toegang beheren
- SCIM-voorziening - Identiteiten synchroniseren van uw identiteitsprovider
- Werkruimte-lokale groepen - Verouderde werkruimte-lokale groepen beheren