Serviceprincpalen

Deze pagina bevat een overzicht van service-principals in Azure Databricks. Zie Service-principals beheren voor informatie over het beheren van service-principals.

Wat is een serviceprincipal?

Een service-principal is een gespecialiseerde identiteit in Azure Databricks die is ontworpen voor automatisering en programmatische toegang. Service-principals bieden geautomatiseerde hulpprogramma's en scripts api-toegang tot Azure Databricks-resources en bieden meer beveiliging dan het gebruik van gebruikersaccounts.

U kunt de toegang van een service-principal tot resources op dezelfde manier verlenen en beperken als een Azure Databricks-gebruiker. U kunt bijvoorbeeld het volgende doen:

• Een serviceprincipal de rol van accountbeheerder of werkruimtebeheerder toewijzen
• Een service-principal toegang verlenen tot gegevens met behulp van Unity Catalog.
• Voeg een service-principal toe als lid aan een groep.

U kunt Azure Databricks-gebruikers, service-principals en groepen machtigingen verlenen om een service-principal te gebruiken. Hierdoor kunnen gebruikers taken uitvoeren als de service-principal, in plaats van als hun identiteit, waardoor taken niet kunnen mislukken als een gebruiker uw organisatie verlaat of een groep wordt gewijzigd.

Voordelen van het gebruik van service principals:

• Beveiliging en stabiliteit: Automatiseer taken en werkstromen zonder afhankelijk te zijn van afzonderlijke gebruikersreferenties om de risico's te verminderen die zijn gekoppeld aan wijzigingen of vertrek van gebruikersaccounts.
• Flexibele machtigingen: Sta gebruikers, groepen of andere service-principals toe machtigingen te delegeren aan een service-principal, waardoor taakuitvoering namens hen mogelijk is.
• API-Only identiteit: In tegenstelling tot reguliere Databricks-gebruikers zijn service-principals alleen ontworpen voor API-toegang en kunnen ze zich niet aanmelden bij de Databricks-gebruikersinterface.

Service-principals voor Databricks en Microsoft Entra ID

Service-principals kunnen ofwel beheerde service-principals van Azure Databricks zijn, of beheerde service-principals van Microsoft Entra ID.

Door Azure Databricks beheerde service-principals kunnen worden geverifieerd bij Azure Databricks met behulp van Databricks OAuth-verificatie en persoonlijke toegangstokens. Beheerde service-principals van Microsoft Entra ID kunnen zich authentiseren bij Azure Databricks met behulp van Databricks OAuth-authenticatie en Microsoft Entra ID-tokens. Zie Tokens voor een service-principal beheren voor meer informatie over verificatie voor service-principals.

Beheerde Azure Databricks-service-principals worden rechtstreeks binnen Azure Databricks beheerd. Beheerde service-principals van Microsoft Entra ID worden beheerd in Microsoft Entra ID, waarvoor aanvullende machtigingen zijn vereist. Databricks raadt u aan om beheerde Azure Databricks-service-principals te gebruiken voor Azure Databricks-automatisering en dat u beheerde service-principals van Microsoft Entra ID gebruikt in gevallen waarin u zich tegelijkertijd moet verifiëren met Azure Databricks en andere Azure-resources.

Als u een door Azure Databricks beheerde service-principal wilt maken, slaat u deze sectie over en leest u verder met Wie kan service-principals beheren en gebruiken?.

Als u beheerde service-principals van Microsoft Entra ID in Azure Databricks wilt gebruiken, moet een beheerder een Microsoft Entra ID-toepassing maken in Azure. Als u een door Microsoft Entra ID beheerde service-principal wilt maken, raadpleegt u Microsoft Entra-service-principalverificatie.

Wie kan service-principals beheren en gebruiken?

Als u service-principals in Azure Databricks wilt beheren, moet u een van de volgende functies hebben: de rol accountbeheerder, de rol werkruimtebeheerder of de rol manager of gebruiker van een service-principal.

• Accountbeheerders kunnen service-principals toevoegen aan het account en ze beheerdersrollen toewijzen. Ze kunnen ook service principals toewijzen aan werkruimten, zolang deze werkruimten gebruikmaken van identity federation.
• Werkruimtebeheerders kunnen service-principals toevoegen aan een Azure Databricks-werkruimte, de rol werkruimtebeheerder toewijzen en de toegang tot objecten en functionaliteit in de werkruimte beheren, zoals de mogelijkheid om clusters te maken of toegang te krijgen tot opgegeven op persona gebaseerde omgevingen.
• Service-principalbeheerders kunnen rollen voor een service-principal beheren. De maker van een serviceprincipal wordt de serviceprincipalbeheerder. Accountbeheerders zijn service-principalmanagers voor alle service-principals in een account.
• Service-Principalgebruikers kunnen taken uitvoeren als een service-principal. De taak wordt uitgevoerd met behulp van de identiteit van de service-principal, in plaats van de identiteit van de eigenaar van de taak. Zie Identiteiten, machtigingen en bevoegdheden beheren voor Lakeflow-taken voor meer informatie.

Gebruikers met de rol Service Principal Manager nemen de gebruikersrol service-principal niet over. Als u de service-principal wilt gebruiken om taken uit te voeren, moet u uzelf expliciet de gebruikersrol service-principal toewijzen, zelfs nadat u de service-principal hebt gemaakt.

Zie Rollen voor het beheren van service-principals voor informatie over hoe u de rollen van beheerder en gebruiker aan een service-principal kunt toewijzen.

Service-principals synchroniseren met uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant

U kunt service-principals van Microsoft Entra ID automatisch synchroniseren vanuit uw Microsoft Entra ID-tenant naar uw Azure Databricks-account met behulp van automatisch identiteitsbeheer (openbare preview). Databricks gebruikt Microsoft Entra-id als bron, zodat wijzigingen in gebruikers of groepslidmaatschappen worden gerespecteerd in Azure Databricks. Zie Gebruikers en groepen automatisch synchroniseren vanuit Microsoft Entra-id voor instructies.

SCIM-inrichting biedt geen ondersteuning voor het synchroniseren van service-principals.