Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono model zarządzania tożsamościami usługi Azure Databricks i przedstawiono omówienie zarządzania użytkownikami, grupami i jednostkami usług w usłudze Azure Databricks.
Aby zapoznać się z opinią dotyczącą najlepszego konfigurowania tożsamości w usłudze Azure Databricks, zobacz Najlepsze rozwiązania dotyczące tożsamości.
Aby zarządzać dostępem dla użytkowników, jednostek usługi i grup, zobacz Uwierzytelnianie i kontrola dostępu.
Tożsamości usługi Azure Databricks
Istnieją trzy typy tożsamości usługi Azure Databricks:
Użytkownicy: tożsamości użytkowników rozpoznawane przez usługę Azure Databricks i reprezentowane przez adresy e-mail.
Jednostki usługi: tożsamości do użycia z zadaniami, zautomatyzowanymi narzędziami i systemami, takimi jak skrypty, aplikacje i platformy ciągłej integracji/ciągłego wdrażania.
Grupy: kolekcja tożsamości używanych przez administratorów do zarządzania dostępem grupy do obszarów roboczych, danych i innych zabezpieczanych obiektów. Wszystkie identyfikatory Databricks można przypisać do grup jako członków.
Konto usługi Azure Databricks może mieć maksymalnie 10 000 łącznych użytkowników i zleceniodawców usług wraz z maksymalnie 5000 grupami. Każdy obszar roboczy może również mieć maksymalnie 10 000 połączonych użytkowników i jednostek usługi jako członków wraz z maksymalnie 5000 grupami.
Aby uzyskać szczegółowe informacje, zobacz:
Kto może zarządzać tożsamościami w usłudze Azure Databricks?
Aby zarządzać tożsamościami w usłudze Azure Databricks, musisz mieć jedną z następujących ról:
Administratorzy kont mogą dodawać, aktualizować i usuwać użytkowników, jednostki usługi i grupy na koncie. Mogą przypisywać role administratora oraz zapewniać użytkownikom dostęp do obszarów roboczych, pod warunkiem że takie obszary robocze używają federacji tożsamości.
Aby ustanowić pierwszego administratora konta, zobacz Ustanawianie pierwszego administratora konta
Administratorzy obszaru roboczego mogą dodawać użytkowników i jednostki usługi do konta usługi Azure Databricks. Jeśli ich obszary robocze są włączone dla integracji tożsamości, mogą również dodawać grupy do konta użytkownika. Administratorzy obszaru roboczego mogą udzielać użytkownikom, jednostkom usługi i grupom dostępu do swoich obszarów roboczych, ale nie mogą usuwać użytkowników ani jednostek usługi z konta.
Administratorzy obszaru roboczego mogą również zarządzać starszymi grupami lokalnymi obszaru roboczego. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami lokalnymi obszaru roboczego (starsza wersja).
Menedżerowie grup mogą zarządzać członkostwem w grupach i usuwać grupy. Mogą również przypisać rolę menedżera grup do innych użytkowników. Administratorzy konta mają rolę menedżera grupy we wszystkich grupach na koncie. Administratorzy obszaru roboczego mają rolę menedżera grupy w grupach kont, które tworzą. Zobacz Kto może zarządzać grupami?.
Menedżerowie jednostki usługi mogą zarządzać rolami w jednostce usługi. Administratorzy konta mają rolę menedżera jednostki usługi dla wszystkich jednostek usługi na koncie. Administratorzy obszaru roboczego mają rolę menedżera jednostki usługi w jednostkach usługi, które tworzą. Aby uzyskać więcej informacji, zobacz Role do zarządzania jednostkami usługi.
Włącz federację tożsamości
Większość obszarów roboczych jest domyślnie skonfigurowana do federacji tożsamości. Usługa Databricks zaczęła automatycznie włączać nowe obszary robocze dla federacji tożsamości i Unity Catalog 9 listopada 2023 r., a wdrożenie przebiega stopniowo w różnych kontach. Jeśli obszar roboczy jest domyślnie włączony dla federacji tożsamości, nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie Unity Catalog.
Aby włączyć federację tożsamości w obszarze roboczym, administrator konta musi włączyć obszar roboczy dla Unity Catalog, przypisując metamagazyn Unity Catalog. Po zakończeniu zadania federacja tożsamości jest oznaczona jako Włączona w zakładce Konfiguracja obszaru roboczego w konsoli konta. Zobacz Włączenie obszaru roboczego dla Unity Catalog.
W federowanym obszarze roboczym tożsamości, po wybraniu opcji dodania użytkownika, jednostki usługi lub grupy w ustawieniach administratora obszaru roboczego, masz możliwość wybrania użytkownika, jednostki usługi lub grupy z konta, aby dodać do obszaru roboczego.
W obszarze roboczym federacyjnym bez tożsamości nie masz możliwości dodawania użytkowników, jednostek usługi ani grup z twojego konta.
Przypisywanie użytkowników do usługi Azure Databricks
Usługa Databricks zaleca synchronizowanie tożsamości z identyfikatora Entra firmy Microsoft z usługą Azure Databricks przy użyciu automatycznego zarządzania tożsamościami (publiczna wersja zapoznawcza).
Za pomocą automatycznego zarządzania tożsamościami możesz bezpośrednio wyszukiwać w obszarach roboczych federacyjnych tożsamości dla użytkowników identyfikatora Entra firmy Microsoft, jednostek usługi i grup oraz dodawać je do obszaru roboczego oraz do konta usługi Azure Databricks. Usługa Databricks używa Microsoft Entra ID jako podstawowego źródła informacji, więc wszelkie zmiany dotyczące użytkowników lub członkostwa w grupach zostają uwzględnione w usłudze Azure Databricks. Aby uzyskać szczegółowe instrukcje, zobacz Automatyczne synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.
Możesz również skonfigurować aprowizację typu just in time (JIT), aby automatycznie tworzyć nowe konta użytkowników z witryny Microsoft Entra IDr podczas pierwszego logowania. Zobacz Automatyczne prowizjonowanie użytkowników (JIT).
Przypisywanie użytkowników do obszarów roboczych
Aby umożliwić użytkownikowi, jednostce usługi lub grupie pracę w obszarze roboczym usługi Azure Databricks, administrator konta lub administrator obszaru roboczego musi przypisać je do obszaru roboczego. Dostęp do obszaru roboczego można przypisać użytkownikom, głównym elementom usługi i grupom, które istnieją w koncie użytkownika, jeśli obszar roboczy ma włączoną federację tożsamości.
Administratorzy obszaru roboczego mogą również dodawać nowego użytkownika, jednostkę usługi lub grupę bezpośrednio do obszaru roboczego. Ta akcja automatycznie dodaje wybranego użytkownika, jednostki usługi lub grupy do konta i przypisuje je do tego konkretnego obszaru roboczego.
W przypadku tych obszarów roboczych, które nie są włączone dla federacji tożsamości, administratorzy obszarów roboczych zarządzają użytkownikami obszaru roboczego, jednostkami usługi i grupami w całości w zakresie obszaru roboczego. Użytkownicy i jednostki usługi dodane do obszarów roboczych federacyjnych bez tożsamości są automatycznie dodawane do konta. Jeżeli użytkownik obszaru roboczego ma tę samą nazwę użytkownika (adres e-mail) co użytkownik lub administrator konta, który już istnieje, profile te zostaną połączone. Grupy dodane do obszarów roboczych z federacją bez identyfikacji to przestarzałe lokalne grupy obszaru roboczego, które nie są dodawane do konta.
Aby uzyskać szczegółowe instrukcje, zobacz:
- Dodawanie użytkowników do obszaru roboczego
- Dodawanie jednostek usługi do obszaru roboczego
- Dodawanie grup do obszaru roboczego
Udostępnianie pulpitów nawigacyjnych użytkownikom konta
Użytkownicy mogą udostępniać opublikowane pulpity nawigacyjne innym użytkownikom na koncie usługi Azure Databricks, nawet jeśli nie są członkami ich obszaru roboczego. Korzystając z automatycznego zarządzania tożsamościami, użytkownicy mogą udostępniać pulpity nawigacyjne dowolnym użytkownikom w usłudze Microsoft Entra ID, co dodaje użytkownika do konta usługi Azure Databricks podczas logowania. Użytkownicy w koncie Azure Databricks, którzy nie są członkami żadnego obszaru roboczego, są odpowiednikiem użytkowników z dostępem tylko do przeglądania w innych narzędziach. Mogą wyświetlać obiekty, które zostały im udostępnione, ale nie mogą modyfikować obiektów. Użytkownicy na koncie usługi Azure Databricks nie mają domyślnego dostępu do obszaru roboczego, danych ani zasobów obliczeniowych. Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami i grupami.
Przypisywanie ról, uprawnień i zezwoleń
Administratorzy mogą przypisywać role, przywileje i uprawnienia użytkownikom, obiektom serwisowym i grupom. Aby uzyskać więcej informacji, zobacz Omówienie kontroli dostępu.
Logowanie jednokrotne (SSO)
Logowanie jednokrotne (SSO) w postaci logowania opartego na identyfikatorze Entra firmy Microsoft jest dostępne w usłudze Azure Databricks dla wszystkich klientów domyślnie zarówno dla konsoli konta, jak i obszarów roboczych.
Zobacz Logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID.