Управление пользователями, субъектами-службами и группами

Databricks обеспечивает централизованное управление удостоверениями для пользователей, групп и субъектов-служб в вашей учетной записи и рабочих областях. Управление удостоверениями в Azure Databricks позволяет управлять доступом к рабочим областям, данным и вычислительным ресурсам с гибкими параметрами синхронизации удостоверений от поставщика удостоверений.

Рекомендации по настройке удостоверений в Azure Databricks см . в статье "Рекомендации по настройке удостоверений".

Сведения об управлении доступом для пользователей, субъектов-служб и групп см. в статье "Проверка подлинности и управление доступом".

Удостоверения Azure Databricks

Databricks поддерживает три типа удостоверений для проверки подлинности и управления доступом:

Тип идентификации	Description
Пользователи	Удостоверения пользователей, распознаваемые Azure Databricks и представленные адресами электронной почты.
Представители службы	Идентификаторы для использования с рабочими заданиями, автоматизированными инструментами и системами, такими как сценарии, приложения и платформы CI/CD.
Группы	Коллекция учетных записей, используемых администраторами для управления доступом групп к рабочим областям, данным и другим защищаемым объектам. Все удостоверения Databricks можно назначать как члены групп.

Учетная запись Azure Databricks может содержать не более 10 000 объединенных пользователей и субъектов-служб, а также до 5 000 групп. Каждая рабочая область также может содержать не более 10 000 объединенных пользователей и субъектов-служб в качестве участников, а также до 5000 групп.

Кто может управлять удостоверениями в Azure Databricks?

Для управления удостоверениями в Azure Databricks необходимо иметь одну из следующих ролей:

Role	Capabilities
Администраторы учетных записей	Добавление, обновление и удаление пользователей, субъектов-служб и групп в учетной записи. Назначьте роли администратора и предоставьте пользователям доступ к рабочим областям. Автоматически имеет роль управляющего группами для всех групп и роль управляющего служебными учетными записями во всех служебных учетных записях в рамках учетной записи.
Администраторы рабочей области	Добавьте пользователей, субъектов-служб и группы в учетную запись Azure Databricks. Невозможно обновить или удалить пользователей или субъектов-служб в учетной записи. Предоставьте пользователям, служебным принципалам и группам доступ к их рабочим областям. Управление устаревшими группами рабочей области. Автоматически получают роль менеджера группы в создаваемых ими группах и роль менеджера служебных принципалов в создаваемых ими служебных принципалах.
Руководители групп	Управление членством в группах и удалением групп. Назначьте роль диспетчера групп другим пользователям.
Менеджеры сервисных субъектов	Добавление, обновление и удаление ролей в учетных записях служб.

Чтобы установить первого администратора учетной записи, см. статью "Установить первого администратора учетной записи".

Рабочие процессы управления удостоверениями

Замечание

Большинству рабочих пространств предоставлена возможность федерации удостоверений по умолчанию. Федерация удостоверений позволяет централизованно управлять удостоверениями на уровне учетной записи и назначать их рабочим пространствам. На этой странице предполагается, что в вашей рабочей области активирована федерация удостоверений. Если у вас есть устаревшая рабочая область без федерации удостоверений, см. Устаревшие рабочие области без федерации удостоверений.

Федерация идентификаций

Databricks начал автоматически включать новые рабочие области для федерации удостоверений и каталога Unity 9 ноября 2023 года. Рабочие области, включенные для федерации удостоверений по умолчанию, не могут отключить ее. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".

В федеративной рабочей области идентификаций при добавлении пользователя, сервисного принципала или группы в параметрах администратора рабочей области можно выбрать из идентификаций, существующих в вашей учетной записи. В федеративной рабочей области, отличной от удостоверений, у вас нет возможности добавлять пользователей, субъектов-служб или группы из учетной записи.

Чтобы проверить, включена ли в рабочей области федерация удостоверений, найдите Федерация удостоверений: Включена на странице рабочей области в консоли учетной записи. Чтобы включить идентификационную федерацию для устаревшей рабочей области, администратор учетной записи должен включить рабочую область для Unity Catalog, назначив метахранилище Unity Catalog. См. раздел Включение рабочей области для каталога Unity.

Синхронизация идентификаций с провайдером удостоверений

Databricks рекомендует синхронизировать удостоверения из идентификатора Microsoft Entra с Azure Databricks с помощью автоматического управления удостоверениями. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г.

С помощью автоматического управления удостоверениями можно напрямую искать пользователей, субъектов-служб и групп Microsoft Entra ID в параметрах администратора рабочей области и добавлять их в рабочую область и в учетную запись Azure Databricks. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Подробные инструкции см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.

Присвоение идентификаторов рабочим областям

Чтобы разрешить пользователю, учетной записи службы или группе работать в рабочей области Azure Databricks, администратор учетной записи или администратор рабочей области назначает их в рабочую область. Вы можете назначить доступ к рабочей области любому пользователю, служебному принципалу или группе, которая есть в учетной записи.

Администраторы рабочей области также могут добавлять нового пользователя, субъекта-службы или группу непосредственно в рабочую область. Это действие автоматически добавляет идентификатор в учетную запись и связывает её с этой рабочей областью.

Подробные инструкции см. в следующих разделах:

• Добавление пользователей в рабочую область
• Добавление субъектов-служб в рабочую область
• Добавление групп в рабочую область

Предоставление общего доступа к панелям мониторинга пользователям учетной записи

Пользователи могут совместно использовать опубликованные панели мониторинга с другими пользователями в учетной записи Azure Databricks, даже если эти пользователи не являются членами своей рабочей области. С помощью автоматического управления удостоверениями пользователи могут совместно использовать панели мониторинга с любым пользователем в идентификаторе Microsoft Entra, который добавляет пользователя в учетную запись Azure Databricks при входе. Пользователи в учетной записи Azure Databricks, которые не являются членами любой рабочей области, эквивалентны пользователям только для просмотра в других средствах. Они могут просматривать объекты, к которым им предоставлен общий доступ, но они не могут изменять объекты. Пользователи в учетной записи Azure Databricks не имеют доступа по умолчанию к рабочей области, данным или вычислительным ресурсам. Дополнительные сведения см. в разделе "Управление пользователями и группами".

Authentication

Единый вход (SSO)

Единый вход (SSO) в форме входа с поддержкой идентификатора Microsoft Entra доступен в Azure Databricks по умолчанию для всех клиентов, как для консоли учетной записи, так и для рабочих областей. См . единый вход с помощью идентификатора Microsoft Entra.

Организация по принципу точно в срок

Вы можете настроить JIT-подготовку для автоматического создания учетных записей пользователей из идентификатора Microsoft Entra при первом входе. См. Автоматическая подготовка пользователей (JIT).

Управление доступом

Администраторы могут назначать роли, права и разрешения пользователям, субъектам-службам и группам для управления доступом к рабочим областям, данным и другим защищаемым объектам. Дополнительные сведения см. в статье Общие сведения о контроле доступа.

Устаревшие рабочие области без идентификационной федерации

Для рабочих пространств, которые не включены в федерацию удостоверений, администраторы рабочего пространства управляют пользователями, служебными принципалами и группами исключительно в пределах рабочего пространства. Пользователи и субъекты-службы, добавленные в федеративные рабочие области без удостоверений, автоматически добавляются в учетную запись. Если пользователь рабочего пространства разделяет имя пользователя (например, адрес электронной почты) с пользователем учетной записи или администратором, который уже существует, эти пользователи объединяются в единую учетную запись. Группы, добавленные в федеративные рабочие области без удостоверений, являются устаревшими локальными группами рабочей области, которые не добавляются в учетную запись.

Чтобы активировать федерацию удостоверений для устаревшего рабочего пространства, ознакомьтесь с разделом «Федерация удостоверений».

Дополнительные ресурсы

• Лучшие практики по управлению удостоверениями - Мнение по настройке удостоверений в Azure Databricks
• Пользователи — управление учетными записями
• Сервисные принципы — управление идентификацией сервисных принципалов
• Группы — управляйте идентификацией групп
• Управление доступом — управление разрешениями и доступом
• Предоставление SCIM — синхронизация идентификационных данных от поставщика
• Группы, локальные для рабочей области — управление устоявшимися группами рабочей области