Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Databricks erbjuder centraliserad identitetshantering för användare, grupper och tjänstprincipaler i dina konton och arbetsytor. Med identitetshantering i Azure Databricks kan du styra vem som kan komma åt dina arbetsytor, data och beräkningsresurser, med flexibla alternativ för att synkronisera identiteter från din identitetsprovider.
Ett åsiktsperspektiv om hur du bäst konfigurerar identiteter i Azure Databricks finns i Metodtips för identiteter.
Information om hur du hanterar åtkomst för användare, tjänstens huvudnamn och grupper finns i Autentisering och åtkomstkontroll.
Azure Databricks-identiteter
Databricks stöder tre typer av identiteter för autentisering och åtkomstkontroll:
| Identitetstyp | Description |
|---|---|
| Users | Användaridentiteter som identifieras av Azure Databricks och representeras av e-postadresser. |
| Tjänstens huvudnamn | Identiteter för användning med jobb, automatiserade verktyg och system som skript, appar och CI/CD-plattformar. |
| Grupper | En samling identiteter som används av administratörer för att hantera gruppåtkomst till arbetsytor, data och andra skyddsbara objekt. Alla Databricks-identiteter kan tilldelas som medlemmar i grupper. |
Ett Azure Databricks-konto kan ha högst 10 000 kombinerade användare och tjänstens huvudnamn, tillsammans med upp till 5 000 grupper. Varje arbetsyta kan också ha högst 10 000 kombinerade användare och tjänstens huvudnamn som medlemmar, tillsammans med upp till 5 000 grupper.
Vem kan hantera identiteter i Azure Databricks?
Om du vill hantera identiteter i Azure Databricks måste du ha någon av följande roller:
| Role | Capabilities |
|---|---|
| Kontoadministratörer |
|
| Arbetsyteadministratörer |
|
| Gruppchefer |
|
| Administratörer för Service Principal |
|
Information om hur du etablerar din första kontoadministratör finns i Upprätta din första kontoadministratör.
Arbetsflöden för identitetshantering
Anmärkning
De flesta arbetsytor är aktiverade för identitetsfederation som standard. Med identitetsfederation kan du hantera identiteter centralt på kontonivå och tilldela dem till arbetsytor. Den här sidan förutsätter att din arbetsyta har identitetsfederation aktiverad. Om du har en äldre arbetsyta utan identitetsfederation kan du läsa Äldre arbetsytor utan identitetsfederation.
Identitetsfederation
Databricks började aktivera nya arbetsytor för identitetsfederation och Unity Catalog automatiskt den 9 november 2023. Arbetsytor som är aktiverade för identitetsfederation kan som standard inte inaktivera den. Mer information finns i Automatisk aktivering av Unity Catalog.
När du lägger till en användare, tjänstens huvudnamn eller grupp i administratörsinställningarna för arbetsytan i en identitetsansluten arbetsyta kan du välja mellan identiteter som finns i ditt konto. I en icke-identitetsansluten arbetsyta har du inte möjlighet att lägga till användare, tjänstens huvudnamn eller grupper från ditt konto.
Om du vill kontrollera om din arbetsyta har identitetsfederation aktiverad letar du efter Identitetsfederation: Aktiverad på arbetsytans sida i kontokonsolen. Om du vill aktivera identitetsfederation för en äldre arbetsyta måste en kontoadministratör aktivera arbetsytan för Unity Catalog genom att tilldela ett Unity Catalog-metaarkiv. Se Aktivera en arbetsyta för Unity Catalog.
Synkronisera identiteter från din identitetsprovider
Databricks rekommenderar att du synkroniserar identiteter från Microsoft Entra-ID till Azure Databricks med hjälp av automatisk identitetshantering. Automatisk identitetshantering är aktiverad som standard för konton som skapats efter den 1 augusti 2025.
Med hjälp av automatisk identitetshantering kan du direkt söka efter Microsoft Entra-ID-användare, tjänstens huvudnamn och grupper i administratörsinställningarna för arbetsytan och lägga till dem på din arbetsyta och till Azure Databricks-kontot. Databricks använder Microsoft Entra–ID som källa för register, så alla ändringar av användare eller gruppmedlemskap respekteras i Azure Databricks. Detaljerade anvisningar finns i Synkronisera användare och grupper automatiskt från Microsoft Entra-ID.
Tilldela identiteter till arbetsytor
För att göra det möjligt för en användare, service principal, eller grupp att arbeta på en Azure Databricks-arbetsyta tilldelar en arbetsyte- eller kontoadministratör dem arbetsytan. Du kan tilldela åtkomst till arbetsytan till alla användare, tjänstens huvudnamn eller grupper som finns i kontot.
Arbetsyteadministratörer kan också lägga till en ny användare, tjänstens huvudnamn eller grupp direkt till en arbetsyta. Den här åtgärden lägger automatiskt till identitet till kontot och tilldelar det till den arbetsytan.
Detaljerade instruktioner finns i:
- Lägga till användare i en arbetsyta
- Lägga till tjänstens huvudnamn i en arbetsyta
- Lägga till grupper i en arbetsyta
Dela instrumentpaneler med kontoanvändare
Användare kan dela publicerade instrumentpaneler med andra användare i Azure Databricks-kontot, även om dessa användare inte är medlemmar i sin arbetsyta. Med hjälp av automatisk identitetshantering kan användarna dela instrumentpaneler med alla användare i Microsoft Entra-ID, vilket lägger till användaren i Azure Databricks-kontot vid inloggning. Användare i Azure Databricks-kontot som inte är medlemmar i någon arbetsyta motsvarar endast visningsanvändare i andra verktyg. De kan visa objekt som har delats med dem, men de kan inte ändra objekt. Användare i ett Azure Databricks-konto har ingen standardåtkomst till en arbetsyta, data eller beräkningsresurser. Mer information finns i Användar- och grupphantering.
Authentication
Enkel inloggning (SSO)
Enkel inloggning (SSO) i form av Microsoft Entra ID-backad inloggning är tillgänglig i Azure Databricks för alla kunder som standard för både kontokonsolen och arbetsytor. Se Enkel inloggning med Microsoft Entra-ID.
Just-in-time-tillhandahållande
Du kan konfigurera Just-in-time-etablering (JIT) för att automatiskt skapa nya användarkonton från Microsoft Entra ID vid första inloggningen. Se Etablera användare automatiskt (JIT).
Åtkomstkontroll
Administratörer kan tilldela roller, rättigheter och behörigheter till användare, tjänstens huvudnamn och grupper för att styra åtkomsten till arbetsytor, data och andra skyddsbara objekt. Mer information finns i Översikt över åtkomstkontroll.
Äldre arbetsområden utan identitetsfederation
För arbetsytor som inte är aktiverade för identitetsfederation hanterar arbetsyteadministratörer arbetsyteanvändare, tjänsthuvudnamn och grupper helt inom arbetsytans omfång. Användare och tjänstens huvudnamn som läggs till i externa arbetsytor som inte är identiteter läggs automatiskt till i kontot. Om arbetsytans användare delar ett användarnamn (dvs. en e-postadress) med en kontoanvändare eller administratör som redan finns, sammanfogas dessa användare till en enda identitet. Grupper som läggs till i externa arbetsytor som inte är identiteter är äldre arbetsytelokala grupper som inte läggs till i kontot.
Information om hur du aktiverar identitetsfederation för en äldre arbetsyta finns i Identitetsfederation.
Ytterligare resurser
- Metodtips för identitetshantering – Åsiktsbaserad vägledning om hur du konfigurerar identiteter i Azure Databricks
- Användare – Hantera användaridentiteter
- Tjänstens huvudnamn – Hantera tjänstens huvudnamnsidentiteter
- Grupper – Hantera gruppidentiteter
- Åtkomstkontroll – Hantera behörigheter och åtkomst
- SCIM-etablering – Synkronisera identiteter från din identitetsprovider
- Lokala arbetsytegrupper – Hantera äldre arbetsytelokala grupper