Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med automatisk identitetshantering kan du sömlöst lägga till användare, tjänstens huvudnamn och grupper från Microsoft Entra ID till Azure Databricks. När automatisk identitetshantering är aktiverat kan du direkt söka i identitetsanslutna arbetsytor efter användare, tjänstens huvudnamn och grupper och lägga till dem på din arbetsyta. Azure Databricks använder Microsoft Entra ID som huvudsaklig källa, så eventuella ändringar i gruppmedlemskap återspeglas i Azure Databricks.
Automatisk identitetshantering är aktiverad som standard för konton som skapats efter den 1 augusti 2025.
Användare kan också dela instrumentpaneler med valfri användare, valfritt tjänsthuvudnamn eller valfri grupp i din identitetsleverantör. När de delas läggs dessa användare, tjänstens huvudnamn och medlemmar i grupper automatiskt till i Azure Databricks-kontot vid inloggning. De läggs inte till som medlemmar på arbetsytan som instrumentpanelen finns i. Användare som inte har åtkomst till arbetsytan får tillgång till en kopia med enbart visningsåtkomst av en instrumentpanel som har publicerats med behörigheter för delade data. Mer information om delning av instrumentpaneler finns i Dela en instrumentpanel.
JiT-etablering (Just-in-time) aktiveras alltid när automatisk identitetshantering är aktiverad och du inte kan inaktivera den. Nya användare etableras automatiskt i Azure Databricks vid första inloggningen. Se Etablera användare automatiskt (JIT).
Automatisk identitetshantering stöds inte i federerade arbetsytor utan identiteter. Mer information om identitetsfederation finns i Identitetsfederation.
Användar- och gruppstatusar
När automatisk identitetshantering är aktiverat visas användare, tjänstens huvudnamn och grupper från Microsoft Entra-ID i kontokonsolen och sidan för administratörsinställningar för arbetsytan. Deras status återspeglar deras aktivitet och tillstånd mellan Microsoft Entra ID och Azure Databricks:
| Status | Meaning |
|---|---|
| Inaktiv: Ingen användning | För användare och tjänsthuvudkonton: identiteten i identitetsleverantören som ännu inte har loggat in på Azure Databricks. För grupper: gruppen har inte lagts till i en arbetsyta. |
| Aktivt | Identiteten är aktiv i Azure Databricks. |
| Aktiv: Har tagits bort från [IdP] | Tidigare aktiv i Azure Databricks och har tagits bort från identitetsprovidern. Azure Databricks inaktiverar automatiskt dessa användare under nästa identitetssynkronisering. Det går inte att logga in eller autentisera till API:er. |
| Inaktiverad | Identiteten är inaktiverad hos identitetsleverantören, eller så har Azure Databricks automatiskt inaktiverat identiteten efter att den tagits bort från identitetsleverantören. Det går inte att logga in eller autentisera till API:er. |
| Nekad | Identiteten har lagts till i spärrlistan för kontoåtkomst. Azure Databricks anger identiteten som inaktiv. Det går inte att logga in, använda personliga åtkomsttoken eller visas i delningsdialogrutor. Se Neka identiteter åtkomst till ditt konto. |
Statusetiketten Aktiv: Borttagen från [IdP] innehåller namnet på din identitetsprovider. Till exempel Aktiv: Borttagen från EntraID.
Tip
Som bästa säkerhet rekommenderar Databricks att du återkallar personliga åtkomsttoken för inaktiverade och aktiva: Borttagna från [IdP] -användare. När användare tas bort från identitetsprovidern inaktiverar Azure Databricks automatiskt sina konton men återkallar inte token automatiskt.
Identiteter som hanteras med automatisk identitetshantering visas som externa i Azure Databricks. Externa identiteter kan inte uppdateras med hjälp av Azure Databricks-användargränssnittet.
Dela och tilldela behörigheter
När automatisk identitetshantering är aktiverat kan du välja användare och tjänstens huvudnamn från Microsoft Entra ID när du delar eller tilldelar behörigheter i hela Azure Databricks.
För grupper skiljer sig delningsbeteendet efter tillgångstyp:
- Tillgångar på kontonivå: Grupper är tillgängliga när du delar eller tilldelar behörigheter till tillgångar på kontonivå, till exempel Databricks-appar, Unity Catalog-objekt, AI/BI-instrumentpaneler, Genie Spaces och arbetsytetilldelning.
- Tillgångar på arbetsytenivå: Om du vill dela tillgångar på arbetsytenivå (till exempel notebook-filer, jobb, SQL-lager, aviseringar och filer) med grupper måste arbetsyteadministratörerna först lägga till gruppen direkt på arbetsytan.
Automatisk identitetshantering jämfört med SCIM-etablering
När automatisk identitetshantering är aktiverat synkroniseras alla användare, grupper och gruppmedlemskap från din identitetsprovider till Azure Databricks så SCIM-etablering är inte nödvändigt. Om du fortsätter att köra SCIM-etablering parallellt fortsätter SCIM att hantera identiteter som har lagts till med SCIM-etablering. Den hanterar inte identiteter som inte har lagts till med SCIM-etablering.
SCIM-etablering kräver rollen Molnprogramadministratör och ett separat Microsoft Entra-ID-program.
Azure Databricks rekommenderar att du använder automatisk identitetshantering. I tabellen nedan jämförs funktioner för automatisk identitetshantering med funktionerna i SCIM-etablering.
| Features | Automatisk identitetshantering | SCIM-försörjning |
|---|---|---|
| Synkronisera användare | ✓ | ✓ |
| Synkronisera grupper | ✓ | ✓ (Endast direkta medlemmar) |
| Synkronisera kapslade grupper | ✓ | |
| Synkronisera tjänstprincipaler | ✓ | |
| Tillgänglig som standard i Azure Databricks | ✓ | |
| Fungerar med alla Microsoft Entra ID-utgåvor | ✓ | |
| Tillgänglig utan administratörsroller för Microsoft Entra-ID | ✓ | |
| Kräver identitetsfederation | ✓ |
Azure Databricks externa ID och Microsoft Entra ID:s objekt-ID
Azure Databricks använder Microsoft Entra-ID ObjectId :t som auktoritativ länk för synkronisering av identiteter och gruppmedlemskap, och uppdaterar automatiskt fältet så att det externalIdObjectId matchar i ett dagligt återkommande flöde. Databricks rekommenderar att du inte blandar tilldelningsmetoder. Att lägga till samma identitet via både automatisk identitetshantering och SCIM-etablering orsakar duplicerade poster och behörighetskonflikter. Använd automatisk identitetshantering som enskild sanningskälla, med gruppmedlemskap som speglar Microsoft Entra-ID.
Du kan sammanfoga de här dubblettidentiteterna genom att ange deras externa ID i Azure Databricks. Använd API:et Kontoanvändare, Kontotjänsthuvudnamn eller Kontogrupper för att uppdatera huvudkontot för att lägga till sitt Microsoft Entra-ID objectId i externalId fältet .
Eftersom externalId kan uppdateras över tid rekommenderar Azure Databricks starkt att du inte använder anpassade arbetsflöden som är beroende av fältet externalId.
Så här fungerar synkronisering av gruppmedlemskap
När automatisk identitetshantering är aktiverat uppdaterar Azure Databricks medlemskap i användargrupper från din identitetsprovider under aktiviteter som utlöser autentiserings- och auktoriseringskontroller, till exempel webbläsarinloggningar, tokenautentisering eller jobbkörningar. Detta säkerställer att gruppbaserade behörigheter i Azure Databricks förblir synkroniserade med ändringar som gjorts i din identitetsprovider.
När Azure Databricks uppdaterar gruppmedlemskapen hämtar det transitiva (kapslade) gruppmedlemskap från din identitetsleverantör. Det innebär att om en användare är medlem i grupp A och grupp A är medlem i grupp B, identifierar Azure Databricks användaren som medlem i båda grupperna. Azure Databricks hämtar endast medlemskap för grupper som har lagts till i Azure Databricks. Den synkroniserar eller återskapar inte den fullständiga hierarkin för överordnade grupper från din identitetsleverantör.
Azure Databricks uppdaterar gruppmedlemskap enligt olika scheman beroende på aktiviteten:
- Webbläsarinloggningar: Gruppmedlemskap synkroniseras om mer än 5 minuter har passerat sedan den senaste synkroniseringen
- Andra aktiviteter (till exempel tokenautentisering eller jobb som körs): Gruppmedlemskap synkroniseras om mer än 40 minuter har passerat sedan den senaste synkroniseringen
Kapslade grupper och tjänstens huvudnamn
När automatisk identitetshantering är aktiverat ärver medlemmar i kapslade grupper behörigheter från etablerade grupper. Behörigheter som tilldelats till en överordnad grupp gäller för alla användare och tjänstehuvudmän som tillhör gruppen, inklusive de som läggs till direkt i gruppen och de som är medlemmar genom inbäddade gruppmedlemskap. Kapslade grupper och tjänsthuvuden i en grupp kan dock inte automatiskt refereras i kontot, med undantag för dashboarddelning.
Synlighet för kapslad grupp
Kapslade grupper visas i Azure Databricks. Betrakta en undergrupp, Group-C, som är medlem i en överordnad grupp, Group-P. Om du lägger till Group-P i en arbetsyta har alla identiteter i båda Group-P och Group-C åtkomst till arbetsytan. I kontoadministratörs- och arbetsytans administratörsgränssnitt visas Group-C som medlem i Group-P på informationssidan för gruppmedlemmar. Endast den första kapslingsnivån visas på gruppinformationssidan.
Överväganden för kapslade grupper
- Åtkomst till arbetsyta: Kapslade grupper och tjänsthuvudmän behöver inte läggas till direkt i en arbetsyta för att få åtkomst. Om en överordnad grupp läggs till i en arbetsyta kan alla medlemmar i den gruppen komma åt arbetsytan.
- Tillgångar på kontonivå: Grupper är tillgängliga när du delar eller tilldelar behörigheter till tillgångar på kontonivå, till exempel Databricks-appar, Unity Catalog-objekt, AI/BI-instrumentpaneler, Genie Spaces och arbetsytetilldelning.
- Begränsningar för kontogrupper och tjänsthuvudman: Kapslade grupper och tjänsthuvudmän som inte är direkt tilldelade kontot räknas inte in i kontogruppens begränsningar. Endast grupper som uttryckligen tilldelas kontot påverkar gränserna.
I Microsoft Entra-ID har du till exempel följande gruppstruktur:
-
Marketing-All(överordnad grupp)-
Marketing-US(barn-grupp) -
Marketing-EU(barn-grupp) -
Marketing-APAC(barn-grupp)
-
Om en arbetsyteadministratör lägger Marketing-All till i sin arbetsyta:
- Beviljad åtkomst: Alla medlemmar
Marketing-Alli och alla dess underordnade grupper (Marketing-US,Marketing-EU,Marketing-APAC) har åtkomst till arbetsytan. Till exempel kan användare och tjänstens huvudprinciper iMarketing-APACautentisera sig och använda arbetsytan. - Kontotillhandahållande: Endast
Marketing-Alltilldelas till Azure Databricks-kontot och räknas mot kontogruppsgränser. De underordnade grupperna räknas inte mot gränser om du inte uttryckligen etablerar dem. - Tillgångar på kontonivå:
Marketing-Alloch alla dess underordnade grupper (Marketing-US,Marketing-EU,Marketing-APAC) är tillgängliga när du delar eller tilldelar behörigheter till tillgångar på kontonivå, till exempel instrumentpaneler och objekt i Unity Catalog.
Aktivera automatisk identitetshantering
Automatisk identitetshantering är aktiverad som standard för konton som skapats efter den 1 augusti 2025. Kontoadministratörer kan aktivera automatisk identitetshantering i kontokonsolen.
Logga in på kontokonsolen som kontoadministratör.
I sidofältet klickar du på Säkerhet.
På fliken Användaretablering växlar du Automatisk identitetshantering till Aktiverad.
Det tar fem till tio minuter innan ändringarna börjar gälla.
När ditt konto har aktiverats kan du lägga till och ta bort användare, tjänstens huvudnamn och grupper från din identitetsprovider genom att följa anvisningarna nedan:
- Lägga till användare i ditt konto
- Lägga till tjänstens huvudnamn i ditt konto
- Lägga till grupper i ditt konto
Information om hur du migrerar från SCIM-etablering finns i Migrera till automatisk identitetshantering.
Inaktivera automatisk identitetshantering
När automatisk identitetshantering är inaktiverad:
- Användare och tjänstens huvudkonton förblir: De behåller sin åtkomst men synkroniseras inte längre med din identitetsleverantör. Du kan ta bort eller inaktivera användare och tjänstens huvudnamn manuellt i kontokonsolen när du har inaktiverat automatisk identitetshantering.
- Grupper förlorar medlemskap: Grupper finns kvar i Azure Databricks, men alla gruppmedlemmar tas bort.
- Ingen synkronisering med identitetsprovidern: Ändringar i identitetsprovidern (till exempel användarborttagningar eller gruppuppdateringar) återspeglas inte i Azure Databricks.
- Inget behörighetsarv: Användare som hanteras av automatisk identitetshantering kan inte ärva behörigheter från överordnade grupper. Detta påverkar kapslade gruppbaserade behörighetsmodeller.
Om du planerar att inaktivera automatisk identitetshantering rekommenderar Databricks att du konfigurerar SCIM-etablering i förväg som en reserv. SCIM kan sedan ta över identitets- och gruppsynkronisering.
- Logga in på kontokonsolen som kontoadministratör.
- I sidofältet klickar du på Säkerhet.
- På fliken Användaretablering växlar du Automatisk identitetshantering till Inaktiverad.
Neka identiteter åtkomst till ditt konto
Listan över nekade identiteter för kontoåtkomst kontrollerar vilka identiteter från din identitetsleverantör som får åtkomst till ditt Azure Databricks-konto. Kontoadministratörer kan lägga till specifika användare, grupper eller tjänstens huvudnamn i neka-listan för att blockera deras åtkomst. Medlemskap i blockeringslistan ärvs transitivt – om du blockerar en grupp blockeras också alla medlemmar, inklusive de i nästlade grupper.
Anvisningar för konfiguration och en fullständig beskrivning av hur blockeringslistan fungerar finns i Neka identiteter åtkomst till ditt konto.
Granska automatiska identitetshanteringshändelser
När automatisk identitetshantering är aktiverat kan du använda granskningsloggar för att spåra identitetsåtgärder som utförs av den automatiska identitetshanteringsprocessen.
Spårningsloggtaggar för automatiska identitetshanteringshändelser
Automatisk identitetshantering använder befintliga granskningslogghändelser men lägger till taggar för att identifiera åtgärder som utförs automatiskt av identitetssynkroniseringsprocessen:
-
slutpunkt: "autoUserCreation" – anger att händelsen har genererats från den automatiska identitetshanteringsprocessen. Den här taggen visas i användaråtgärder (, , , ), gruppåtgärder (
add,activateUser, ),deactivateUseroch gruppmedlemskapsåtgärder (updateUser,createGroup).updateGroupremoveGroupaddPrincipalToGroupremovePrincipalFromGroup -
groupMembershipType: "IdentityProvider" – visas i gruppmedlemskapsåtgärder (
addPrincipalToGroup,removePrincipalFromGroup) för att indikera att gruppmedlemskapet har synkroniserats från din identitetsprovider.
Frågekör granskningshändelser för automatisk identitetshantering
Du kan ställa frågor mot tabellen system.access.audit för att spåra automatiska åtgärder för identitetshantering. Ett exempel:
Spåra användarinloggningar:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Spåra användare som skapats av automatisk identitetshantering:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Spåra gruppmedlemskap som synkroniserats från din identitetsprovider:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Mer information om tabellen finns i Tabellreferens för system.access.auditgranskningsloggsystem.
Kända beteenden och begränsningar
I det här avsnittet beskrivs beteenden som kanske inte är direkt uppenbara när du arbetar med automatisk identitetshantering.
Gruppskapande och arbetsytetilldelning
När automatisk identitetshantering synkroniserar grupper från din identitetsprovider skapas de automatiskt på kontonivå. Dessa händelser visas i granskningsloggar som åtgärder taggade createGroup med endpoint: "autoUserCreation". Gruppskapande på kontonivå skapas automatiskt, men tilldelning av arbetsytor är ett separat manuellt steg. Medlemmar i en synkroniserad grupp får åtkomst till arbetsytan först när en kontoadministratör tilldelar gruppen till en arbetsyta. Automatisk identitetshantering styr gruppmedlemskap och administratören styr åtkomsten till arbetsytan.
Synkronisering av gruppnamn är inte proaktivt
Om du byter namn på en grupp i din identitetsprovider uppdateras inte gruppnamnet omedelbart i Azure Databricks. Gruppnamnet synkroniseras endast när en kontoadministratör öppnar gruppens informationssida i kontokonsolen. Fram till dess behåller gruppen sitt tidigare namn i Azure Databricks.
Automatisk identitetshantering tar inte bort SCIM-synkroniserade medlemskap
Automatisk identitetshantering tar inte bort gruppmedlemskap som ursprungligen synkroniserades med SCIM-etablering. Detta är avsiktligt för att undvika att bryta befintliga jobb och behörigheter som är beroende av dessa medlemskap. Om du vill ta bort inaktuella SCIM-synkroniserade medlemskap använder du SCIM-API :et för att rensa dem manuellt.
Tillhandahållande av service principal vid första användningen
Att lägga till en grupp som innehåller tjänstens huvudnamn i Azure Databricks etablerar inte dessa tjänsthuvudnamn. Azure Databricks etablerar serviceprincipaler endast vid första användningen, såsom vid tokenautentisering eller jobbkörning. Tills en service principal autentiserar eller kör ett jobb visas det inte i Azure Databricks.
Entra-ID-kataloger mellan klientorganisationer stöds inte
Automatisk identitetshantering stöder inte Microsoft Entra-ID-kataloger för flera klientorganisationer. Om du behöver identitetshantering över klientgränser konfigurerar du SCIM-distribution med Microsoft Entra B2B-samarbete.
Kapslade grupper och tjänsthuvudmän via API:et och Terraform
Kapslade grupper och tjänstens huvudenheter som inte är direkt provisionerade till Azure Databricks-kontot syns i användargränssnittet för kontokonsolen men kan inte hämtas eller hanteras via Databricks API eller Terraform. För att hantera dem genom programmering, provisionerar du dem uttryckligen till kontot.
Behörigheter överförs vid migrering från SCIM till automatisk identitetshantering
När du migrerar från SCIM-etablering till automatisk identitetshantering förblir grupper samma interna Azure Databricks-objekt. Behörigheter för Unity-katalogen, arbetsytetilldelningar och andra inställningar överförs automatiskt. Du förlorar inga behörigheter under migreringen.