Kullanıcıları, hizmet sorumlularını ve grupları yönetme

  • Makale

Bu makalede Azure Databricks kimlik yönetimi modeli tanıtılmaktadır ve Azure Databricks'te kullanıcı, grup ve hizmet sorumlularının nasıl yönetileceğini gösteren bir genel bakış sunulmaktadır.

Azure Databricks'te kimliği en iyi şekilde yapılandırma konusunda fikirli bir bakış açısı için bkz . Kimlik en iyi yöntemleri.

Kullanıcılara, hizmet sorumlularına ve gruplara erişimi yönetmek için bkz . Kimlik doğrulaması ve erişim denetimi.

Azure Databricks kimlikleri

Üç tür Azure Databricks kimliği vardır:

  • Kullanıcılar: Azure Databricks tarafından tanınan ve e-posta adresleriyle temsil edilen kullanıcı kimlikleri.
  • Hizmet sorumluları: İşlerle, otomatik araçlarla ve betikler, uygulamalar ve CI/CD platformları gibi sistemlerle kullanılacak kimlikler.
  • Gruplar: Yöneticiler tarafından çalışma alanlarına, verilere ve diğer güvenli hale getirilebilir nesnelere grup erişimini yönetmek için kullanılan kimlik koleksiyonu. Tüm Databricks kimlikleri grupların üyesi olarak atanabilir. Azure Databricks'te iki tür grup vardır: hesap grupları ve çalışma alanı-yerel gruplar. Daha fazla bilgi için bkz . Hesap grupları ve çalışma alanı-yerel gruplar arasındaki fark.

Bir hesapta en fazla 10.000 birleşik kullanıcı ile hizmet sorumlusu ve 5.000 grup olabilir. Her çalışma alanında en fazla 10.000 birleşik kullanıcı ile hizmet sorumlusu ve 5.000 grup olabilir.

Ayrıntılı yönergeler için bkz:

Azure Databricks'te kimlikleri kimler yönetebilir?

Azure Databricks'te kimlikleri yönetmek için aşağıdakilerden birine sahip olmanız gerekir: hesap yöneticisi rolü, çalışma alanı yöneticisi rolü veya hizmet sorumlusu veya grubundaki yönetici rolü.

  • Hesap yöneticileri hesaba kullanıcı, hizmet sorumlusu ve grup ekleyebilir ve onlara yönetici rolleri atayabilir. Hesap yöneticileri hesaptaki kullanıcıları, hizmet sorumlularını ve grupları güncelleştirebilir ve silebilir. Bu çalışma alanları kimlik federasyonu kullandığı sürece kullanıcılara çalışma alanlarına erişim verebilir.

    İlk hesap yöneticinizi oluşturmak için bkz . İlk hesap yöneticinizi oluşturma

  • Çalışma alanı yöneticileri Azure Databricks hesabına kullanıcı ve hizmet sorumluları ekleyebilir. Ayrıca, çalışma alanları kimlik federasyonu için etkinleştirildiyse Azure Databricks hesabına gruplar ekleyebilirler. Çalışma alanı yöneticileri kullanıcılara, hizmet sorumlularına ve gruplara çalışma alanlarına erişim verebilir. Hesaptan kullanıcı ve hizmet sorumlularını silemezler.

    Çalışma alanı yöneticileri, çalışma alanı yerel gruplarını da yönetebilir. Daha fazla bilgi için bkz . Çalışma alanı yerel gruplarını yönetme (eski).

  • Grup yöneticileri grup üyeliğini yönetebilir ve grubu silebilir. Diğer kullanıcılara grup yöneticisi rolünü de atayabilirler. Hesap yöneticileri, hesaptaki tüm gruplarda grup yöneticisi rolüne sahiptir. Çalışma alanı yöneticileri, oluşturdukları hesap gruplarında grup yöneticisi rolüne sahiptir. Bkz. Hesap gruplarını kimler yönetebilir?.

  • Hizmet sorumlusu yöneticileri bir hizmet sorumlusundaki rolleri yönetebilir. Hesap yöneticileri, hesaptaki tüm hizmet sorumlularında hizmet sorumlusu yöneticisi rolüne sahiptir. Çalışma alanı yöneticileri, oluşturdukları hizmet sorumlularında hizmet sorumlusu yöneticisi rolüne sahiptir. Daha fazla bilgi için bkz . Hizmet sorumlularını yönetme rolleri.

Yöneticiler hesaba kullanıcıları nasıl atar?

Databricks, tüm kullanıcıları ve grupları Microsoft Entra Id'den (eski adıYla Azure Active Directory) Azure Databricks hesabınızla otomatik olarak eşitlemek için SCIM sağlamanın kullanılmasını önerir. Azure Databricks hesabındaki kullanıcıların çalışma alanına, verilere veya işlem kaynaklarına varsayılan erişimi yoktur. Hesap yöneticileri ve çalışma alanı yöneticileri, çalışma alanlarına hesap kullanıcıları atayabilir. Çalışma alanı yöneticileri ayrıca doğrudan çalışma alanına yeni bir kullanıcı ekleyebilir ve bu kullanıcı otomatik olarak hesaba eklenir ve bu kullanıcı bu çalışma alanına atanır.

Kullanıcılar, hesapta pano paylaşımını kullanarak yayımlanan panoları, çalışma alanlarının üyesi olmasalar bile Databricks hesabındaki diğer kullanıcılarla paylaşabilir. Daha fazla bilgi için bkz . Paylaşım hesabı nedir?.

Hesaba kullanıcı ekleme hakkında ayrıntılı yönergeler için bkz:

Yöneticiler çalışma alanlarına kullanıcıları nasıl atar?

Bir kullanıcı, hizmet sorumlusu veya grubun Azure Databricks çalışma alanında çalışmasını sağlamak için hesap yöneticisinin veya çalışma alanı yöneticisinin bunları bir çalışma alanına ataması gerekir. Çalışma alanı kimlik federasyonu için etkinleştirildiği sürece hesapta bulunan kullanıcılara, hizmet sorumlularına ve gruplara çalışma alanı erişimi atayabilirsiniz.

Çalışma alanı yöneticileri doğrudan çalışma alanına yeni bir kullanıcı, hizmet sorumlusu veya hesap grubu da ekleyebilir. Bu eylem seçilen kullanıcıyı, hizmet sorumlusunu veya hesap grubunu hesaba otomatik olarak ekler ve bunları söz konusu çalışma alanına atar.

Hesap düzeyi kimlik diyagramı

Not

Çalışma alanı yöneticileri, Çalışma Alanı Grupları API'sini kullanarak çalışma alanlarında eski çalışma alanı yerel grupları da oluşturabilir. Çalışma alanı yerel grupları hesaba otomatik olarak eklenmez. Çalışma alanı yerel grupları ek çalışma alanlarına atanamaz veya Unity Kataloğu meta veri deposundaki verilere erişim verilemez.

Kimlik federasyonu için etkinleştirilmemiş çalışma alanları için çalışma alanı yöneticileri çalışma alanı kullanıcılarını, hizmet sorumlularını ve gruplarını tamamen çalışma alanı kapsamında yönetir. Kimlik olmayan federasyon çalışma alanlarına eklenen kullanıcılar ve hizmet sorumluları otomatik olarak hesaba eklenir. Kimlik olmayan federasyon çalışma alanlarına eklenen gruplar, hesaba eklenmeyen eski çalışma alanı yerel gruplarıdır.

Ayrıntılı yönergeler için bkz:

Yöneticiler bir çalışma alanında kimlik federasyonu nasıl etkinleştirilir?

Hesabınız 9 Kasım 2023'den sonra oluşturulduysa, kimlik federasyonu tüm yeni çalışma alanlarında varsayılan olarak etkinleştirilir ve devre dışı bırakılamaz.

Bir çalışma alanında kimlik federasyonunu etkinleştirmek için, bir hesap yöneticisinin Unity Kataloğu meta veri deposu atayarak Unity Kataloğu için çalışma alanını etkinleştirmesi gerekir. Bkz . Unity Kataloğu için çalışma alanını etkinleştirme.

Atama tamamlandığında, kimlik federasyonu hesap konsolundaki çalışma alanının Yapılandırma sekmesinde Etkin olarak işaretlenir.

Çalışma alanı yöneticileri, çalışma alanı yönetici ayarları sayfasından bir çalışma alanının kimlik federasyonunun etkinleştirilip etkinleştirilmediğini anlayabilir. Kimlik federasyon çalışma alanında, çalışma alanı yöneticisi ayarlarında bir kullanıcı, hizmet sorumlusu veya grup eklemeyi seçtiğinizde, çalışma alanına eklemek üzere hesabınızdan bir kullanıcı, hizmet sorumlusu veya grup seçme seçeneğiniz vardır.

Kullanıcı kimliği federasyonu ekleme

Kimliği olmayan bir federasyon çalışma alanında, hesabınızdan kullanıcı, hizmet sorumlusu veya grup ekleme seçeneğiniz yoktur.

Yönetici rolleri atama

Hesap yöneticileri diğer kullanıcıları hesap yöneticisi olarak atayabilir. Ayrıca, meta veri deposu oluşturmanın bir gereği olarak Unity Kataloğu meta veri deposu yöneticileri olabilir ve meta veri deposu yönetici rolünü başka bir kullanıcı veya gruba aktarabilir.

Hem hesap yöneticileri hem de çalışma alanı yöneticileri diğer kullanıcıları çalışma alanı yöneticisi olarak atayabilir. Çalışma alanı yöneticisi rolü, Azure Databricks'te varsayılan bir grup olan ve silinemeyen çalışma alanı yöneticileri grubu üyeliğine göre belirlenir.

Hesap yöneticileri diğer kullanıcıları da Market yöneticisi olarak atayabilir.

Bkz.

Çoklu oturum açmayı ayarlama (SSO)

Microsoft Entra ID (eski adıYla Azure Active Directory) biçiminde çoklu oturum açma (SSO) destekli oturum açma tüm müşteriler için Azure Databricks'te kullanılabilir. Hem hesap konsolu hem de çalışma alanları için Microsoft Entra Id çoklu oturum açma özelliğini kullanabilirsiniz.

Bkz. Çoklu oturum açma.