管理使用者、群組和服務主體

本文介紹 Azure Databricks 身分識別管理模型，並且提供如何在 Azure Databricks 中管理使用者、群組和服務主體的概觀。

為提供真知灼見，了解如何在 Azure Databricks 中妥善設定身分識別，請參閱身分識別最佳做法。

若要管理使用者、服務主體和群組的存取權，請參閱驗證和存取控制。

Azure Databricks 身分識別

Azure Databricks 身分識別有三種類型：

• 使用者：由 Azure Databricks 辨識並透過電子郵件地址表示的使用者身分識別。
• 服務主體：服務識別，用於作業、自動化工具和系統，例如指令碼、應用程式和 CI/CD 平台。
• 群組：管理員用來管理工作區、資料和其他安全性實體物件之群組存取的身分識別集合。 所有 Databricks 身分識別都可以指派為群組的成員。 Azure Databricks 中有兩種類型的群組：帳戶群組和工作區本機群組。 如需詳細資訊，請參閱帳號群組與工作區本機群組的區別。

您在一個帳戶中最多可以有 10,000 個合併的使用者和服務主體，以及 5,000 個群組。 每個工作區最多可以有 10,000 個合併的使用者和服務主體，以及 5,000 個群組。

如需詳細指示，請參閱：

• 管理使用者
• 管理服務主體
• 管理群組
• 從 Microsoft Entra ID 同步使用者和群組

有誰可以在 Azure Databricks 中管理身分識別？

若要在 Azure Databricks 中管理身分識別，您必須擁有下列其中一項：帳戶管理員角色、工作區管理員角色，或服務主體或群組上的管理員角色。

• 帳戶管理員可以將使用者、服務主體和群組新增至帳戶，並指派系統管理員角色。 帳戶管理員可以更新並刪除帳戶中的使用者和服務主體。 只要這些工作區使用識別身分同盟，他們可以讓使用者存取工作區。

  若要建立您的第一個帳戶管理員，請參閱建立您的第一個帳戶管理員

• 工作區管理員可以將使用者和服務主體新增至 Azure Databricks 帳戶。 如果已啟用識別身分同盟的工作區，也可以將群組新增至 Azure Databricks 帳戶。 工作區管理員可以授與使用者、服務主體和群組其工作區的存取權。 他們無法從帳戶中刪除使用者和服務主體。

  工作區管理員也可以管理工作區本機群組。 如需詳細資訊，請參閱管理工作區本機群組 (舊版)。

• 群組管理員可以管理群組成員資格並刪除群組。 他們也可以為其他使用者指派群組管理員角色。 帳戶管理員具有帳戶中所有群組的群組管理員角色。 工作區管理員在他們建立的帳戶群組上具有群組管理員角色。 請參閱誰可以管理帳戶群組？。

• 服務主體管理員可以在服務主體上管理角色。 帳戶管理員擁有帳戶中所有服務主體的服務主體管理員。 工作區系統管理員在其建立的服務主體上具有服務主體管理員角色。 如需詳細資訊，請參閱管理服務主體的角色。

管理員如何將使用者指派給帳戶？

Databricks 建議帳戶管理員使用 SCIM 佈建，自動將所有使用者和群組從 Microsoft Entra ID 同步至 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、資料或計算資源沒有任何預設存取權。 帳戶管理員和工作區管理員可以將帳戶使用者新增至工作區。 工作區管理員也可以將新使用者直接新增至工作區，這兩種方式都會自動將使用者新增至帳戶，並將其指派給該工作區。

即使這些使用者不是其工作區的成員，使用者也可以與 Azure Databricks 帳戶中的其他使用者共用已發佈的儀表板。 Azure Databricks 帳戶中並非任何工作區成員的使用者，相當於其他工具中的僅限檢視使用者。 他們可以檢視已與其共用的物件，但無法修改物件。 如需詳細資訊，請參閱儀表板共用的使用者和群組管理。

如需將使用者新增至帳戶的詳細指示，請參閱：

• 從 Microsoft Entra ID 同步使用者和群組
• 將使用者新增至您的帳戶
• 將服務主體新增至您的帳戶
• 將群組新增至您的帳戶

管理員如何將使用者指派給工作區？

若要讓使用者、服務主體或群組在 Azure Databricks 工作區中工作，帳戶管理員或工作區管理員必須將其指派給工作區。 只要已啟用識別身分同盟的工作區，您就可以將工作區存取權指派給存在於帳戶中的使用者、服務主體和群組。

工作區系統管理員也可以直接將新的使用者、服務主體或帳戶群組新增至工作區。 此動作會自動將所選的使用者、服務主體或帳戶群組新增至帳戶，並將其指派給該特定工作區。

注意

工作區管理員也可使用工作區群組 API 在工作區中建立舊版工作區本機群組。 工作區本機群組不會自動新增至帳戶。 工作區本機群組無法指派給其他工作區，也不能授與 Unity 目錄中繼存放區中的資料存取權。

對於未啟用識別身分同盟的工作區，工作區管理員會完全在工作區範圍內管理其工作區使用者、服務主體和群組。 新增至非識別身分同盟工作區的使用者和服務主體會自動新增至帳戶。 新增至非識別身分同盟工作區的群組是未新增至帳戶的舊版工作區本機群組。

如果工作區使用者與已經存在的帳戶使用者或系統管理員共用使用者名稱（電子郵件位址），則會合併這些使用者。

如需詳細指示，請參閱：

• 將使用者新增至工作區
• 將服務主體新增至工作區
• 將群組新增至工作區

管理員如何在工作區上啟用識別身分同盟？

Databricks 於 2023 年 11 月 9 日自動為識別身分同盟和 Unity Catalog 啟用了新工作區，並逐步跨帳戶推出。 如果您的工作區預設為識別身分同盟啟用，則無法停用。 如需了解更多資訊，請參閱自動啟用 Unity 目錄。

若要在工作區中啟用識別身分同盟，帳戶管理員必須指派 Unity 目錄中繼存放區來啟用 Unity 目錄的工作區。 請參閱 啟用 Unity 目錄工作區。

指派完成時，識別身分同盟會在帳戶控制台的工作區 [組態] 索引標籤上標示為 [已啟用]。

工作區管理員可以從工作區管理員設定頁面判斷工作區是否已啟用識別身分同盟。 在識別身分同盟工作區中，當您選擇在工作區管理員設定中新增使用者、服務主體或群組時，可以選擇從您的帳戶選取使用者、服務主體或群組以新增至工作區。

在非識別身分同盟工作區中，您沒有從您的帳戶新增使用者、服務主體或群組的選項。

指派系統管理員角色

帳戶管理員可將其他使用者指派為帳戶管理員。 他們也可藉由建立中繼存放區而成為 Unity 目錄中繼存放區管理員，並且可以將中繼存放區系統管理員角色轉移給其他使用者或群組。

帳戶管理員和工作區管理員可以將其他使用者新增為工作區管理員。 工作區系統管理員角色是由工作區管理員群組中的成員資格所決定，這是 Azure Databricks 中的預設群組，因此無法刪除。

帳戶管理員也可將其他使用者指派為 Marketplace 管理員。

請參閱：

• 將帳戶管理員角色指派給使用者
• 使用工作區管理員設定頁面將工作區管理員角色指派給使用者
• 指派中繼存放區管理員
• 指派市集系統管理員角色

設定單一登入 (SSO)

所有客戶的 Azure Databricks 帳戶和工作區會以 Microsoft Entra ID 支援的登入形式提供單一登入 (SSO)。 您可以針對帳戶控制台和工作區使用 Microsoft Entra ID 單一登入。

請參閱單一登入。