Databricks 提供使用者、群組及服務主體在帳號與工作空間中的集中身份管理。 Azure Databricks 中的身份管理讓您能控制誰可以存取您的工作空間、資料和運算資源,並提供靈活的選項來同步身份提供者的身份。
為提供真知灼見,了解如何在 Azure Databricks 中妥善設定身分識別,請參閱身分識別最佳做法。
若要管理使用者、服務主體和群組的存取權,請參閱驗證和存取控制。
Azure Databricks 身分識別
Databricks 支援三種身份用於認證與存取控制:
| 身分類型 | Description |
|---|---|
| 使用者 | Azure Databricks 識別的使用者身份,並以電子郵件地址表示。 |
| 服務主體 | 用於工作、自動化工具及系統(如腳本、應用程式和CI/CD平台)的身份識別碼。 |
| 群組 | 管理員用來管理群組存取工作區、資料及其他可保護物件的身份集合。 所有 Databricks 身分識別都可以被分配為群組成員。 |
Azure Databricks 帳戶最多可以有 10,000 個合併的使用者和服務主體,以及最多 5,000 個群組。 每個工作區最多可以有10,000個合併的用戶和服務主體作為成員,以及最多5,000個群組。
有誰可以在 Azure Databricks 中管理身分識別?
若要管理 Azure Databricks 中的身分識別,您必須具備下列其中一個角色:
| Role | 能力 |
|---|---|
| 帳戶管理員 |
|
| 工作區管理員 |
|
| 集團經理 |
|
| 服務主要經理 |
|
要建立你的第一個帳號管理員,請參見 「建立你的第一個帳號管理員」。
身份管理工作流程
備註
根據預設,大部分工作區都會針對身分識別同盟啟用。 身份聯盟讓你能在帳號層級集中管理身份,並將它們指派到工作區。 本頁面假設您的工作區已設定為啟用身份識別聯邦。 如果你有沒有身份聯邦的舊有工作區,請參見 沒有身份聯邦的舊有工作區。
身份聯邦
Databricks 於 2023 年 11 月 9 日開始自動啟用新的身份聯盟與 Unity 目錄工作空間。 預設啟用的身份聯合工作區無法關閉它。 如需詳細資訊,請參閱 自動啟用 Unity 目錄。
在身份聯合工作空間中,當你在工作區管理設定中新增使用者、服務主體或群組時,你可以從帳號中存在的身份中選擇。 在非識別身分同盟工作區中,您沒有從您的帳戶新增使用者、服務主體或群組的選項。
要檢查你的工作區是否啟用了身份聯邦,請在帳號主控台的工作區頁面尋找「 身份聯合:啟用 」。 要為較舊的工作區啟用身分識別聯盟,帳戶管理員必須透過分配 Unity Catalog 中繼資料庫來啟用該工作區。 請參閱 為 Unity Catalog 啟用工作區。
從你的身份供應商同步帳戶
Databricks 建議使用自動身分識別管理,將身分識別從 Microsoft Entra ID 同步至 Azure Databricks。 預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。
利用自動身份管理,你可以直接在工作區管理設定中搜尋 Microsoft Entra ID 使用者、服務主體和群組,並將他們加入你的工作區及 Azure Databricks 帳號。 Databricks 會使用 Microsoft Entra ID 作為記錄來源,因此 Azure Databricks 中會遵守使用者或群組成員資格的任何變更。 如需詳細指示,請參閱 從 Microsoft Entra ID 自動同步處理使用者和群組。
為工作空間指派身份
為了讓使用者、服務主體或群組能在 Azure Databricks 工作空間中運作,帳號管理員或工作空間管理員會將他們指派到該工作區。 你可以將工作空間存取權指派給帳號中存在的任何使用者、服務主體或群組。
工作區系統管理員也可以直接將新的用戶、服務主體或群組新增至工作區。 這個動作會自動將該身份加入帳號,並將其指派到該工作區。
如需詳細指示,請參閱:
與帳號使用者分享儀表板
即使這些使用者不是其工作區的成員,使用者也可以與 Azure Databricks 帳戶中的其他使用者共用已發佈的儀表板。 使用自動身分管理,使用者可以透過 Microsoft Entra ID 與任何其他使用者共享儀錶板,登入後即會將該使用者新增至 Azure Databricks 帳戶。 在 Azure Databricks 帳戶中,未屬於任何工作區的使用者相當於其他工具中的唯讀使用者。 他們可以檢視已與其共用的物件,但無法修改物件。 Azure Databricks 帳戶中的使用者對工作區、資料或計算資源沒有任何預設存取權。 如需詳細資訊,請參閱 使用者和群組管理。
Authentication
單一登入 (SSO)
Azure Databricks 預設會為所有客戶提供 Microsoft Entra ID 支援的單一登入(SSO)功能,適用於帳戶控制台和工作區。 請參閱 使用 Microsoft Entra ID 的單一登錄。
即時配置
您可以設定 Just-In-Time (JIT) 布建,以在使用者第一次登入時,從 Microsoft Entra ID 自動建立新的使用者帳戶。 請參閱 自動佈建使用者 (JIT) 。
存取控制
管理員可以指派角色、權限與權限給使用者、服務主體及群組,以控制工作區、資料及其他可保護物件的存取權限。 如需詳細資訊,請參閱 訪問控制概觀。
沒有身份聯盟的傳統工作空間
對於未啟用身份聯合的工作區,工作區管理員會完全在工作區範圍內管理工作區使用者、服務主體和群組。 新增至非識別身分聯邦工作區的使用者和服務元件會自動新增至帳戶。 如果工作區使用者與已存在的帳號使用者或管理員共享使用者名稱(即電子郵件地址),這些使用者會合併成單一身份。 新增至非身份聯邦工作區的群組是未新增至帳戶的傳統工作區本地群組。
若要啟用舊有工作空間的身份聯邦,請參見 身份聯盟。