服務主體

服務主體是 Azure Databricks 中專為自動化和程式設計存取而設計的特製化身分識別。 服務主體提供安全且僅 API 的 Azure Databricks 資源存取，適用於自動化工具、腳本及 CI/CD 平台，無需依賴個別使用者憑證。

如需如何管理服務主體，請參閱 管理服務主體。

備註

這個頁面假設你的工作區啟用了身份聯盟，這是大多數工作區的預設功能。 有關無身份聯邦的舊有工作空間資訊，請參見 無身份聯邦的舊有工作空間。

何謂服務主體？

服務主體提供自動化工具與腳本，僅以 API 方式存取 Azure Databricks 資源，提供比使用使用者帳號更高的安全性。 您可以使用與 Azure Databricks 使用者相同的方式，授與和限制服務主體對資源的存取權。 例如，你可以授予服務主體帳戶管理員或工作空間管理員角色，或透過 Unity 目錄授權資料存取權，或將服務主體加入群組成員。

您可以授與 Azure Databricks 使用者、服務主體和群組許可權，以使用服務主體。 這可讓使用者以服務主體的形式執行作業，而不是以其身分識別執行。如此一來，便能防止萬一使用者離開組織或群組遭到修改時，作業失敗。

Databricks 和 Microsoft Entra ID 服務主體

服務主體可以是 Azure Databricks 受控服務主體或 Microsoft Entra ID 受控服務主體。

Azure Databricks 受控服務主體可以使用 Databricks OAuth 驗證和個人存取權杖向 Azure Databricks 進行驗證。 Microsoft Entra ID 受控服務主體可以使用 Databricks OAuth 驗證和 Microsoft Entra ID 權杖向 Azure Databricks 進行驗證。 如需更進一步的服務主體認證資訊，請參閱 管理服務主體的令牌。

Azure Databricks 管理的服務主體會直接在 Azure Databricks 中進行管理。 在 Microsoft Entra ID 中管理 Microsoft Entra ID 受控服務主體，這需要額外的權限。 Databricks 建議您針對 Azure Databricks 自動化使用 Azure Databricks 受控服務主體，並在您必須同時向 Azure Databricks 和其他 Azure 資源進行驗證的情況下，使用 Microsoft Entra ID 受控服務主體。

若要建立 Azure Databricks 受控服務主體，請略過本節，並繼續閱讀 誰可以管理和使用服務主體？。

若要在 Azure Databricks 中使用 Microsoft Entra ID 受控服務主體，管理員使用者必須在 Azure 中建立 Microsoft Entra ID 應用程式。 要建立 Microsoft Entra ID 管理服務主體，請參見 「使用 Microsoft Entra 服務主體認證」。

常見使用案例

服務主體非常適合以下自動化情境，當你需要安全且可靠的程式化存取 Databricks 資源時：

用例	Example
CI/CD 管線	自動部署筆記本、函式庫與設定，作為持續整合與部署工作流程的一部分。
排程工作	依照排程執行 ETL 管線、資料處理工作及自動化報告，無需依賴個別使用者帳號。
跨系統整合	將外部應用程式與服務連接到 Databricks，以便資料擷取、轉換或分析。
自動化測試	執行整合測試並驗證資料管線，作為測試框架的一部分。
基礎結構即程式碼	使用 Terraform、ARM 範本或 Databricks 資產套件等工具，配置並管理 Databricks 資源。

誰可以管理及使用服務主體？

要管理 Azure Databricks 中的服務主體，您必須具備以下其中一個角色：

Role	能力
帳戶管理員	在帳號中新增服務負責人並指派管理員角色。 將服務主體指派給工作空間。 自動在帳戶內的所有服務主體上擔任服務主體管理員角色。
工作區管理員	將服務主體加入 Azure Databricks 工作空間。 指派他們工作區管理員角色。 管理工作區物件與功能的訪問權限。 自動在他們創建的服務主體中獲得服務主體管理員角色。
服務主要經理	管理服務主體的角色。 將服務主體管理者角色指派給其他使用者。
服務主體使用者	以服務主體身份執行工作，使用其身份而非工作擁有者身份。

備註

• 服務主體的創建者自動成為服務主體管理者。
• 擁有服務主體管理者角色的使用者不會繼承服務主體使用者角色。 如果您想要使用服務主體來執行作業，即使建立服務主體之後，您也必須明確指派服務主體使用者角色。
• 當 RestrictWorkspaceAdmins 設定為 ALLOW ALL 時，工作區管理員可以代表其工作區中的任何服務主體建立權杖。 請參閱限制工作區管理員。

如需如何授與服務主體管理員和使用者角色的資訊，請參閱 管理服務主體的角色。

從您的 Microsoft Entra ID 租用者將服務主體同步到 Azure Databricks 帳戶

您可以使用自動身分識別管理，自動將 Microsoft Entra ID 服務主體從您的 Microsoft Entra ID 租用戶同步至您的 Azure Databricks 帳戶。 Databricks 會使用 Microsoft Entra 標識碼作為來源，因此 Azure Databricks 中會尊重使用者或群組成員資格的任何變更。 預設情況下，自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 請參閱 從 Microsoft Entra ID 自動同步使用者和群組。

SCIM 布建不支援同步服務主體。

其他資源

• 管理服務主體 - 建立並管理服務主體
• 服務主體存取控制 - 授權管理者與使用者角色
• 工作權限 - 以服務負責人身份執行工作
• Databricks 自動化的身份驗證 - 用於服務主體的身份驗證方法
• 管理身份 - Databricks 中身份管理概述

• Azure 服務主體 - 建立 Microsoft Entra ID 服務主體
• 自動身份管理 - 同步來自 Microsoft Entra ID 的服務主體