管理使用者、服務主體和群組

本文介紹 Azure Databricks 身分識別管理模型，並提供如何在 Azure Databricks 中管理使用者、群組和服務主體的概觀。

如需有關如何在 Azure Databricks 中最佳設定身分識別的觀點，請參閱 身分識別最佳做法。

若要管理使用者、服務主體和群組的存取權，請參閱 驗證和訪問控制。

Azure Databricks 身分識別

Azure Databricks 身分識別有三種類型：

• 使用者：Azure Databricks 所辨識的使用者身分識別，並以電子郵件位址表示。
• 服務主體：與作業、自動化工具和系統搭配使用的身分識別，例如腳本、應用程式和 CI/CD 平臺。
• 群組：系統管理員用來管理工作區、數據和其他安全性實體物件的群組存取權的身分識別集合。 所有 Databricks 身分識別都可以指派為群組的成員。 Azure Databricks 中有兩種類型的群組：帳戶群組和工作區本地組。 如需詳細資訊，請參閱 帳戶群組與工作區本地組之間的差異。

您在一個帳戶中最多可以有 10,000 個合併的使用者和服務主體，以及 5,000 個群組。 每個工作區最多可以有 10,000 個合併的使用者和服務主體，以及 5,000 個群組。

如需詳細指示，請參閱：

• 管理使用者
• 管理服務主體
• 管理群組
• 從 Microsoft Entra ID 同步使用者和群組

神秘 可以在 Azure Databricks 中管理身分識別嗎？

若要管理 Azure Databricks 中的身分識別，您必須具備下列其中一項：帳戶管理員角色、工作區管理員角色，或服務主體或群組上的管理員角色。

• 帳戶管理員可以 將用戶、服務主體和群組新增至帳戶，並指派系統管理員角色。 帳戶管理員可以更新和刪除帳戶中的用戶、服務主體和群組。 只要這些工作區使用 身分識別同盟，他們就可以為使用者提供工作區的存取權。

  若要建立您的第一個帳戶管理員，請參閱 建立您的第一個帳戶管理員

• 工作區管理員可以 將用戶和服務主體新增至 Azure Databricks 帳戶。 如果已啟用身分識別同盟的工作區，他們也可以將其群組新增至 Azure Databricks 帳戶。 工作區管理員可以將工作區的存取權授與用戶、服務主體和群組。 他們無法從帳戶中刪除用戶和服務主體。

  工作區系統管理員也可以管理工作區本地組。 如需詳細資訊，請參閱管理工作區本地組（舊版）。

• 群組管理員 可以管理群組成員資格，並刪除群組。 他們也可以指派其他使用者群組管理員角色。 帳戶管理員具有帳戶中所有群組的群組管理員角色。 工作區系統管理員在他們建立的帳戶群組上具有群組管理員角色。 請參閱 神秘 可以管理帳戶群組？。

• 服務主體管理員可以 管理服務主體上的角色。 帳戶管理員在帳戶中的所有服務主體上都有服務主體管理員角色。 工作區系統管理員在所建立的服務主體上具有服務主體管理員角色。 如需詳細資訊，請參閱 管理服務主體的角色。

系統管理員如何將使用者指派給帳戶？

Databricks 建議使用 SCIM 布建，將所有使用者和群組自動從 Microsoft Entra ID（先前稱為 Azure Active Directory）同步處理到您的 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、數據或計算資源沒有任何預設存取權。 帳戶管理員和工作區管理員可以將帳戶使用者指派給工作區。 工作區系統管理員也可以將新使用者直接新增至工作區，這兩者都會自動將使用者新增至帳戶，並將其指派給該工作區。

使用者可以使用儀錶板共用來帳戶，與 Databricks 帳戶中的其他使用者共用已發佈的儀錶板，即使這些使用者不是其工作區的成員也一樣。 如需詳細資訊，請參閱 什麼是共用帳戶？。

如需將使用者新增至帳戶的詳細指示，請參閱：

• 從 Microsoft Entra ID 同步使用者和群組
• 將使用者新增至您的帳戶
• 將服務主體新增至您的帳戶
• 將群組新增至您的帳戶

系統管理員如何將使用者指派給工作區？

若要讓使用者、服務主體或群組在 Azure Databricks 工作區中工作，帳戶管理員或工作區管理員必須將他們指派給工作區。 只要已啟用 身分識別同盟的工作區，您就可以將工作區存取權指派給存在於帳戶中的使用者、服務主體和群組。

工作區系統管理員也可以直接將新的用戶、服務主體或帳戶群組新增至工作區。 此動作會自動將所選的用戶、服務主體或帳戶群組新增至帳戶，並將其指派給該特定工作區。

注意

工作區系統管理員也可以使用工作區群組 API 在工作區中建立舊版工作區本機群組。 工作區本地組不會自動新增至帳戶。 工作區本地組無法指派給其他工作區，或授與 Unity 目錄中繼存放區中數據的存取權。

針對未針對身分識別同盟啟用的工作區，工作區管理員會完全在工作區範圍內管理其工作區用戶、服務主體和群組。 新增至非身分識別同盟工作區的用戶和服務主體會自動新增至帳戶。 新增至非身分識別同盟工作區的群組是未新增至帳戶的舊版工作區本地組。

如需詳細指示，請參閱：

• 將使用者新增至工作區
• 將服務主體新增至工作區
• 將群組新增至工作區

系統管理員如何在工作區上啟用身分識別同盟？

如果您的帳戶是在 2023 年 11 月 9 日之後建立的，則預設會在所有新的工作區上啟用身分識別同盟，而且無法停用。

若要在工作區中啟用身分識別同盟，帳戶管理員必須指派 Unity 目錄中繼存放區來啟用 Unity 目錄的工作區。 請參閱 啟用 Unity 目錄的工作區。

指派完成時，身分識別同盟會在帳戶控制台的工作區 [組態] 索引標籤上標示為 [已啟用 ]。

工作區管理員可以從工作區系統管理員設定頁面判斷工作區是否已啟用身分識別同盟。 在身分識別同盟工作區中，當您選擇在工作區系統管理員設定中新增使用者、服務主體或群組時，您可以選擇從您的帳戶選取使用者、服務主體或群組以新增至工作區。

在非身分識別同盟工作區中，您沒有從您的帳戶新增用戶、服務主體或群組的選項。

指派系統管理員角色

帳戶管理員可以將其他使用者指派為帳戶管理員。 他們也可以藉由建立中繼存放區而成為 Unity 目錄中繼存放區管理員，而且可以將中繼存放區管理員角色轉移給其他使用者或群組。

帳戶管理員和工作區系統管理員都可以將其他使用者指派為工作區系統管理員。 工作區管理員角色是由工作區 管理員 群組中的成員資格所決定，這是 Azure Databricks 中的預設群組，因此無法刪除。

帳戶管理員也可以將其他使用者指派為 Marketplace 系統管理員。

請參閱：

• 將帳戶管理員角色指派給使用者
• 使用工作區系統管理員設定頁面將工作區管理員角色指派給使用者
• 指派中繼存放區管理員
• 指派 Marketplace 系統管理員角色

設定單一登入 （SSO）

所有客戶都可以使用 Microsoft Entra ID（先前稱為 Azure Active Directory）支援的登入形式進行單一登錄 （SSO）。 您可以針對帳戶主控台和工作區使用 Microsoft Entra ID 單一登錄。

請參閱 單一登錄。