本页介绍了 Azure Databricks 如何使用自动标识管理从 Microsoft Entra ID 自动同步用户、服务主体和组。
自动标识管理概述
通过自动标识管理,无需在 Microsoft Entra ID 中配置应用程序,即可将 Microsoft Entra ID 中的用户、服务主体和组无缝添加到 Azure Databricks 中。 启用自动标识管理后,可以直接在标识联合工作区中搜索Microsoft Entra ID 用户、服务主体和组,并将其添加到工作区。 Databricks 将 Microsoft Entra ID 用作记录源,因此 Azure Databricks 会采用对组成员身份所做的任何更改。
启用自动身份管理时,实时(JIT)预配始终开启,无法将其禁用。 首次登录时,会自动在 Azure Databricks 中预配来自 Microsoft Entra ID 的新用户。 请参阅“自动预配用户”(JIT)。
用户还可以与Microsoft Entra ID 中的任何用户、服务主体或组共享仪表板。 登录时,这些用户会自动添加到 Azure Databricks 帐户。 它们不会被添加为仪表板所在的工作区的成员。 没有权访问工作区的 Microsoft Entra ID 成员将被授予访问权限,可以查看使用共享数据权限发布的仪表板的仅限查看的副本。 有关仪表板共享的详细信息,请参阅 “共享仪表板”。
非标识联合工作区不支持自动标识管理。 有关联合身份验证的详细信息,请参阅 “启用联合身份验证”。
用户和组状态
启用自动标识管理后,帐户控制台和工作区管理员设置页中会显示来自Microsoft Entra ID 的用户、服务主体和组。 它的状态反映其在 Microsoft Entra ID 与 Azure Databricks 之间的活动和状态:
| 状态 | 含义 |
|---|---|
| 非活动:未使用 | 对于用户和服务主体:在 Microsoft Entra ID 中尚未登录到 Azure Databricks 的身份。 对于组:该组没有成员,或者其成员尚未登录到 Azure Databricks。 |
| 活跃 | 标识在 Azure Databricks 中处于活动状态。 |
| 活动:已从 EntraID 中删除 | 以前在 Azure Databricks 中处于活动状态,已从 Microsoft Entra ID 中删除。 无法登录或向 API 进行身份验证。 |
| 停用 | Microsoft Entra ID 中的标识已停用。 无法登录或向 API 进行身份验证。 |
小窍门
作为安全最佳实践,Databricks 建议为 已停用 和 活动:已从 EntraID 中删除 的用户撤销个人访问令牌。
使用自动标识管理管理的标识在 Azure Databricks 中显示为 外部 。 无法使用 Azure Databricks UI 更新外部标识。
自动标识管理与 SCIM 预配
启用自动标识管理后,所有用户、组和组成员身份将从 Microsoft Entra ID 同步到 Azure Databricks,因此不需要 SCIM 预配。 如果保持 SCIM 企业应用程序并行运行,SCIM 应用程序将继续管理Microsoft Entra ID 企业应用程序中配置的用户和组。 它不管理未使用 SCIM 预配添加的 Microsoft Entra ID 标识。
Databricks 建议使用自动标识管理。 下表比较了自动标识管理功能与 SCIM 预配功能。
| 特点 | 自动标识管理 | SCIM 预配 |
|---|---|---|
| 同步用户 | ✓ | ✓ |
| 同步组 | ✓ | ✓ (仅限直接成员) |
| 同步嵌套组 | ✓ | |
| 同步服务主体 | ✓ | |
| 配置和管理Microsoft Entra ID 应用程序 | ✓ | |
| 需要Microsoft Entra ID Premium 版本 | ✓ | |
| 需要 Microsoft Entra ID 云应用程序管理员角色 | ✓ | |
| 需要联合身份验证 | ✓ |
Azure Databricks 外部 ID 和 Microsoft Entra ID 对象 ID
Azure Databricks 使用 Microsoft Entra ID ObjectId 作为同步身份和组成员的权威链接,并自动在每日定期流程中更新 externalId 字段以匹配 ObjectId。 在某些情况下,可能会出现不匹配或重复的标识,尤其是在用户、服务主体或组通过自动标识管理和另一种方法(如 SCIM 预配)添加到 Azure Databricks 时。 在这些情况下,你可能会看到重复的条目,其中一个列表的状态为 “非活动”:不使用。 用户不处于非活动状态,可以登录 Azure Databricks。
可以通过在 Azure Databricks 中提供它们的外部 ID 来合并这些重复标识。 使用 帐户用户、帐户服务主体或帐户组 API 更新主体,将他们的 Microsoft Entra ID 添加到 objectIdexternalId 字段中。
externalId由于可能会随时间推移而更新,Azure Databricks 强烈建议不要使用依赖于字段的externalId自定义工作流。
启用自动标识管理
默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。 帐户管理员可以在帐户控制台中启用自动标识管理。
作为帐户管理员,登录到帐户控制台。
在边栏中,单击“ 安全性”。
在“ 用户预配 ”选项卡中,将 “自动标识管理 ”切换为 “已启用”。
更改需要 5 到 10 分钟才能生效。
启用帐户后,若要从 Microsoft Entra ID 中添加和删除用户、服务主体和组,请按照以下说明作:
禁用自动标识管理
禁用自动标识管理时:
- 用户和服务主体保持不变:他们保留访问权限,但不再与 Microsoft Entra ID 同步。 禁用自动标识管理后,可以在帐户控制台中手动删除或停用用户和服务主体。
- 组丢失成员身份:组保留在 Azure Databricks 中,但所有组成员都将被删除。
- 与 Microsoft Entra ID 不同步:Microsoft Entra ID(例如用户删除或组更新)中的更改不会反映在 Azure Databricks 中。
- 无权限继承:由自动标识管理管理管理的用户无法从父组继承权限。 这会影响基于组的嵌套权限模型。
如果计划禁用自动标识管理,Databricks 建议提前设置 SCIM 配置作为备选方案。 然后,SCIM 可以接管标识和组同步。
作为帐户管理员,登录到帐户控制台。
在边栏中,单击“ 安全性”。
在“ 用户预配 ”选项卡中,将 “自动标识管理 ”切换为 “已禁用”。