Databricks 为帐户和工作区中的用户、组和服务主体提供集中标识管理。 在 Azure Databricks 中使用标识管理,您可以控制谁能够访问您的工作区、数据和计算资源,并提供从标识提供者同步身份的灵活选项。
有关如何在 Azure Databricks 中以最佳方式配置标识的见解,请参阅标识最佳做法。
若要管理用户、服务主体和组的访问权限,请参阅身份验证和访问控制。
Azure Databricks 标识
Databricks 支持三种类型的标识进行身份验证和访问控制:
| 标识类型 | Description |
|---|---|
| 用户 | Azure Databricks 能够识别用户标识,并通过电子邮件地址表示。 |
| 服务主体 | 用于作业、自动化工具和系统(如脚本、应用和 CI/CD 平台)的标识。 |
| 组 | 管理员用来管理对工作区、数据和其他安全对象的组访问权限的标识集合。 所有 Databricks 标识都可以被指定为组的成员。 |
Azure Databricks 帐户最多可以有 10,000 个组合用户和服务主体,以及最多 5,000 个组。 每个工作区中可包含总数合计不超过 10,000 个的用户和服务主体作为成员,组数量最多为 5,000个。
谁可以在 Azure Databricks 中管理标识?
若要管理 Azure Databricks 中的标识,必须具有以下角色之一:
| 角色 | Capabilities |
|---|---|
| 帐户管理员 |
|
| 工作区管理员 |
|
| 组经理 |
|
| 服务主体管理者 |
|
若要建立第一个帐户管理员,请参阅 “建立第一个帐户管理员”。
标识管理工作流
注释
默认情况下,大多数工作区都为联合身份验证启用。 通过联合身份验证,可以在帐户级别集中管理标识,并将其分配给工作区。 此页面假定工作区已启用身份联邦。 如果您有一个没有标识联合的旧工作区,请参阅 没有标识联合的旧工作区。
联合身份验证
Databricks 于 2023 年 11 月 9 日自动启用身份联合和 Unity 目录的新工作区。 默认情况下,为标识联合启用的工作区无法被禁用。 有关详细信息,请参阅 Unity Catalog 的自动启用。
在标识联合工作区中,在工作区管理员设置中添加用户、服务主体或组时,可以从帐户中存在的标识中进行选择。 在非标识联合工作区中,无法选择从帐户添加用户、服务主体或组。
若要检查工作区是否已启用标识联合,请在帐户控制台的工作区页上查找 标识联合:已启用。 为了在较旧的工作区中启用标识联合,帐户管理员必须通过为其分配 Unity Catalog 元存储库来启用该工作区。 请参阅为 Unity Catalog 启用工作区。
从身份提供商同步身份
Databricks 建议使用自动标识管理将标识从 Microsoft Entra ID 同步到 Azure Databricks。 默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。
使用自动标识管理,可以直接在工作区管理员设置中搜索 Microsoft Entra ID 用户、服务主体和组,并将其添加到工作区和 Azure Databricks 帐户。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 有关详细说明,请参阅从 Microsoft Entra ID 自动同步用户和组。
将标识符分配给工作区
若要使用户、服务主体或组能够在 Azure Databricks 工作区中工作,帐户管理员或工作区管理员将其分配给工作区。 可以为帐户中存在的任何用户、服务主体或组分配工作区访问权限。
工作区管理员还可以将新用户、服务主体或组直接添加到工作区。 此操作会自动将身份添加到帐户,并将其分配给该工作区。
有关详细说明,请参阅:
与帐户用户共享仪表板
用户可以与 Azure Databricks 帐户中的其他用户共享已发布的仪表板,即使这些用户并非其工作区的成员。 使用自动标识管理,用户可以与 Microsoft Entra ID 中的任何用户共享仪表板,该 ID 在登录时将用户添加到 Azure Databricks 帐户。 Azure Databricks 帐户中不是工作区成员的用户相当于其他工具中的查看权限用户。 他们可以查看与他们共享的对象,但无法修改对象。 Azure Databricks 帐户中的用户对工作区、数据或计算资源没有任何默认访问权限。 有关详细信息,请参阅 用户和组管理。
Authentication
单一登录 (SSO)
默认情况下,Azure Databricks 中帐户控制台和工作区的所有客户均可使用 Microsoft Entra ID 支持的登录形式的单一登录 (SSO)。 请参阅使用 Microsoft Entra ID 的单一登录。
实时预配
可以配置实时(JIT)预配,以在其第一次登录时从 Microsoft Entra ID 自动创建新用户帐户。 请参阅“自动预配用户”(JIT)。
存取控制
管理员可以向用户、服务主体和组分配角色、权利和权限,以控制对工作区、数据和其他安全对象的访问权限。 有关详细信息,请参阅访问控制概述。
没有身份联合的传统工作区
对于未为标识联合启用的工作区,工作区管理员将完全在工作区范围内管理工作区用户、服务主体和组。 添加到非标识联合工作区的用户和服务主体会自动添加到帐户。 如果工作区用户与已存在的帐户用户或管理员共享用户名(即电子邮件地址),则这些用户将合并到单个标识中。 添加到非标识联合工作区的组是未添加到帐户的旧工作区本地组。
若要为旧工作区启用标识联合,请参阅 标识联合。