本文介绍 Azure Databricks 标识管理模型,并概述了如何在 Azure Databricks 中管理用户、组和服务主体。
有关如何在 Azure Databricks 中以最佳方式配置标识的见解,请参阅标识最佳做法。
若要管理用户、服务主体和组的访问权限,请参阅身份验证和访问控制。
Azure Databricks 标识有三种类型:
- 用户:由 Azure Databricks 识别并由电子邮件地址表示的用户标识。
- 服务主体:用于作业、自动化工具和系统(例如脚本、应用和 CI/CD 平台)的标识。
- 组:管理员用来管理对工作区、数据和其他安全对象的组访问权限的标识集合。 所有 Databricks 标识都可以被指定为组的成员。 Azure Databricks 中有两种类型的组:帐户组和工作区本地组。 有关详细信息,请参阅 Azure Databricks 中的组类型。
Azure Databricks 帐户最多可以有 10,000 个组合用户和服务主体,以及最多 5,000 个组。 每个工作区中可包含总数合计不超过 10,000 个的用户和服务主体作为成员,组数量最多为 5,000个。
有关详细说明,请参阅:
若要在 Azure Databricks 中管理标识,必须具有以下角色之一:帐户管理员角色、工作区管理员角色,或服务主体或组的管理员角色。
帐户管理员可以将用户、服务主体和组添加到帐户,并为他们分配管理员角色。 帐户管理员可以更新和删除帐户中的用户、服务主体和组。 只要工作区使用身份联合,他们就可以向用户授予对这些工作区的访问权限。
若要建立第一个帐户管理员,请参阅建立第一个帐户管理员
工作区管理员可以将用户和服务主体添加到 Azure Databricks 帐户。 如果他们的工作区启用了身份联合,他们还可以将组添加到 Azure Databricks 帐户。 工作区管理员可以向用户、服务主体和组授予对其工作区的访问权限。 他们不能从帐户中删除用户和服务主体。
工作区管理员还可以管理工作区本地组。 有关详细信息,请参阅管理工作区本地组(旧)。
组管理员可以管理组成员身份并删除组。 他们还可以为其他用户分配组管理员角色。 帐户管理员对帐户上的所有组具有组管理员角色。 工作区管理员对自己创建的帐户组具有组管理员角色。 请参阅谁可以管理帐户组?。
服务主体管理员可以管理服务主体上的角色。 帐户管理员对帐户中的所有服务主体具有服务主体管理员角色。 工作区管理员对自己创建的服务主体具有服务主体管理员角色。 有关详细信息,请参阅用于管理服务主体的角色。
Databricks 建议使用自动标识管理(公共预览版)将用户、服务主体和组从 Microsoft Entra ID 同步到 Azure Databricks。
使用自动标识管理,可以将用户、服务主体和组从 Microsoft Entra ID 添加到 Azure Databricks 中,而无需在 Microsoft Entra ID 中配置应用程序。 启用后,您可以直接在身份联合工作区中搜索 Microsoft Entra ID 用户、服务主体和组,并将它们添加到工作区和 Azure Databricks 帐户中。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 有关详细说明,请参阅从 Microsoft Entra ID 自动同步用户和组。
用户可以与 Azure Databricks 帐户中的其他用户共享已发布的仪表板,即使这些用户并非其工作区的成员。 使用自动标识管理,用户可以与 Microsoft Entra ID 中的任何用户共享仪表板,该 ID 在登录时将用户添加到 Azure Databricks 帐户。 Azure Databricks 帐户中不是工作区成员的用户相当于其他工具中的查看权限用户。 他们可以查看与他们共享的对象,但无法修改对象。 Azure Databricks 帐户中的用户对工作区、数据或计算资源没有任何默认访问权限。 有关详细信息,请参阅仪表板共享的用户和组管理。
若要使用户、服务主体或组能够在 Azure Databricks 工作区中工作,帐户管理员或工作区管理员需要将其分配到工作区。 只要工作区启用了标识联合,你就可以为帐户中存在的用户、服务主体和组分配工作区访问权限。
工作区管理员还可以将新用户、服务主体或帐户组直接添加到工作区。 此操作会自动将所选用户、服务主体或帐户组添加到该帐户,并将其分配给该特定工作区。
备注
工作区管理员还可以使用工作区组 API 在工作区中创建旧工作区本地组。 工作区本地组不会自动添加到帐户。 不能将工作区本地组分配给其他工作区,也不能向它们授予对 Unity Catalog 元存储中数据的访问权限。
对于未启用标识联合的工作区,工作区管理员会完全在工作区范围内管理其工作区用户、服务主体和组。 添加到非标识联合工作区的用户和服务主体会自动添加到帐户。 添加到非标识联合工作区的组是未添加到帐户的旧工作区本地组。
如果工作区用户与已存在的帐户用户或管理员共享用户名(电子邮件地址),则将合并这些用户。
有关详细说明,请参阅:
Databricks 于 2023 年 11 月 9 日自动为联合身份验证和 Unity Catalog 启用了新工作区,并逐步跨帐户推出。 如果工作区默认启用了联合身份验证,则无法禁用。 有关详细信息,请参阅 Unity Catalog 的自动启用。
若要在工作区中启用标识联合,帐户管理员需要通过分配 Unity Catalog 元存储为 Unity Catalog 启用工作区。 请参阅为 Unity Catalog 启用工作区。
分配完成后,在帐户控制台中工作区的“配置”选项卡上,联合身份验证会被标记为“已启用”。
工作区管理员可以从工作区管理员设置页判断工作区是否启用了联合身份验证。 在标识联合工作区中,选择在工作区管理员设置中添加用户、服务主体或组时,可以选择从帐户中选择要添加到工作区的用户、服务主体或组。
在非标识联合工作区中,无法选择从帐户添加用户、服务主体或组。
帐户管理员可以将其他用户分配为帐户管理员。 他们还可以通过创建元存储来成为 Unity Catalog 元存储管理员,并且可以将元存储管理员角色转移到其他用户或组。
帐户管理员和工作区管理员可以将其他用户分配为工作区管理员。 工作区管理员角色由工作区管理员组中的成员身份确定,该组是 Azure Databricks 中的默认组,无法删除。
帐户管理员也可以将其他用户分配为市场管理员。
请参阅:
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 给用户分配的权限是在工作空间层面进行的。 有关详细信息,请参阅管理权利。
默认情况下,Azure Databricks 为所有客户提供支持 Microsoft Entra ID 登录的单一登录 (SSO) 功能。 可以对帐户控制台和工作区使用 Microsoft Entra ID 单一登录。