本文介绍 Azure Databricks 标识管理模型,并概述了如何在 Azure Databricks 中管理用户、组和服务主体。
有关如何在 Azure Databricks 中以最佳方式配置标识的见解,请参阅标识最佳做法。
若要管理用户、服务主体和组的访问权限,请参阅身份验证和访问控制。
Azure Databricks 标识有三种类型:
用户:由 Azure Databricks 识别并由电子邮件地址表示的用户标识。
服务主体:用于作业、自动化工具和系统(例如脚本、应用和 CI/CD 平台)的标识。
组:管理员用来管理对工作区、数据和其他安全对象的组访问权限的标识集合。 所有 Databricks 标识都可以被指定为组的成员。
Azure Databricks 帐户最多可以有 10,000 个组合用户和服务主体,以及最多 5,000 个组。 每个工作区中可包含总数合计不超过 10,000 个的用户和服务主体作为成员,组数量最多为 5,000个。
有关详细信息,请参阅:
若要管理 Azure Databricks 中的标识,必须具有以下角色之一:
帐户管理员可以 在帐户中添加、更新和删除用户、服务主体和组。 他们可以分配管理员角色,并授予用户对工作区的访问权限,只要这些工作区使用 联合身份验证。
若要建立第一个帐户管理员,请参阅建立第一个帐户管理员
工作区管理员可以将用户和服务主体添加到 Azure Databricks 帐户。 如果他们的工作区启用了联合身份验证,他们还可以将组添加到帐户。 工作区管理员可以向用户、服务主体和组授予对其工作区的访问权限,但不能从帐户中删除用户或服务主体。
工作区管理员还可以管理旧的工作区本地组。 有关详细信息,请参阅管理工作区本地组(旧)。
组管理员 可以管理组成员身份和删除组。 他们还可以为其他用户分配组管理员角色。 帐户管理员对帐户上的所有组具有组管理员角色。 工作区管理员对自己创建的帐户组具有组管理员角色。 请参阅谁可以管理组?
服务主体管理员可以管理服务主体上的角色。 帐户管理员对帐户中的所有服务主体具有服务主体管理员角色。 工作区管理员对自己创建的服务主体具有服务主体管理员角色。 有关详细信息,请参阅用于管理服务主体的角色。
默认情况下,大多数工作区都为联合身份验证启用。 Databricks 于 2023 年 11 月 9 日自动为联合身份验证和 Unity Catalog 启用了新工作区,并逐步跨帐户推出。 如果工作区默认启用了联合身份验证,则无法禁用。 有关详细信息,请参阅 Unity Catalog 的自动启用。
若要在工作区中启用标识联合,帐户管理员需要通过分配 Unity Catalog 元存储为 Unity Catalog 启用工作区。 分配完成后,在帐户控制台中工作区的“配置”选项卡上,联合身份验证会被标记为“已启用”。 请参阅为 Unity Catalog 启用工作区。
在标识联合工作区中,选择在工作区管理员设置中添加用户、服务主体或组时,可以选择从帐户中选择要添加到工作区的用户、服务主体或组。
在非标识联合工作区中,无法选择从帐户添加用户、服务主体或组。
Databricks 建议使用自动标识管理(公共预览版)将标识从 Microsoft Entra ID 同步到 Azure Databricks。
使用自动标识管理,可以直接在标识联合工作区中搜索Microsoft Entra ID 用户、服务主体和组,并将其添加到工作区和 Azure Databricks 帐户。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 有关详细说明,请参阅从 Microsoft Entra ID 自动同步用户和组。
还可以配置实时 (JIT) 预配,以便在其首次登录时从 Microsoft Entra IDr 自动创建新用户帐户。 请参阅“自动预配用户”(JIT)。
若要使用户、服务主体或组能够在 Azure Databricks 工作区中工作,帐户管理员或工作区管理员需要将其分配到工作区。 只要工作区启用了联合身份验证,你就可以为帐户中存在的用户、服务主体和组分配工作区访问权限。
工作区管理员还可以将新用户、服务主体或组直接添加到工作区。 此作会自动将所选用户、服务主体或组添加到帐户,并将其分配给该特定工作区。
对于未启用标识联合的工作区,工作区管理员会完全在工作区范围内管理其工作区用户、服务主体和组。 添加到非标识联合工作区的用户和服务主体会自动添加到帐户。 如果工作区用户与已存在的帐户用户或管理员共享用户名(电子邮件地址),则将合并这些用户。 添加到非标识联合工作区的组是未添加到帐户的旧工作区本地组。
有关详细说明,请参阅:
用户可以与 Azure Databricks 帐户中的其他用户共享已发布的仪表板,即使这些用户并非其工作区的成员。 使用自动标识管理,用户可以与 Microsoft Entra ID 中的任何用户共享仪表板,该 ID 在登录时将用户添加到 Azure Databricks 帐户。 Azure Databricks 帐户中不是工作区成员的用户相当于其他工具中的查看权限用户。 他们可以查看与他们共享的对象,但无法修改对象。 Azure Databricks 帐户中的用户对工作区、数据或计算资源没有任何默认访问权限。 有关详细信息,请参阅仪表板共享的用户和组管理。
管理员可以向用户、服务主体和组分配角色、权利和权限。 有关详细信息,请参阅访问控制概述。
默认情况下,Azure Databricks 中帐户控制台和工作区的所有客户均可使用 Microsoft Entra ID 支持的登录形式的单一登录 (SSO)。