启用自动身份管理后,可以配置帐户访问拒绝列表,以控制允许哪些来自 Microsoft Entra ID 的身份访问你的 Azure Databricks 帐户。 使用拒绝列表模型,帐户管理员将特定用户、组或服务主体添加到拒绝列表以阻止其访问。
拒绝名单成员资格具有传递性。 如果拒绝某个组,则该组的所有成员也会被拒绝,包括通过嵌套组成员身份属于该组的用户。 被拒绝的用户和服务主体会在 Azure Databricks 帐户中自动被设为 Inactive。
配置帐户访问拒绝列表
帐户管理员可以在帐户控制台中配置帐户访问拒绝列表。 拒绝列表是帐户级配置,适用于帐户中的所有工作区。
每个帐户最多支持 100 条规则。
- 作为帐户管理员,登录到帐户控制台。
- 在边栏中,单击“ 安全性”。
- 单击“ 用户预配 ”选项卡,然后单击“ 自动标识管理”。
- 单击选项以编辑Microsoft Entra ID中的标识。
- 从Microsoft Entra ID搜索用户、服务主体或组以添加到拒绝列表。
- 保存所做的更改。
拒绝规则会被继承。 如果父组被拒绝访问权限,则其子组的所有成员也将被拒绝访问权限。 对拒绝列表的更改最多可能需要 10 分钟才能生效。
测试拒绝列表
帐户访问拒绝列表包括测试模式。 使用它可在应用当前拒绝列表配置之前,验证特定用户、服务主体或组是否会因该配置而被拒绝访问。
- 在拒绝列表配置中,单击“ 测试”模式。
- 搜索要测试的用户、服务主体或组。
- 查看结果,了解该标识是否会被拒绝访问。
拒绝规则的工作原理
当某个身份被添加到拒绝名单后,将产生以下影响:
已被拒绝的标识无法登录 Azure Databricks
- 被拒绝的用户和服务主体无法登录到Azure Databricks或使用其个人访问令牌。
- 如果某个组被拒绝,该组的所有成员和可传递成员也会被拒绝。
- 如果被拒绝的身份尝试登录,系统仍可能将其预配到账户中,但会将其设置为非活动状态,即使它在 Microsoft Entra ID 中处于活动状态也是如此。
- IAMv2 API(例如
resolveByExternalId)还会将被拒绝的主体预配为非活动。
注释
评估拒绝规则时,本地组成员身份替代优先于外部标识提供者组。 例如,如果使用 Azure Databricks API 手动将用户添加到组,并为该组创建拒绝规则,则无论其在Microsoft Entra ID中的状态如何,该用户都会被拒绝。
拒绝的标识不会出现在共享对话或标识选择器中
- 拒绝的主体从面向用户的标识选择体验(例如共享对话)中筛选出来。
- 如果被拒绝的主体已有权限,这些权限将保持可见。
- 被拒绝的主体无法登录,因此他们无法使用任何授予的权限。
- API 仍可向被拒绝的主体授予权限,但这些权限不可用。
拒绝的标识对处于被拒绝状态的管理员可见
- 被拒绝的主体在帐户管理员和工作区管理员页面中保持可见。
- 其状态显示为 “拒绝”。
必须先将已拒绝的身份从拒绝列表中移除,才能将其删除
- 在从拒绝列表中删除用户、服务主体和组之前,无法从帐户中删除这些用户、服务主体和组。
无法为被拒绝的组更新组外部 ID
- 拒绝列表中的组在从拒绝列表中移除之前,无法更新其
externalId。