阶段 1：设计帐户和标识策略

在此阶段，你将为Azure Databricks帐户设计基础帐户管理和标识管理策略。

了解管理边界

Azure Databricks 管理结构在四个有意设计的层中构建，为保护数据和为用户提供支持提供灵活性和控制。 了解这些边界对于设计有效的管理策略至关重要。

管理层

• 帐户层：集中租户范围的管理和共享服务（例如，联合身份验证、工作区管理和计费）。
• 工作区层：操作边界，团队在其中运行工作负载，并应用特定于工作区的控件。
• 数据治理层：通过 Unity 目录具体化，可在整个帐户中集中管理数据和 AI 资产。
• 计算平面层：描述工作负荷的执行位置以及网络路径的管理方式。

分层安全模型

没有一个层本身就足够了。 管理员应避免将保护集中在一个边界中，并改为考虑以下事项：

• 帐户级控件 建立一致的标识和治理基础知识（例如元存储创建、工作区元存储绑定、标识管理）。
• 工作区级别的控制 影响用户的操作方式及允许的执行模式。
• 数据管理控制 在元存储和工作区级别提供精细的访问控制和审核。
• 计算平面控制 确定工作负荷的运行位置以及运行时可以使用的网络路径。

此模型为管理员提供了在保护数据和计算资源时启用用户所需的灵活性。

设计管理角色策略

Azure Databricks提供五个具有不同控制范围的管理员角色。 根据组织结构、治理模型和职责分离要求设计您的管理角色策略。

全局管理员角色

特定于功能的管理员角色

管理角色设计模式

• 集中管理：帐户管理员的小团队管理所有工作区和元存储（适用于小型组织）
• 联合管理：帐户管理员处理帐户级服务，工作区管理员管理其工作区，元存储管理员管理数据管理（适用于大型组织）
• 隔离职责：为帐户管理员、计费管理员和元存储管理员角色分隔个人，以强制实施合规性（适用于受监管行业）

管理角色的最佳做法

• 将帐户管理员权限限制为两三个受信任的个人。
• 使用工作区管理员进行日常工作区管理。
• 根据治理模型（集中式与分散式）分配元存储管理员角色。
• 启用审核日志记录以跟踪所有层中的管理员活动。
• 记录管理职责和升级过程。
• 尽可能将组用于管理员角色，而不是单个用户。
• 在管理员帐户之间强制执行职责分离。

设计标识策略

标识联合可在帐户级别集中管理用户、服务主体和组，然后将这些标识访问权限分配给特定工作区。 设计标识策略，以平衡集中控制与操作灵活性。

Azure Databricks 中的身份类型：Identity 类型

• 用户：由Azure Databricks识别并由电子邮件地址表示的用户标识。
• 服务主体：用于作业、自动化工具和系统（如脚本、应用和 CI/CD 平台）的标识。
• 组：用于管理对工作区、数据和其他安全对象的组访问权限的标识集合。

联合身份验证权益：

• 集中管理：在帐户级别配置用户、组和服务主体。
• 简化的管理：将帐户级标识分配给多个工作区，而无需重新创建它们。
• 统一治理：跨所有工作区进行身份管理的唯一真实来源。

• 自动预配：使用自动身份管理从Microsoft Entra ID同步身份。

为所有分配了 Unity Catalog 元存储的工作区自动启用联合身份管理。 对于新工作区，默认情况下会启用 Unity 目录和联合身份验证。

有关全面的身份管理文档，请参阅 “管理用户”、“服务主体”和“组”。

考虑跨域标识要求

某些企业有多个电子邮件域，例如一个专用于电子邮件，另一个用于用户访问。 通过在 SCIM 预配或标识提供者配置中提供适当的映射，Azure Databricks支持此设置。

跨域标识方案

• 电子邮件域与访问域：用户使用不同的电子邮件地址来进行交流，而不是用于身份验证。
• 合并组织：多个具有不同电子邮件域的组织合并为单个Azure Databricks帐户。
• 多品牌企业：不同的业务部门使用单独的电子邮件域，但共享Azure Databricks平台。

跨域标识的最佳做法：

• 在 SCIM 属性映射中正确映射电子邮件地址。
• 在生产推出之前，测试来自所有域的用户的身份验证流。
• 记录运营团队的域映射配置。
• 确保标识提供者支持多域方案。

设计自动标识管理策略

自动标识管理（AIM）允许Azure Databricks自动从Microsoft Entra ID同步用户和组，而无需在Microsoft Entra ID中使用单独的应用程序。 AIM 取代了以前的 SCIM 预配模型，消除了配置复杂性。

AIM 功能

• 直接同步：用户、服务主体对象、组和嵌套组直接从 Microsoft Entra ID 同步。
• 真理来源：Microsoft Entra ID是记录源，更改会自动反映在Azure Databricks中。
• 简化的配置：无需企业应用程序，可降低管理开销。
• 增强的功能：同步嵌套组和服务主体（不适用于 SCIM）。

AIM 的最佳做法

• 使用 AIM 作为标识同步的标准方法（建议用于所有新部署）。
• 利用嵌套组简化权限管理。
• 将服务主体用于自动化工作负荷，而不是用户帐户。
• 记录用于Azure Databricks管理员的Microsoft Entra ID组结构。

默认情况下，为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。

有关详细的自动身份管理配置，请参阅从 Microsoft Entra ID 自动同步用户和组。

了解实时预配

当用户首次使用单一登录（SSO）登录到Azure Databricks时，实时预配会自动创建用户帐户。 这通过消除手动帐户创建来简化用户加入。

JIT 预配工作流

1. 用户通过 SSO 标识提供者进行身份验证
2. Azure Databricks检查经过身份验证的用户是否拥有帐户
3. 如果不存在帐户，Azure Databricks使用标识提供者属性预配新用户帐户
4. 用户立即获得对已分配工作区的访问权限

JIT 权益

• 自动载入：新用户无需手动创建帐户。
• 减少了管理开销：消除账户创建请求和延迟。
• 一致的预配：用户详细信息自动从标识提供者同步。
• 简易用户体验：用户在身份验证后立即访问Azure Databricks。

JIT 设计注意事项

• 工作区分配：规划如何将新用户分配到工作区（例如，手动分配与基于组的自动分配）。
• 默认权限：为新预配的用户定义默认权限。
• 属性映射：确保标识提供者提供准确的用户属性（例如电子邮件、名称）。

对于在 2025 年 5 月 1 日之后创建的帐户，默认启用 JIT 预配。

有关详细的 JIT 预配配置，请参阅“自动预配用户”（JIT）。

帐户和身份建议

推荐

• 使用标识提供者在帐户级别通过单一登录（SSO）进行身份验证。
• 利用标识提供者中的多重身份验证（MFA）增强安全性。
• 使用 SCIM 或 AIM 将用户和组同步到帐户控制台。
• 启用即时（JIT）供应以实现自动化用户上载。
• 限制帐户管理员用户数（2-3 个受信任个人）。
• 在管理员帐户之间强制执行职责分离。
• 根据组织结构和治理要求限制工作区管理员。
• 对服务主体使用 OAuth 身份验证。
• 使用服务主体运行管理任务和生产工作流。
• 使用 Terraform 或类似工具自动执行所有管理操作。
• 记录管理角色、职责和升级过程。
• 尽可能将组用于管理员角色，而不是单个用户。

根据要求进行评估

• 如果你的组织使用多个电子邮件域，请考虑跨域标识要求。
• 管理角色的粒度需要与操作复杂性相平衡。
• 考虑身份提供商故障的紧急访问程序。
• 规划标识提供者维护时段和 SSO 故障转移方案。

阶段 1 结果

完成第 1 阶段后，应具备以下各项：

• 设计了管理角色策略（例如帐户管理员、工作区管理员、元存储管理员）。
• 定义的联合身份验证策略（使用 AIM 进行帐户优先预配）。
• 设计用于 Microsoft Entra ID 集成和多因素认证 (MFA) 要求的 SSO 策略。
• 定义的用户预配策略（AIM + JIT 预配）。
• 已识别的跨域身份要求（如果适用）。
• 记录了管理责任和升级过程。
• 专为自动化工作负荷设计的服务主体策略。

下一阶段： 阶段 2：设计工作区策略

实施指南：有关实现帐户和标识策略的分步说明，请参阅 “管理用户”、“服务主体”和“组”。