重要
此功能目前以公共预览版提供。
本文介绍如何使用自动标识管理配置 Azure Databricks 以从 Microsoft Entra ID 同步用户、服务主体和组。
自动标识管理概述
通过自动标识管理,无需在 Microsoft Entra ID 中配置应用程序,即可将 Microsoft Entra ID 中的用户、服务主体和组无缝添加到 Azure Databricks 中。 启用自动标识管理后,可以直接在标识联合工作区中搜索Microsoft Entra ID 用户、服务主体和组,并将其添加到工作区。 Databricks 将 Microsoft Entra ID 用作记录源,因此 Azure Databricks 会采用对组成员身份所做的任何更改。
用户还可以与Microsoft Entra ID 中的任何用户、服务主体或组共享仪表板。 登录时,这些用户会自动添加到 Azure Databricks 帐户。 它们不会被添加为仪表板所在的工作区的成员。 对于无权访问工作区的 Microsoft Entra ID 的成员,将为他们授予对使用嵌入凭据发布的仪表板的仅供查看副本的访问权限。 有关仪表板共享的详细信息,请参阅 “共享仪表板”。
非标识联合工作区不支持自动标识管理。 有关联合身份验证的详细信息,请参阅 “启用联合身份验证”。
用户和组状态
启用自动标识管理后,帐户控制台和工作区管理员设置页中会显示来自Microsoft Entra ID 的用户、服务主体和组。 它的状态反映其在 Microsoft Entra ID 与 Azure Databricks 之间的活动和状态:
| 状态 | 含义 |
|---|---|
| 非活动:未使用 | Microsoft Entra ID 中尚未登录到 Azure Databricks 的标识。 |
| 活跃 | 标识在 Azure Databricks 中处于活动状态。 |
| 活动:已从 EntraID 中删除 | 以前在 Azure Databricks 中处于活动状态,已从 Microsoft Entra ID 中删除。 |
| 停用 | Microsoft Entra ID 中的标识已停用。 |
已停用的用户和从 Microsoft Entra ID 中删除的用户无法登录到 Azure Databricks,也无法向 Azure Databricks API 进行身份验证。 最佳安全做法是,我们建议撤销“已停用”和“活动: 已从 EntraID 中删除”用户的个人访问令牌。
使用自动标识管理来管理的组和服务主体在 Azure Databricks 中显示为“外部”。 无法使用 Azure Databricks UI 更新外部标识。
自动标识管理与 SCIM 预配
启用自动标识管理后,所有用户、组和组成员身份将从 Microsoft Entra ID 同步到 Azure Databricks,因此不需要 SCIM 预配。 如果保持 SCIM 企业应用程序并行运行,SCIM 应用程序将继续管理Microsoft Entra ID 企业应用程序中配置的用户和组。 它不会管理未使用 SCIM 预配添加的 Microsoft Entra ID 标识。
Databricks 建议使用自动标识管理。 下表比较了自动标识管理功能与 SCIM 预配功能。
| 特点 | 自动标识管理 | SCIM 预配 |
|---|---|---|
| 同步用户 | ✓ | ✓ |
| 同步组 | ✓ | ✓ (仅限直接成员) |
| 同步嵌套组 | ✓ | |
| 同步服务主体 | ✓ | |
| 配置和管理Microsoft Entra ID 应用程序 | ✓ | |
| 需要Microsoft Entra ID Premium 版本 | ✓ | |
| 需要 Microsoft Entra ID 云应用程序管理员角色 | ✓ | |
| 需要联合身份验证 | ✓ |
Azure Databricks 外部 ID 和 Microsoft Entra ID 对象 ID
Azure Databricks 使用 Microsoft Entra ID ObjectId 作为同步标识和组成员身份的权威链接,并在每天重复的流中自动更新 externalId 字段以匹配 ObjectId。 在某些情况下,可能会出现不匹配或重复的标识,尤其是在用户、服务主体或组通过自动标识管理和另一种方法(如 SCIM 预配)添加到 Azure Databricks 时。 在这些情况下,你可能会看到重复的条目,其中一个列表的状态为 “非活动”:不使用。 用户不处于非活动状态,可以登录 Azure Databricks。
可以通过在 Azure Databricks 中提供它们的外部 ID 来合并这些重复标识。 使用 帐户用户、帐户服务主体或帐户组 API 更新主体,将他们的 Microsoft Entra ID 添加到 objectIdexternalId 字段中。
externalId由于可能会随时间推移而更新,Azure Databricks 强烈建议不要使用依赖于字段的externalId自定义工作流。
启用自动标识管理
帐户管理员可以使用预览页启用自动标识管理。
作为帐户管理员,登录到帐户控制台。
在边栏中,单击“ 预览”。
将 “自动标识管理 ”切换为 “打开”。
启用帐户后,若要从 Microsoft Entra ID 中添加和删除用户、服务主体和组,请按照以下说明作:
启用自动标识管理后,帐户管理员可以使用预览页禁用它。 禁用后,以前预配的用户、服务主体和组将保留在 Azure Databricks 中,但不再与 Microsoft Entra ID 同步。 可以在帐户控制台中删除或停用这些用户。
审核用户登录名
可以查询 system.access.audit 表,以审核哪些用户已登录到工作区。 例如:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"