閱讀英文

共用方式為

服务主体

  • 發行項
  • 2025/05/13

本页概述了 Azure Databricks 中的服务主体。 有关如何管理服务主体,请参阅 管理服务主体

什么是服务主体?

服务主体是 Azure Databricks 中的专用身份,旨在实现自动化和编程访问。 服务主体为自动化工具和脚本提供对 Azure Databricks 资源的仅限 API 的访问权限,从而提供比使用用户帐户更高的安全性。

你可以像对待 Azure Databricks 用户一样,授予和限制服务主体对资源的访问权限。 例如,你能够:

  • 向服务主体授予帐户管理员或工作区管理员角色
  • 使用 Unity 目录授予服务主体对数据的访问权限。
  • 将服务主体作为成员添加到组。

可以授予 Azure Databricks 用户、服务主体和组使用服务主体的权限。 这样,用户可以以服务主体的身份运行作业,而不是以个人身份运行,从而避免作业在用户离开您组织或变更群组时失败。

使用服务主体的好处:

  • 安全性和稳定性: 自动执行作业和工作流,而无需依赖单个用户凭据来降低与用户帐户更改或离职相关的风险。
  • 灵活的权限: 允许用户、群组或其他服务主体将权限委托给某个服务主体,以此来代表他们执行作业。
  • API-Only 标识: 与常规 Databricks 用户不同,服务主体仅用于 API 访问,无法登录到 Databricks UI。

Databricks 和 Microsoft Entra ID 服务主体

服务主体可以是 Azure Databricks 托管服务主体或 Microsoft Entra ID 托管服务主体。

Azure Databricks 托管服务主体可以使用 Databricks OAuth 身份验证和个人访问令牌向 Azure Databricks 进行身份验证。 Microsoft Entra ID 托管服务主体可以使用 Databricks OAuth 身份验证和 Microsoft Entra ID 令牌向 Azure Databricks 进行身份验证。 若要详细了解如何为服务主体进行身份验证,请参阅管理服务主体的令牌

Azure Databricks 托管服务主体直接在 Azure Databricks 中进行管理。 Microsoft Entra ID 托管服务主体在 Microsoft Entra ID 中进行管理,这需要其他权限。 Databricks 建议你为 Azure Databricks 自动化使用 Azure Databricks 托管服务主体,并且建议在必须同时向 Azure Databricks 和其他 Azure 资源进行身份验证的情况下使用 Microsoft Entra ID 托管服务主体。

若要创建 Azure Databricks 托管服务主体,请跳过本部分并继续阅读谁可以管理和使用服务主体?

若要在 Azure Databricks 中使用 Microsoft Entra ID 托管服务主体,管理员用户必须在 Azure 中创建 Microsoft Entra ID 应用程序。 若要创建 Microsoft Entra ID 托管服务主体,请参阅 MS Entra 服务主体身份验证

谁可以管理和使用服务主体?

若要在 Azure Databricks 中管理服务主体,必须具有以下角色之一:帐户管理员角色、工作区管理员角色,或服务主体的管理员或用户角色。

  • 帐户管理员可以将服务主体添加到帐户,并为他们分配管理员角色。 只要工作区使用联合身份验证,他们也可以向服务主体分配对工作区的访问权限。
  • 工作区管理员可以将服务主体添加到 Azure Databricks 工作区,为他们分配工作区管理员角色,并管理对工作区中对象和功能的访问权限,例如创建群集或访问指定的基于角色的环境的权利。
  • 服务主体管理器可以管理服务主体上的角色。 服务主体创建者将成为服务主体管理者。 帐户管理员是帐户中所有服务主体上的服务主体管理者。
  • 服务主体用户可以以服务主体身份运行作业。 作业以服务主体的标识运行,而不是以作业所有者的标识运行。 有关详细信息,请参阅管理 Databricks 作业的标识、权限和特权

具有“服务主体管理员”角色的用户不会继承“服务主体用户”角色。 如果你要使用服务主体来执行作业,则需要显式为自己分配服务主体用户角色,即使在创建服务主体之后也是如此。

有关如何授予服务主体管理员和用户角色的信息,请参阅用于管理服务主体的角色

将服务主体从 Microsoft Entra ID 租户同步到 Azure Databricks 帐户

可以使用自动标识管理(公共预览版)将Microsoft Entra ID 服务主体从 Microsoft Entra ID 租户自动同步到 Azure Databricks 帐户。 Databricks 使用 Microsoft Entra ID 作为源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 有关说明,请参阅从 Microsoft Entra ID 自动同步用户和组

SCIM 预配不支持同步服务主体。