Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo presenta il modello di gestione delle identità di Azure Databricks e offre una panoramica su come gestire utenti, gruppi ed entità servizio in Azure Databricks.
Per una prospettiva autorevole su come configurare al meglio l'identità in Azure Databricks, vedere migliori pratiche per l'identità.
Per gestire l'accesso per utenti, entità servizio e gruppi, vedere Autenticazione e controllo di accesso.
Identità in Azure Databricks
Esistono tre tipi di identità di Azure Databricks:
Utenti: identità utente riconosciute da Azure Databricks e rappresentate dagli indirizzi di posta elettronica.
Entità di servizio: identità da utilizzare con lavori, strumenti automatizzati e sistemi come script, app e piattaforme CI/CD.
Gruppi: raccolta di identità usate dagli amministratori per gestire l'accesso ai gruppi a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.
Un account Azure Databricks può avere un massimo di 10.000 utenti e principali servizio combinati e fino a 5.000 gruppi. Ogni area di lavoro può anche avere un massimo di 10.000 utenti ed entità servizio combinati come membri, insieme a un massimo di 5.000 gruppi.
Per informazioni dettagliate, vedere:
Chi può gestire le identità in Azure Databricks?
Per gestire le identità in Azure Databricks, è necessario avere uno dei ruoli seguenti:
Gli amministratori dell'account possono aggiungere, aggiornare ed eliminare utenti, entità servizio e gruppi nell'account. Possono assegnare ruoli di amministratore e concedere agli utenti l'accesso alle aree di lavoro, purché tali aree di lavoro usino la federazione delle identità.
Per stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account
Gli amministratori dell'area di lavoro possono aggiungere utenti ed entità servizio all'account Azure Databricks. Se le aree di lavoro sono abilitate per la federazione delle identità, possono anche aggiungere gruppi all'account. Gli amministratori dell'area di lavoro possono concedere agli utenti, alle entità servizio e ai gruppi l'accesso alle aree di lavoro, ma non possono eliminare utenti o entità servizio dall'account.
Gli amministratori dell'area di lavoro possono anche gestire i gruppi locali dell'area di lavoro legacy. Per altre informazioni, vedere Gestire i gruppi locali dell'area di lavoro (legacy).
I responsabili dei gruppi possono gestire l'appartenenza ai gruppi ed eliminare i gruppi. Possono anche assegnare il ruolo di manager del gruppo ad altri utenti. Gli amministratori dell'account hanno il ruolo di gestione del gruppo in tutti i gruppi nell'account. Gli amministratori dell'area di lavoro hanno il ruolo di gestione del gruppo nei gruppi di account creati. Vedere Chi può gestire i gruppi?.
I responsabili dell'entità servizio possono gestire i ruoli in un'entità servizio. Gli amministratori dell'account hanno il ruolo di gestione dell'entità servizio in tutte le entità servizio nell'account. Gli amministratori dell'area di lavoro hanno il ruolo di gestione dell'entità servizio nelle entità servizio create. Per ulteriori informazioni, vedere Ruoli per la gestione delle entità di servizio.
Abilitare la federazione delle identità
La maggior parte delle aree di lavoro è abilitata per la federazione delle identità per impostazione predefinita. Databricks ha iniziato ad abilitare automaticamente le nuove aree di lavoro per la federazione delle identità e il catalogo Unity il 9 novembre 2023, con un'implementazione graduale tra gli account. Se l'area di lavoro è abilitata per la federazione delle identità per impostazione predefinita, non può essere disabilitata. Per altre informazioni, vedere Abilitazione automatica del catalogo Unity.
Per abilitare la federazione delle identità in un'area di lavoro, un amministratore dell'account deve abilitare l'area di lavoro per il catalogo Unity assegnando un metastore del catalogo Unity. Al termine dell'assegnazione, la federazione delle identità viene contrassegnata come Abilitata nella scheda Configurazione dell'area di lavoro nella console dell'account. Vedere Abilitare un'area di lavoro per il catalogo Unity.
In un'area di lavoro federata di identità, quando si sceglie di aggiungere un utente, un'entità servizio o un gruppo nelle impostazioni di amministratore dell'area di lavoro, è possibile selezionare un utente, un'entità servizio o un gruppo dall'account da aggiungere all'area di lavoro.
In un'area di lavoro federata non con identità non è possibile aggiungere utenti, entità servizio o gruppi dall'account.
Assegnare utenti ad Azure Databricks
Databricks consiglia di sincronizzare le identità da Microsoft Entra ID ad Azure Databricks usando la gestione automatica delle identità. La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025.
Usando la gestione automatica delle identità, è possibile cercare direttamente nelle aree di lavoro federate di identità gli utenti, le entità servizio e i gruppi di Microsoft Entra ID e aggiungerli all'area di lavoro e all'account Azure Databricks. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Per istruzioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.
È anche possibile configurare il provisioning JIT (Just-In-Time) per creare automaticamente nuovi account utente da Microsoft Entra IDr al primo accesso. Vedere Provisioning automatico degli utenti (JIT).
Assegnare utenti alle aree di lavoro
Per consentire a un utente, a un'entità servizio o a un gruppo di lavorare in un'area di lavoro di Azure Databricks, un amministratore dell'account o un amministratore dell'area di lavoro deve assegnarli a un'area di lavoro. È possibile assegnare l'accesso all'area di lavoro a utenti, entità servizio e gruppi presenti nell'account, purché l'area di lavoro sia abilitata per la federazione delle identità.
Gli amministratori dell'area di lavoro possono anche aggiungere un nuovo utente, un'entità servizio o un gruppo direttamente a un'area di lavoro. Questa azione aggiunge automaticamente l'utente, l'entità servizio o il gruppo scelto all'account e li assegna a tale area di lavoro specifica.
Per le aree di lavoro che non sono abilitate per la federazione delle identità, gli amministratori dell'area di lavoro gestiscono gli utenti, le entità servizio e i gruppi interamente all'interno dell'ambito dell'area di lavoro. Gli utenti e le entità servizio aggiunti alle aree di lavoro federate non con identità vengono aggiunti automaticamente all'account. Se l'utente dell'area di lavoro condivide un nome utente (indirizzo di posta elettronica) con un utente account o un amministratore già esistente, tali utenti vengono uniti. I gruppi aggiunti alle aree di lavoro federate non con identità sono gruppi legacy locali dell'area di lavoro che non vengono aggiunti all'account.
Per istruzioni dettagliate, consultare:
- Aggiungere utenti a un'area di lavoro
- Aggiungere entità servizio a un'area di lavoro
- Aggiungere gruppi a un'area di lavoro
Condivisione di dashboard con gli utenti dell'account
Gli utenti possono condividere i dashboard pubblicati con altri utenti nell'account Azure Databricks, anche se tali utenti non sono membri dell'area di lavoro. Usando la gestione automatica delle identità, gli utenti possono condividere dashboard con qualsiasi utente in Microsoft Entra ID, che aggiunge l'utente all'account Azure Databricks al momento dell'accesso. Gli utenti nell'account Azure Databricks che non sono membri di alcuna area di lavoro sono equivalenti agli utenti di sola visualizzazione in altri strumenti. Possono visualizzare gli oggetti che sono stati condivisi con essi, ma non possono modificare gli oggetti. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo. Per altre informazioni, vedere Gestione di utenti e gruppi.
Assegnazione di ruoli, diritti e autorizzazioni
Gli amministratori possono assegnare ruoli, diritti e autorizzazioni a utenti, entità servizio e gruppi. Per ulteriori informazioni, vedere Panoramica del controllo di accesso.
Autenticazione unica (SSO)
L'accesso Single Sign-On (SSO) tramite login supportato da Microsoft Entra ID è disponibile in Azure Databricks per tutti i clienti per impostazione predefinita, sia per la console dell'account che per le aree di lavoro.
Consultare Accesso Single Sign-On con Microsoft Entra ID.