Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлена модель управления удостоверениями Azure Databricks и описываются общие принципы управления пользователями, группами и субъектами-службами в Azure Databricks.
Рекомендации по настройке удостоверений в Azure Databricks см . в статье "Рекомендации по настройке удостоверений".
Сведения об управлении доступом для пользователей, субъектов-служб и групп см. в статье "Проверка подлинности и управление доступом".
Удостоверения Azure Databricks
Существует три типа удостоверений Azure Databricks.
Пользователи: удостоверения пользователей, распознанные Azure Databricks и представленные адресами электронной почты.
Субъекты-службы: удостоверения, предназначенные для использования с заданиями, автоматизированными инструментами и системами, например скриптами, приложениями и платформами CI/CD.
Группы: коллекция удостоверений, используемых администраторами для управления групповым доступом к рабочим областям, данным и другим защищаемым объектам. Все удостоверения Databricks можно назначать как члены групп.
Учетная запись Azure Databricks может содержать не более 10 000 объединенных пользователей и субъектов-служб, а также до 5 000 групп. Каждая рабочая область также может содержать не более 10 000 объединенных пользователей и субъектов-служб в качестве участников, а также до 5000 групп.
Подробная информация доступна в следующих статьях:
Кто может управлять удостоверениями в Azure Databricks?
Для управления удостоверениями в Azure Databricks необходимо иметь одну из следующих ролей:
Администраторы учетных записей могут добавлять, обновлять и удалять пользователей, субъектов-служб и группы в учетной записи. Они могут назначать роли администратора и предоставлять пользователям доступ к рабочим областям, если эти рабочие области используют федерацию удостоверений.
Чтобы установить первого администратора учетной записи, см. статью "Установка первого администратора учетной записи"
Администраторы рабочей области могут добавлять пользователей и субъектов-служб в учетную запись Azure Databricks. Если их рабочие области включены для федерации удостоверений, они также могут добавлять группы в учетную запись. Администраторы рабочей области могут предоставлять пользователям, субъектам-службам и группам доступ к рабочим областям, но не могут удалять пользователей или субъектов-служб из учетной записи.
Администраторы рабочей области также могут управлять устаревшими локальными группами рабочей области. Дополнительные сведения см. в разделе "Управление локальными группами рабочей области ( устаревшей версией)".
Руководители групп могут управлять членством в группах и удалять группы. Они также могут назначать роль диспетчера групп другим пользователям. Администраторы учетных записей имеют роль диспетчера групп для всех групп в учетной записи. Администраторы рабочей области имеют роль диспетчера групп в группах учетных записей, которые они создают. См. раздел "Кто может управлять группами?".
Руководители субъектов-служб могут управлять ролями в субъекте-службе. Администраторы учетных записей имеют роль диспетчера субъектов-служб для всех субъектов-служб в учетной записи. Администраторы рабочей области имеют роль диспетчера субъектов-служб для субъектов-служб, которые они создают. Дополнительные сведения см. в разделе "Роли" для управления субъектами-службами.
Включение федерации удостоверений
Большинству рабочих пространств предоставлена возможность федерации удостоверений по умолчанию. Databricks начал включать новые рабочие области для федерации удостоверений и каталога Unity автоматически 9 ноября 2023 г. с развертыванием постепенного развертывания между учетными записями. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".
Чтобы включить федерацию удостоверений в рабочей области, администратор учетной записи должен включить рабочую область каталога Unity, назначив хранилище метаданных каталога Unity. По завершении задания федерация удостоверений помечается как Включено на вкладке "Конфигурация рабочей области" в консоли учетной записи. См. раздел Включение рабочей области для каталога Unity.
В федеративной рабочей области удостоверения при добавлении пользователя, субъекта-службы или группы в параметрах администратора рабочей области можно выбрать пользователя, субъекта-службы или группу из учетной записи, чтобы добавить ее в рабочую область.
В федеративной рабочей области, отличной от удостоверений, у вас нет возможности добавлять пользователей, субъектов-служб или группы из учетной записи.
Назначение пользователей в Azure Databricks
Databricks рекомендует синхронизировать удостоверения из идентификатора Microsoft Entra с Azure Databricks с помощью автоматического управления удостоверениями (общедоступная предварительная версия).
С помощью автоматического управления удостоверениями можно осуществлять прямой поиск в рабочих областях федерации удостоверений для пользователей, служебных принципалов и групп Microsoft Entra ID, а также добавлять их в рабочую область и учетную запись Azure Databricks. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Подробные инструкции см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.
Вы также можете настроить JIT-предоставление для автоматического создания новых учетных записей пользователей из Microsoft Entra ID при их первом входе в систему. См. Автоматическая подготовка пользователей (JIT).
Назначьте пользователей в рабочие области
Чтобы пользователь, субъект-служба или группа работали в рабочей области Azure Databricks, администратор учетной записи или администратор рабочей области должны назначить их рабочей области. Вы можете назначить доступ к рабочей области пользователям, служебным пользователям и группам, которые существуют в учетной записи, если рабочая область включена для федерации учетных данных.
Администраторы рабочей области также могут добавлять нового пользователя, субъекта-службы или группу непосредственно в рабочую область. Это действие автоматически добавляет выбранного пользователя, служебную учетную запись или группу в аккаунт и назначает их на определенную рабочую область.
Для тех рабочих областей, которые не поддерживают федерацию удостоверений, администраторы рабочих областей управляют пользователями, служебными субъектами и группами полностью в рамках рабочей области. Пользователи и субъекты-службы, добавленные в федеративные рабочие области без удостоверений, автоматически добавляются в учетную запись. Если пользователь рабочей области использует имя пользователя (адрес электронной почты) с пользователем учетной записи или администратором, который уже существует, эти пользователи объединяются. Группы, добавленные в федеративные рабочие области без удостоверений, являются устаревшими локальными группами рабочей области, которые не добавляются в учетную запись.
Подробные инструкции см. в следующих разделах:
- Добавление пользователей в рабочую область
- Добавление субъектов-служб в рабочую область
- Добавление групп в рабочую область
Совместное использование панелей мониторинга с пользователями учетной записи
Пользователи могут совместно использовать опубликованные панели мониторинга с другими пользователями в учетной записи Azure Databricks, даже если эти пользователи не являются членами своей рабочей области. С помощью автоматического управления удостоверениями пользователи могут совместно использовать панели мониторинга с любым пользователем в идентификаторе Microsoft Entra, который добавляет пользователя в учетную запись Azure Databricks при входе. Пользователи в учетной записи Azure Databricks, которые не являются членами любой рабочей области, эквивалентны пользователям только для просмотра в других средствах. Они могут просматривать объекты, к которым им предоставлен общий доступ, но они не могут изменять объекты. Пользователи в учетной записи Azure Databricks не имеют доступа по умолчанию к рабочей области, данным или вычислительным ресурсам. Дополнительные сведения см. в разделе "Управление пользователями и группами" для общего доступа к панелям мониторинга.
Назначение ролей, прав и разрешений
Администраторы могут назначать роли, права и разрешения пользователям, субъектам-службам и группам. Дополнительные сведения см. в статье Общие сведения о контроле доступа.
Единый вход (SSO)
Единый вход (SSO) в форме входа с поддержкой идентификатора Microsoft Entra доступен в Azure Databricks по умолчанию для всех клиентов, как для консоли учетной записи, так и для рабочих областей.
См . единый вход с помощью идентификатора Microsoft Entra.