Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важное
Эта функция доступна в общедоступной предварительной версии.
В этой статье описывается, как настроить Azure Databricks для синхронизации пользователей, служебных принципалов и групп из Microsoft Entra ID с помощью автоматического управления удостоверениями.
Обзор автоматического управления идентификацией
Автоматическое управление удостоверениями позволяет легко добавлять пользователей, служебных субъектов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Если автоматическое управление удостоверениями включено, вы можете напрямую выполнять поиск в федеративных рабочих областях для пользователей Microsoft Entra ID, субъектов-служб и групп и добавлять их в рабочую область. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства в группах учитываются в Azure Databricks.
Пользователи также могут совместно использовать панели мониторинга с любым пользователем, субъектом-службой или группой в идентификаторе Microsoft Entra. Эти пользователи автоматически добавляются в учетную запись Azure Databricks при входе. Они не добавлены в качестве членов в рабочую область, в которой находится панель мониторинга. Пользователи Microsoft Entra ID, у которых нет доступа к рабочей области, получают доступ к копии панели мониторинга только для просмотра, опубликованной с внедренными учетными данными. Дополнительные сведения о совместном использовании панелей мониторинга см. в разделе "Общий доступ к панели мониторинга".
Автоматическое управление удостоверениями не поддерживается в федеративных рабочих пространствах, не имеющих удостоверений. Дополнительные сведения о федерации удостоверений см. в разделе «Включить федерацию удостоверений».
Состояния пользователей и групп
При включении автоматического управления удостоверениями пользователи, основные службы и группы из Microsoft Entra ID отображаются на консоли учетной записи и на странице настроек администратора рабочей области. Их статус отражает их активность и состояние в контексте связки Microsoft Entra ID и Azure Databricks.
| Состояние | Значение |
|---|---|
| Неактивное: нет использования | Учетная запись в Microsoft Entra ID, которая еще не входила в Azure Databricks. |
| Активен | Идентификация активна в Azure Databricks. |
| Активный: удален из EntraID | Ранее было активно в Azure Databricks и было удалено из Microsoft Entra ID. |
| Деактивировано | Учетная запись была деактивирована в Microsoft Entra ID. |
Отключенные пользователи и пользователи, удаленные из идентификатора Microsoft Entra, не могут войти в Azure Databricks или пройти проверку подлинности в API Azure Databricks. В качестве наилучшей практики безопасности рекомендуется отменить личные маркеры доступа для деактивированных пользователей и активных пользователей, удалённых из EntraID.
Группы и служебные учетные записи, управляемые с помощью автоматического управления удостоверениями, отображаются в качестве внешних в Azure Databricks. Внешние идентификаторы нельзя обновить с помощью пользовательского интерфейса Azure Databricks.
Автоматическое управление удостоверениями против предоставления SCIM
При включении автоматического управления удостоверениями все пользователи, группы и членства в группах синхронизируются из Microsoft Entra ID в Azure Databricks, поэтому предоставление SCIM не требуется. Если корпоративное приложение SCIM работает параллельно, приложение SCIM продолжает управлять пользователями и группами, настроенными в корпоративном приложении Microsoft Entra ID. Он не осуществляет управление удостоверениями Microsoft Entra ID, которые не были добавлены с помощью SCIM-провизирования.
Databricks рекомендует использовать автоматическое управление удостоверениями. В таблице ниже сравниваются функции автоматического управления идентификацией с функциями подготовки по стандарту SCIM.
| Функции | Автоматическое управление идентификацией | Управление ресурсами SCIM |
|---|---|---|
| Синхронизация пользователей | ✓ | ✓ |
| Группы синхронизации | ✓ | ✓ (Только прямые члены) |
| Синхронизация вложенных групп | ✓ | |
| Синхронизация служебных учетных записей | ✓ | |
| Настройка и управление приложением Microsoft Entra ID | ✓ | |
| Требуется выпуск Microsoft Entra ID Premium | ✓ | |
| Требуется роль администратора облачных приложений Microsoft Entra ID | ✓ | |
| Требуется интеграция удостоверений | ✓ |
Внешний идентификатор Azure Databricks и идентификатор объекта Microsoft Entra ID
Azure Databricks использует идентификатор ObjectId Microsoft Entra в качестве основного связующего элемента для синхронизации удостоверений и членства в группах, а также автоматически обновляет поле externalId в соответствии с ObjectId в рамках ежедневного повторяющегося процесса. В некоторых случаях могут по-прежнему возникать несоответствия или дублирующиеся удостоверения, особенно если пользователь, служебный принципал или группа добавляются в Azure Databricks через автоматическое управление удостоверениями и другой метод, например предоставление SCIM. В таких ситуациях могут отображаться повторяющиеся записи, одна из которых имеет статус Неактивно: без использования. Пользователь активен и может войти в Azure Databricks.
Эти повторяющиеся удостоверения можно объединить, предоставив внешний идентификатор в Azure Databricks. Используйте API пользователей учетных записей, принципалов служб учетных записей или групп учетных записей, чтобы обновить принципала для добавления их идентификатора Microsoft Entra в поле objectId.
Поскольку externalId может обновляться в процессе времени, Azure Databricks настоятельно рекомендует не использовать рабочие процессы, которые зависят от поля externalId.
Включение автоматического управления идентификацией
Администраторы учетных записей могут включить автоматическое управление удостоверениями с помощью страницы с предварительным просмотром.
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните "Предварительные просмотры".
- Переключение автоматического управления удостоверениями на включено.
После включения учетной записи добавьте и удалите пользователей, субъектов-служб и группы из идентификатора Microsoft Entra, следуйте приведенным ниже инструкциям:
- Добавление пользователей в учетную запись
- Добавление служебных принципалов в учетную запись
- Добавление групп в учетную запись
Если автоматическое управление удостоверениями включено, администраторы учетных записей могут отключить его с помощью страницы "Предварительные версии". При отключении пользователи, учетные записи служб и группы, ранее настроенные в Azure Databricks, остаются, но больше не синхронизируются с Microsoft Entra ID. Вы можете удалить или отключить этих пользователей в консоли учетной записи.
Аудит учетных записей пользователей
Вы можете запросить таблицу system.access.audit, чтобы проверить, какие пользователи вошли в рабочую область. Например:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Для получения дополнительной информации об этой таблице system.access.audit, см. справочник системной таблицы журнала аудита.