Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Автоматическое управление идентификационными данными позволяет без проблем добавлять пользователей, субъекты-службы и группы из Microsoft Entra ID в Azure Databricks. При включении автоматического управления удостоверениями можно напрямую выполнять поиск в федеративных рабочих областях удостоверений для пользователей, субъектов-служб и групп и добавлять их в рабочую область. Azure Databricks использует Microsoft Entra ID в качестве источника записи, поэтому любые изменения членства в группах учитываются в Azure Databricks.
Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г.
Пользователи также могут предоставлять доступ к панелям мониторинга любому пользователю, сервисному субъекту или группе в вашем поставщике удостоверений. При предоставлении доступа эти пользователи, служебные принципалы и члены групп автоматически добавляются в учетную запись Azure Databricks при входе. Они не добавлены в качестве членов в рабочую область, в которой находится панель мониторинга. Пользователям, у которых нет доступа к рабочей области, предоставляется доступ к копии панели мониторинга, опубликованной с общими разрешениями на доступ к данным. Дополнительные сведения о совместном использовании панелей мониторинга см. в разделе "Общий доступ к панели мониторинга".
Подготовка по принципу 'точно в срок' всегда активирована, когда включено автоматическое управление удостоверениями, и вы не можете отключить её. Для новых пользователей учетные записи автоматически создаются в Azure Databricks при первом входе в систему. См. Автоматическая подготовка пользователей (JIT).
Автоматическое управление удостоверениями не поддерживается в федеративных рабочих пространствах, не имеющих удостоверений. Дополнительные сведения о федерации удостоверений см. в статье "Федерация удостоверений".
Состояния пользователей и групп
При включении автоматического управления удостоверениями пользователи, основные службы и группы из Microsoft Entra ID отображаются на консоли учетной записи и на странице настроек администратора рабочей области. Их статус отражает их активность и состояние в контексте связки Microsoft Entra ID и Azure Databricks.
| Status | Meaning |
|---|---|
| Неактивное: нет использования | Для пользователей и субъектов-служб: учетная запись в поставщике удостоверений, которая еще не использовалась для входа в Azure Databricks. Для групп: группа не была добавлена в рабочую область. |
| Активный | Идентификация активна в Azure Databricks. |
| Активно: Удалено из [IdP] | Ранее был активен в Azure Databricks и был удалён из поставщика удостоверяющих данных. Azure Databricks автоматически деактивирует этих пользователей во время следующей синхронизации удостоверений. Не удается выполнить вход или проверку подлинности в API. |
| Деактивировано | Учетная запись деактивирована у поставщика удостоверений, или Azure Databricks автоматически деактивировал эту учетную запись после ее удаления у поставщика удостоверений. Не удается выполнить вход или проверку подлинности в API. |
| Отклонено | Удостоверение добавлено в список запретов доступа к учетной записи. Azure Databricks переводит идентификатор в неактивное состояние. Не удается войти, использовать личные маркеры доступа или отображаться в диалоговых окнах общего доступа. См. раздел Запрет доступа идентификаторам к вашей учетной записи. |
Метка состояния «Активен: удалён из [IdP]» содержит имя вашего поставщика удостоверений. Например, активный: удален из EntraID.
Tip
В соответствии с рекомендациями по безопасности Databricks рекомендует отзывать персональные токены доступа для пользователей со статусом Деактивирован и Активен: удалён из [IdP]. Когда пользователей удаляют из поставщика удостоверений, Azure Databricks автоматически деактивирует их учетные записи, но не отзывает токены автоматически.
Идентификаторы, управляемые с автоматическим управлением идентификацией, отображаются как внешние в Azure Databricks. Внешние идентификаторы нельзя обновить с помощью пользовательского интерфейса Azure Databricks.
Общий доступ и назначение разрешений
Если включено автоматическое управление идентификационными данными, вы можете выбирать пользователей и субъекты-службы из Microsoft Entra ID при предоставлении общего доступа или назначении разрешений во всей среде Azure Databricks.
В группах поведение общего доступа отличается в зависимости от типа ресурса:
- Ресурсы уровня учетной записи: группы доступны при совместном использовании или назначении разрешений для ресурсов на уровне учетной записи, таких как Databricks Apps, объекты каталога Unity, панели мониторинга ИИ/BI, Genie Spaces и назначение рабочей области.
- Ресурсы уровня рабочей области. Для совместного использования ресурсов уровня рабочей области (например, записных книжек, заданий, хранилищ SQL, оповещений и файлов) с группами администраторы рабочих областей должны сначала добавить группу в рабочую область.
Автоматическое управление удостоверениями против предоставления SCIM
Если включено автоматическое управление удостоверениями, все пользователи, группы и сведения о членстве в группах синхронизируются из вашего поставщика удостоверений в Azure Databricks, поэтому SCIM-подготовка не требуется. Если SCIM-подготовка учетных записей продолжает работать параллельно, SCIM по-прежнему управляет учетными записями, добавленными с помощью SCIM-подготовки. Он не управляет учетными записями, которые не были добавлены с помощью SCIM-подготовки.
Для подключения SCIM требуется роль администратора облачных приложений и отдельное приложение Microsoft Entra ID.
Azure Databricks рекомендует использовать автоматическое управление удостоверениями. В таблице ниже сравниваются функции автоматического управления идентификацией с функциями подготовки по стандарту SCIM.
| Features | Автоматическое управление идентификацией | Управление ресурсами SCIM |
|---|---|---|
| Синхронизация пользователей | ✓ | ✓ |
| Группы синхронизации | ✓ | ✓ (Только прямые члены) |
| Синхронизация вложенных групп | ✓ | |
| Синхронизация служебных учетных записей | ✓ | |
| Доступно по умолчанию в Azure Databricks | ✓ | |
| Работает со всеми выпусками Идентификатора Microsoft Entra | ✓ | |
| Доступно без административных ролей для Microsoft Entra ID | ✓ | |
| Требуется интеграция удостоверений | ✓ |
внешний идентификатор Azure Databricks и идентификатор объекта Microsoft Entra ID
Azure Databricks использует идентификатор Microsoft Entra ObjectId в качестве авторитетной ссылки для синхронизации удостоверений и членства в группах, а также автоматически обновляет поле externalId в соответствии с ObjectId в ежедневном повторяющемся потоке. Databricks рекомендует не смешивать методы подготовки. Добавление одного удостоверения с помощью автоматического управления удостоверениями и провижинга SCIM приводит к повторяющимся записям и конфликтам разрешений. Используйте автоматическое управление удостоверениями в качестве единственного источника истины, с членством в группах, отражающим Microsoft Entra ID.
Эти повторяющиеся удостоверения можно объединить, предоставив внешний идентификатор в Azure Databricks. Используйте API пользователей учетных записей, принципалов служб учетных записей или групп учетных записей, чтобы обновить принципала для добавления их идентификатора Microsoft Entra в поле objectId.
Так как externalId может обновляться со временем, Azure Databricks настоятельно рекомендует не использовать пользовательские рабочие процессы, зависящие от поля externalId.
Как работает синхронизация членства в группах
Когда включено автоматическое управление идентификационными данными, Azure Databricks обновляет сведения о членстве пользователей в группах из вашего поставщика удостоверений при выполнении действий, запускающих проверки аутентификации и авторизации, например при входе через браузер, аутентификации с помощью токенов или запуске заданий. Это гарантирует, что разрешения, назначаемые через группы в Azure Databricks, остаются синхронизированными с изменениями в вашем поставщике удостоверений.
Когда Azure Databricks обновляет членство в группах, он получает сведения о транзитивном (вложенном) членстве в группах из поставщика удостоверений. Это означает, что если пользователь входит в группу A, а группа A является членом группы B, Azure Databricks распознаёт пользователя как члена обеих групп. Azure Databricks получает информацию о членстве только для групп, добавленных в Azure Databricks. Не синхронизирует и не восстанавливает полную иерархию родительских групп от поставщика удостоверений.
Azure Databricks обновляет членство в группах по разным расписаниям в зависимости от действия:
- Входы через браузер: членство в группах синхронизируется, если с момента последней синхронизации прошло более 5 минут.
- Другие действия (например, проверка подлинности маркера или выполнение заданий): синхронизация членства в группах, если с момента последней синхронизации прошло более 40 минут.
Вложенные группы и субъекты-службы
При включении автоматического управления удостоверениями члены вложенных групп наследуют разрешения от предоставленных групп. Разрешения, назначенные группе-родителю, применяются ко всем пользователям и служебным субъектам, принадлежащим этой группе, включая тех, кто добавлен непосредственно в группу, и тех, которые принадлежат через членство в вложенных группах. Однако вложенные группы и служебные учетные записи в группе не ссылаются автоматически в учетной записи, за исключением деления доступом к панели мониторинга.
Видимость вложенной группы
Вложенные группы отображаются в Azure Databricks. Рассмотрим дочернюю группу, Group-Cкоторая является членом родительской группы Group-P. При добавлении Group-P в рабочую область все удостоверения в Group-P и Group-C получают доступ к рабочей области. В интерфейсах администратора учетной записи и администратора рабочей области Group-C отображается как участник на странице сведений о членах группы Group-P. На странице сведений о группе отображается только первый уровень вложения.
Соображения по вложенным группам
- Доступ к рабочей области. Вложенные группы и субъекты-службы не должны быть непосредственно добавлены в рабочую область для получения доступа. Если родительская группа добавляется в рабочую область, все члены этой группы могут получить доступ к рабочей области.
- Ресурсы уровня учетной записи: группы доступны при совместном использовании или назначении разрешений для ресурсов на уровне учетной записи, таких как Databricks Apps, объекты каталога Unity, панели мониторинга ИИ/BI, Genie Spaces и назначение рабочей области.
- Ограничения группы учетных записей и субъекта-службы: вложенные группы и субъекты-службы, которые не подготовлены непосредственно для учетной записи, не учитываются в отношении ограничений группы учетных записей. Только группы, которые явно предоставлены учетной записи, учитываются при подсчете в отношении ограничений.
Например, в идентификаторе Microsoft Entra у вас есть следующая структура группы:
-
Marketing-All(родительская группа)-
Marketing-US(дочерняя группа) -
Marketing-EU(дочерняя группа) -
Marketing-APAC(дочерняя группа)
-
Если администратор рабочей области добавляет Marketing-All в рабочую область:
- Доступ предоставлен: все члены
Marketing-Allи все дочерние группы (Marketing-US,Marketing-EU, )Marketing-APACмогут получить доступ к рабочей области. Например, пользователи и служебные принципы вMarketing-APACмогут аутентифицироваться и использовать рабочую область. - Подготовка учетной записи:
Marketing-Allвыделен для учетной записи Azure Databricks и учитывается в лимитах группы учетных записей. Дочерние группы не учитываются в лимитах, если вы их не добавляете явно. - Ресурсы уровня учетной записи:
Marketing-Allи все дочерние группы (Marketing-US,Marketing-EU,Marketing-APAC) доступны при совместном использовании или назначении разрешений для ресурсов на уровне учетной записи, таких как панели мониторинга и объекты в каталоге Unity.
Включение автоматического управления идентификацией
Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Администраторы учетных записей могут включить автоматическое управление идентификацией в консоли учетной записи.
Войдите в консоль учетной записи в качестве администратора учетной записи.
На боковой панели нажмите кнопку "Безопасность".
На вкладке "Подготовка пользователей" переключите автоматическое управление удостоверениями на "Включено".
Изменения вступают в силу пять–десять минут.
После активации вашей учетной записи, чтобы добавлять и удалять пользователей, субъекты-службы и группы в вашем поставщике удостоверений, следуйте инструкциям ниже:
- Добавление пользователей в учетную запись
- Добавление служебных принципалов в учетную запись
- Добавление групп в учетную запись
Чтобы перейти с подготовки пользователей через SCIM, см. Переход на автоматическое управление идентификационными данными.
Отключение автоматического управления удостоверениями
При отключении автоматического управления идентификацией:
- Пользователи и субъекты-служб останутся: они сохранят доступ, но их синхронизация с вашим поставщиком удостоверений будет прекращена. Вы можете вручную удалить или отключить пользователей и служебные учетные записи в консоли аккаунта после отключения автоматического управления удостоверениями.
- Группы теряют членство: группы остаются в Azure Databricks, но все члены группы удаляются.
- Нет синхронизации с поставщиком удостоверений. Изменения в поставщике удостоверений (например, удаления пользователей или обновления групп) не отражаются в Azure Databricks.
- Нет наследования разрешений: пользователи, управляемые системами автоматического управления идентификацией, не могут наследовать права от родительских групп. Это влияет на вложенные модели разрешений на основе групп.
Если вы планируете отключить автоматическое управление удостоверениями, Databricks рекомендует заранее настроить подготовку SCIM в качестве резервной копии. Затем SCIM может взять на себя синхронизацию удостоверений и групп.
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели нажмите кнопку "Безопасность".
- На вкладке "Подготовка пользователей" переключите автоматическое управление удостоверениями на "Отключено".
Запретить субъектам доступ к вашей учетной записи
Список блокировки доступа к учётной записи определяет, каким учётным записям из вашего поставщика удостоверений разрешён доступ к учётной записи Azure Databricks. Администраторы учетных записей могут добавлять определенных пользователей, групп или субъектов-служб в список запретов, чтобы заблокировать доступ. Членство в списке блокировки наследуется: если вы блокируете группу, все её участники, включая участников вложенных групп, также блокируются.
Инструкции по настройке и полное описание принципа работы списка запретов см. в разделе «Запретить определенным субъектам доступ к вашей учетной записи».
Аудит событий автоматического управления удостоверениями
При включении автоматического управления удостоверениями можно использовать журналы аудита для отслеживания операций идентификации, выполняемых процессом автоматического управления удостоверениями.
Теги журнала аудита для событий автоматизированного управления идентификационными данными
Автоматическое управление удостоверениями использует существующие события журнала аудита, но добавляет теги для идентификации операций, выполняемых автоматически процессом синхронизации удостоверений:
-
endpoint: "autoUserCreation" — указывает на то, что событие было сгенерировано в процессе автоматического управления идентификационными данными. Этот тег отображается в операциях пользователя (, ,
addactivateUser,deactivateUser), групповых операциях (updateUsercreateGroup,updateGroup,removeGroup) и операциях членства в группах (addPrincipalToGroup, ).removePrincipalFromGroup -
groupMembershipType: "IdentityProvider" — отображается в операциях с членством в группах (
addPrincipalToGroup,removePrincipalFromGroup), чтобы указать, что членство в группе было синхронизировано от вашего поставщика удостоверений.
Запрос событий автоматического аудита управления удостоверениями
Вы можете выполнить запрос к таблице system.access.audit, чтобы отслеживать операции автоматического управления учетными записями. Рассмотрим пример.
Отслеживание входов пользователей:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Отслеживайте пользователей, созданных с помощью автоматического управления идентификационными данными:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Отслеживайте членство в группах, синхронизированное из вашего поставщика удостоверений:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Для получения дополнительной информации об этой таблице system.access.audit, см. справочник системной таблицы журнала аудита.
Известные проблемы и ограничения
В этом разделе описано поведение, которое может быть не сразу заметным при работе с автоматизированным управлением идентификацией.
Создание группы и назначение рабочей области
Когда автоматическое управление удостоверениями синхронизирует группы из поставщика удостоверений, оно автоматически создает их на уровне учетной записи. Эти события отображаются в журналах аудита в виде createGroup операций, помеченных тегом endpoint: "autoUserCreation". Создание группы на уровне учетной записи выполняется автоматически, но назначение рабочей области является отдельным шагом вручную. Члены синхронизированной группы получают доступ к рабочей области только после того, как администратор учетной записи назначает группе рабочей области. Автоматическое управление удостоверениями контролирует членство в группах, а администратор управляет доступом к рабочему пространству.
Синхронизация имен групп не является проактивной
Переименование группы в поставщике удостоверений не приводит к немедленному обновлению названия группы в Azure Databricks. Имя группы синхронизируется только в том случае, если администратор учетной записи открывает страницу сведений группы в консоли учетной записи. До этого группа сохраняет свое предыдущее имя в Azure Databricks.
Автоматическое управление удостоверениями не удаляет членства, синхронизированные с SCIM
Автоматическое управление удостоверениями не удаляет членства в группах, которые были изначально синхронизированы посредством SCIM-подготовки. Это сделано намеренно, чтобы избежать нарушения существующих заданий и разрешений, зависящих от этих членств. Чтобы удалить устаревшие членства, синхронизированные с использованием SCIM, используйте SCIM API для их ручной очистки.
Подготовка субъекта-службы при первом использовании
Добавление группы, содержащей субъекты-службы, в Azure Databricks не подготавливает эти субъекты-службы. Azure Databricks настраивает служебных принципалов только при первом использовании, например, для проверки подлинности токена или выполнения заданий. Пока субъект-служба не проходит проверку подлинности или запускает задание, он не отображается в Azure Databricks.
Поддержка кросс-арендных каталогов Entra ID отсутствует.
Автоматическое управление идентификацией не поддерживает межорганизационные каталоги Microsoft Entra ID. Если требуется межтенантное управление удостоверениями, настройте подготовку SCIM с помощью совместной работы Microsoft Entra B2B.
Вложенные группы и учетные записи служб через API и Terraform
Вложенные группы и служебные принципалы, которые не подготовлены непосредственно в учетной записи Azure Databricks, видны в интерфейсе консоли учетной записи, но не могут быть получены или управляться с помощью API Databricks или Terraform. Чтобы управлять ими программно, явно выделяйте их для учетной записи.
Разрешения переносятся при миграции из SCIM в автоматическое управление удостоверениями
При миграции от провизирования SCIM к автоматическому управлению идентификацией группы продолжают оставаться теми же внутренними объектами Azure Databricks. Разрешения каталога Unity, назначения рабочих областей и другие параметры автоматически переносятся. Во время миграции вы не теряете никаких разрешений.