Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница предлагает рекомендации о том, как оптимальным образом настроить управление идентичностью в Azure Databricks. В ней содержится руководство по миграции в федерацию удостоверений, которая позволяет управлять всеми пользователями, группами и субъектами-службами в учетной записи Azure Databricks.
Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".
Сведения о безопасном доступе к API Azure Databricks см. в статье "Управление разрешениями маркера личного доступа".
Настройка пользователей, субъектов-служб и групп
Существует три типа удостоверений Azure Databricks.
- Пользователи: идентификаторы пользователей, распознаваемые Azure Databricks и представленные адресами электронной почты.
- Субъекты-службы: идентификаторы для использования в заданиях, автоматизированных инструментов и систем, таких как скрипты, приложения и платформы CI/CD.
- Группы: группы упрощают управление удостоверениями, что упрощает назначение доступа к рабочим областям, данным и другим защищаемым объектам.
Databricks рекомендует создавать сервисные принципы для выполнения производственных заданий или изменения производственных данных. Если все процессы, воздействующие на производственные данные, выполняются с использованием служебных участников, интерактивным пользователям не нужны права на запись, удаление или изменение в производственной среде. Это устраняет риск случайно перезаписи рабочих данных пользователем.
Рекомендуется назначать доступ к рабочим областям и политикам управления доступом в каталоге Unity группам, а не пользователям по отдельности. Все удостоверения Azure Databricks можно назначать в качестве членов групп, и члены наследуют разрешения, назначенные их группам.
Ниже приведены административные роли, которые могут управлять удостоверениями Azure Databricks:
- Администраторы учетных записей могут добавлять пользователей, субъектов-служб и группы в учетную запись и назначать им роли администратора. Они могут предоставить пользователям доступ к рабочим областям, если эти рабочие области используют федерацию удостоверений.
- Администраторы рабочей области могут добавлять пользователей, субъектов-служб в учетную запись Azure Databricks. Они также могут добавлять группы в учетную запись Azure Databricks, если в их рабочих областях включена федерация идентификации. Администраторы рабочей области могут предоставлять пользователям, субъектам-службам и группам доступ к рабочим областям.
- Руководители групп могут управлять членством в группах. Они также могут назначать других пользователей роль диспетчера групп.
- Руководители субъектов-служб могут управлять ролями в субъекте-службе.
Databricks рекомендует иметь ограниченное количество администраторов учетных записей для каждой учетной записи и администраторов рабочих областей в каждой рабочей области.
Автоматическая синхронизация пользователей и групп из идентификатора Microsoft Entra
Вы можете добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks, не настраивая приложение в Microsoft Entra ID, с помощью автоматического управления удостоверениями. Если автоматическое управление удостоверениями включено, вы можете напрямую выполнять поиск пользователей, учетных записей служб и групп Microsoft Entra ID в федеративных рабочих областях и добавлять их в свою рабочую область. Databricks использует идентификатор Microsoft Entra в качестве источника истины, поэтому любые изменения в членстве пользователей или групп учитываются в Azure Databricks. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г.
Пользователи также могут совместно использовать панели мониторинга с любым пользователем, субъектом-службой или группой в идентификаторе Microsoft Entra. При совместном использовании эти пользователи, субъекты-службы и члены групп автоматически добавляются в учетную запись Azure Databricks при входе.
Автоматическое управление удостоверениями поддерживается только в федеративных пространствах удостоверений. Дополнительные сведения о федерации удостоверений личности см. в разделе "Автоматическое управление удостоверениями личности".
Включение федерации удостоверений
Федерация удостоверений позволяет настраивать пользователей, субъектов-служб и группы в консоли учетной записи, а затем назначать эти удостоверения для определенных рабочих областей. Это упрощает администрирование Azure Databricks и управление данными.
Databricks начал автоматически вводить в эксплуатацию новые рабочие области для федерации удостоверений и каталог Unity с 9 ноября 2023 года с постепенным расширением между учетными записями. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в статье "Начало работы с каталогом Unity".
С помощью федерации удостоверений вы настраиваете пользователей Azure Databricks, служебных принципалов и группы один раз в консоли учетной записи, а не повторяете конфигурацию отдельно в каждой рабочей области. После добавления пользователей, субъектов-служб и групп в учетную запись, им можно предоставить права на рабочие пространства. Вы можете назначить доступ удостоверений уровня учетной записи только тем рабочим областям, которые настроены для федерации удостоверений.
Чтобы включить рабочую область для федерации удостоверений, см. Федерация удостоверений. По завершении задания федерация удостоверений помечается как Включено на вкладке "Конфигурация рабочей области" в консоли учетной записи.
Федерация удостоверений на уровне идентификации включена на уровне рабочей области, и вы можете иметь сочетание рабочих областей с федерацией удостоверений и без неё. Для тех рабочих областей, которые не поддерживают федерацию удостоверений, администраторы рабочих областей управляют пользователями рабочих областей, учетными записями служб и группами полностью в пределах рабочей области (устаревшая модель). Они не могут использовать консоль учетной записи или API уровня учетной записи для назначения пользователей этой учетной записи в эти рабочие области, но они могут использовать любой из интерфейсов уровня рабочей области. При каждом добавлении нового пользователя или субъекта-службы в рабочую область с помощью интерфейсов уровня рабочей области этот пользователь или субъект-служба синхронизируется с уровнем учетной записи. Это позволяет иметь один согласованный набор пользователей и субъектов-служб в вашей учетной записи.
Однако, когда группа добавляется в федеративную рабочую область без функции идентификации с использованием интерфейсов уровня рабочей области, эта группа становится локальной группой рабочей области и не добавляется в учетную запись. Необходимо использовать группы учетных записей, а не локальные группы рабочей области. Локальные группы рабочей области не могут быть предоставлены политики управления доступом в каталоге Unity или разрешения для других рабочих областей.
Переход на федерацию удостоверений
Если вы включаете федерацию удостоверений в существующей рабочей области, сделайте следующее:
Миграция управления SCIM с уровня рабочей области на уровень учетной записи
Если у вас настроена подготовка SCIM на уровне рабочей области, необходимо настроить подготовку SCIM на уровне учетной записи и отключить средство подготовки SCIM на уровне рабочей области. SCIM уровня рабочей области продолжит создавать и обновлять локальные группы рабочей области. Databricks рекомендует использовать группы учетных записей вместо локальных групп рабочей области, чтобы воспользоваться преимуществами централизованного назначения рабочей области и управления доступом к данным с помощью каталога Unity. SCIM на уровне рабочей области также не распознает группы учетных записей, назначенные вашей федеративной рабочей области, и вызовы API SCIM на уровне рабочей области будут неудачными, если они включают группы учетных записей. Дополнительные сведения об отключении SCIM уровня рабочей области см. в разделе «Миграция подготовки SCIM с уровня рабочей области на уровень учетной записи».
Преобразование локальных групп рабочей области в группы учетных записей
Databricks рекомендует преобразовать существующие группы рабочей области в группы учетных записей. Инструкции см. в разделе "Миграция локальных групп рабочей области" в группы учетных записей .
Назначение разрешений рабочей области для групп
Теперь, когда федерация удостоверений включена для вашей рабочей области, вы можете назначать пользователям, объектам службы и группам разрешения на этой рабочей области. Databricks рекомендует назначать группам разрешения для рабочих областей, а не назначать разрешения рабочей области пользователям по отдельности. Все удостоверения Azure Databricks можно назначать в качестве членов групп, и члены наследуют разрешения, назначенные их группам.
Note
В предстоящем выпуске членство в группе учетных записей пользователей также влияет на права доступа к объектам рабочей области. Члены наследуют разрешения на объекты рабочей области, такие как задания, записные книжки и папки, от всех групп учетных записей, в которых они являются членами, независимо от того, назначены ли эти группы рабочей области. Используйте записную книжку анализа осиротевших разрешений, чтобы просмотреть предоставленные разрешения в рабочих пространствах. См. разрешения для объекта рабочей области, которые вскоре будут наследоваться от всех групп учетных записей.
Подробнее
- Управляйте пользователями, учетными записями служб и группами, чтобы узнать больше о модели удостоверений Azure Databricks.
- Синхронизируйте пользователей и группы из Microsoft Entra ID с помощью SCIM, начинайте работу с подготовкой SCIM.
- Рекомендации по каталогу Unity, узнайте, как настроить каталог Unity.