Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице объясняется, как управлять учетными записями служб для вашего аккаунта и рабочих областей Azure Databricks.
Общие сведения о субъектах-службах см. в разделе "Субъекты-службы".
Замечание
На этой странице предполагается, что в рабочей области включена федерация удостоверений. Это настройка по умолчанию для большинства рабочих областей. Сведения об устаревших рабочих областях без федерации удостоверений см. в статье Устаревшие рабочие области без федерации удостоверений.
Синхронизация субъектов-служб с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra
Учетные записи службы Microsoft Entra ID можно синхронизировать автоматически из арендатора Microsoft Entra ID с вашей учетной записью Azure Databricks с помощью автоматического управления идентификацией. Databricks использует идентификатор Microsoft Entra в качестве источника, поэтому в Azure Databricks учитывается любое изменение членства пользователей или групп. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Посмотрите автоматическую синхронизацию пользователей и групп из Microsoft Entra ID.
Подготовка SCIM не поддерживает синхронизацию принципалов службы.
Добавление субъектов-служб в учетную запись
Администраторы учетных записей и администраторы рабочей области могут добавлять субъектов-служб в учетную запись Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.
Сервисные принципалы можно создать в Azure Databricks или связать с существующим сервисным принципалом из Microsoft Entra ID. См. статью Databricks и субъекты-службы идентификатора Microsoft Entra. При включении автоматического управления удостоверениями можно выполнять поиск и добавление служебных принципалов непосредственно из Microsoft Entra ID.
Администраторы учетных записей и администраторы рабочей области могут добавлять субъектов-служб в учетную запись Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.
Консоль учетной записи
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните "Управление пользователями".
- На вкладке "Субъекты-службы" нажмите кнопку "Добавить субъект-службу".
- В разделе "Управление" выберите databricks managed или Microsoft Entra ID.
- Если вы выбрали управляемый идентификатор Microsoft Entra, введите идентификатор приложения (клиента) для субъекта-службы.
- Введите имя основного объекта службы.
- Нажмите кнопку "Добавить".
Параметры администратора рабочей области
Войдите в рабочую область Azure Databricks как администратор рабочей области.
Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
Щелкните вкладку "Удостоверение" и "Доступ ".
Рядом с учетными записями служб нажмите Управление.
Нажмите Добавить учетную запись службы.
Нажмите кнопку "Добавить новую".
Выберите управляемое Databricks или управляемое Microsoft Entra ID. Если вы выбираете управляемый идентификатор Microsoft Entra ID, вставьте идентификатор приложения (клиента) для основного компонента службы.
Введите имя основного объекта службы.
Нажмите кнопку "Добавить".
Назначение ролей администратора уровня учетной записи субъекту-службе
Замечание
На странице сведений служебного принципала отображаются только роли, непосредственно назначенные служебному принципалу. Роли, унаследованные через членство в группах, активны, но их переключатели не отображаются как включенные в пользовательском интерфейсе.
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните "Управление пользователями".
- На вкладке "Субъекты-службы" найдите и щелкните имя пользователя.
- На вкладке "Роли" выберите одну или несколько ролей.
Назначьте служебный принципал рабочему пространству
Администраторы учетных записей и администраторы рабочей области могут назначать субъекты-службы рабочей области Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.
Консоль учетной записи
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните "Рабочие области".
- Нажмите на имя рабочей области.
- На вкладке "Разрешения" нажмите кнопку "Добавить разрешения".
- Найдите и выберите учетную запись службы, назначьте уровень разрешений (пользователь рабочей области или администратор) и нажмите Сохранить.
Параметры администратора рабочей области
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с учетными записями служб нажмите Управление.
- Нажмите Добавить учетную запись службы.
- Выберите существующий субъект-службу.
- Нажмите кнопку "Добавить".
Удаление учетной записи службы из рабочей среды
Администраторы учетных записей и администраторы рабочей области могут удалить субъект-службу из рабочей области Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.
Если служебный принципал удаляется из рабочей области, он больше не может получить доступ к рабочей области, однако разрешения сохраняются за ним. Если служебный принципал позже добавляется обратно в рабочую область, он восстанавливает свои ранее предоставленные разрешения.
Консоль учетной записи
- Как администратор учетной записи войдите в консоль учетной записи
- На боковой панели щелкните "Рабочие области".
- Нажмите на имя рабочей области.
- На вкладке "Разрешения" найдите субъект-службу.
- Щелкните
в правой части строки объекта-службы и выберите Удалить. - В диалоговом окне подтверждения нажмите кнопку "Удалить".
Параметры администратора рабочей области
Если служебный принципал удаляется из рабочей области, он больше не может получить доступ к рабочей области, однако разрешения сохраняются за ним. Если учетная запись службы вновь добавляется в рабочую область, она восстанавливает свои предыдущие разрешения.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с учетными записями служб нажмите Управление.
- Выберите сервисный принципал.
- В правом верхнем углу нажмите кнопку "Удалить".
- Нажмите кнопку "Удалить ", чтобы подтвердить.
Назначение роли администратора рабочей области субъекту-службе
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с группами нажмите кнопку "Управление".
- Выберите системную группу
admins. - Нажмите кнопку "Добавить участников".
- Выберите учетную запись службы и нажмите Подтвердить.
Чтобы удалить роль администратора рабочей области из субъекта-службы, удалите субъект-службу из группы администрирования.
Отключение учетной записи службы
Вы можете отключить служебный принципал на уровне учетной записи или рабочей области. Деактивация предотвращает проверку подлинности и доступ субъекта-службы к API Databricks, но не удаляет разрешения или объекты. Это предпочтительнее для удаления, которое является разрушительным действием.
Эффекты деактивации:
- Субъект-служба не может пройти проверку подлинности или получить доступ к API Databricks.
- Приложения или скрипты, использующие токены, созданные служебным принципалом, больше не имеют доступа к Databricks API. Токены остаются, но не могут использоваться для проверки подлинности, когда служебный принципал деактивирован.
- Вычислительные ресурсы, принадлежащие сервисному принципалу, продолжают работать.
- Запланированные задания, созданные учетной записью службы, терпят неудачу, если они не назначены новому владельцу.
При повторной активации субъект-служба восстанавливает доступ с теми же разрешениями.
Деактивация уровня учетной записи
Администраторы учетных записей могут деактивировать служебные принципы в учетной записи Azure Databricks. Если служебный принципал деактивирован на уровне учетной записи, он не может пройти проверку подлинности ни к учетной записи Azure Databricks, ни к любой рабочей области этой учетной записи.
Невозможно отключить субъект-службу с помощью консоли учетной записи. Вместо этого используйте API субъектов-служб учетной записи.
Рассмотрим пример.
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .
update-sp.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Деактивация функций на уровне рабочей области
Если субъект-служба деактивирован на уровне рабочей области, он не может пройти проверку подлинности в этой конкретной рабочей области, но он по-прежнему может пройти проверку подлинности в учетной записи и других рабочих областях в учетной записи.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с учетными записями служб нажмите Управление.
- Выберите учетную запись службы, которую требуется отключить.
- В разделе "Состояние" снимите флажок "Активный".
Чтобы сделать учетную запись службы активной, выполните те же действия, но установите флажок.
Удалите служебные объекты из учетной записи Azure Databricks
Администраторы учетных записей могут удалять принципы обслуживания из учетной записи Azure Databricks. Администраторы рабочей области это делать не могут. При удалении субъекта-службы из учетной записи этот субъект-служба также удаляется из своих рабочих областей.
Это важно
При удалении субъекта-службы из учетной записи этот субъект-служба также удаляется из своих рабочих областей независимо от того, включена ли федерация удостоверений. Рекомендуем вам воздержаться от удаления субъектов обслуживания на уровне учетной записи, если вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления субъектов-служб:
- Приложения или скрипты, использующие маркеры, созданные субъектом-службой, больше не могут получить доступ к API Databricks
- Сбой заданий, принадлежащих сервисному принципалу
- Выключение вычислительных ресурсов, принадлежащих учетной записи службы
- Запросы или панели мониторинга, созданные служебным аккаунтом и совместно используемые с учетными данными выполнения от имени владельца, должны быть назначены новому владельцу, чтобы предотвратить возникновение ошибки при доступе.
Если субъект-служба Идентификатора Microsoft Entra удалена из учетной записи, субъект-служба больше не может получить доступ к учетной записи или ее рабочим областям, однако разрешения сохраняются в субъекте-службе. Если субъект-служба позже добавляется обратно в учетную запись, он восстанавливает свои предыдущие разрешения.
Чтобы удалить учетную запись службы с помощью консоли учетной записи, сделайте следующее:
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните "Управление пользователями".
- На вкладке "Субъекты-службы" найдите и щелкните имя пользователя.
- На вкладке " Сведения о субъекте" щелкните В правом верхнем углу выберите " Удалить".
- В диалоговом окне подтверждения нажмите кнопку "Подтвердить удаление".
Замечание
При включении автоматического управления удостоверениями служебные объекты, которые находятся в Microsoft Entra ID, отображаются в консоли учетных записей. Их статус отображается как Неактивно: Нет использования, и они не могут быть удалены из списка субъектов-служб. Они не активны в учетной записи и не засчитываются в лимиты.
Управление служебными принципами с помощью API
Администраторы учетных записей и администраторы рабочей области могут управлять субъектами-службами в учетной записи Azure Databricks и рабочих областях с помощью API Databricks. Сведения об управлении ролями субъекта-службы с помощью API см. в статье "Управление ролями субъекта-службы" с помощью интерфейса командной строки Databricks.
Управление основными объектами службы через API в учетной записи
Администраторы могут добавлять учетные записи служб и управлять ими в учетной записи Azure Databricks с помощью API учетных записей служб. Администраторы учетных записей и администраторы рабочей области вызывают API с помощью другого URL-адреса конечной точки:
- Администраторы учетных записей используют
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Администраторы рабочей области используют
{workspace-domain}/api/2.0/account/scim/v2/.
Для получения подробной информации обратитесь к API принципала службы учетной записи.
Управление субъектами-службами в рабочей области с помощью API
Администраторы учетных записей и рабочих областей могут использовать API назначения рабочих пространств для назначения служебных принципов рабочим пространствам. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.
- Администраторы учетных записей используют
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Администраторы рабочей области используют
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.
См. API назначения рабочей области.
Замечание
Для устаревших рабочих областей без федерации удостоверений администраторы рабочих областей могут использовать API субъектов-служб рабочей области для назначения субъектов-служб своим рабочим областям.
Управление токенами для сервисного принципала
Служебные учетные записи могут проходить аутентификацию в API Databricks с помощью токенов OAuth или личных токенов доступа (PATs), каждый из которых имеет разные области применения и соображения безопасности.
Это важно
Databricks рекомендует использовать маркеры OAuth для проверки подлинности субъекта-службы, когда это возможно для повышения безопасности и управления жизненным циклом. Используйте PATS только в том случае, если OAuth недоступен для вашего варианта использования.
Токены OAuth Azure Databricks
- Авторизоваться как в API уровня учётной записи, так и на уровне рабочей области.
- Маркер OAuth, созданные на уровне учетной записи, могут обращаться как к API учетной записи, так и к API рабочей области. Токены OAuth, созданные на уровне рабочей области, ограничиваются API рабочей области.
- OAuth рекомендуется для большинства сценариев из-за повышенной безопасности и автоматического управления маркерами.
- Инструкции по настройке см. в разделе «Авторизация доступа субъекта-службы к Azure Databricks с помощью OAuth».
Личные маркеры доступа
- Аутентифицируйте только в API на уровне рабочей области.
- Databricks рекомендует использовать PATs только в том случае, если OAuth не поддерживается.
- Дополнительные сведения см. в разделе "Аутентификация с помощью личных маркеров доступа Azure Databricks" (устаревшая версия).
Дополнительные сведения о работе с удостоверениями управляемой службы Microsoft (MSI) или маркерами доступа Microsoft Entra см. в статьях Аутентификация с помощью управляемых удостоверений Azure и Аутентификация с помощью субъектов-служб Microsoft Entra соответственно.