Verwalten von Benutzern, Dienstprinzipalen und Gruppen

In diesem Artikel wird das Azure Databricks-Identitätsverwaltungsmodell eingeführt und bietet eine Übersicht, wie Benutzer, Gruppen und Dienstprinzipale in Azure Databricks verwaltet werden.

Eine wertende Perspektive zum optimalen Konfigurieren der Identität in Azure Databricks finden Sie unter Bewährte Identitätsmethoden.

Informationen zum Verwalten des Zugriffs für Benutzer, Dienstprinzipale und Gruppen finden Sie unter Authentifizierung und Zugriffssteuerung.

Azure Databricks-Identitäten

Es gibt drei Arten von Azure Databricks-Identitäten:

• Benutzer: Benutzeridentitäten, die von Azure Databricks erkannt und durch E-Mail-Adressen dargestellt werden.
• Dienstprinzipale: Identitäten zur Verwendung mit Aufträgen, automatisierten Tools und Systemen wie Skripts, Apps und CI/CD-Plattformen.
• Gruppen: Eine Sammlung von Identitäten, die von Administratoren zum Verwalten des Gruppenzugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte verwendet werden. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden. Es gibt zwei Arten von Gruppen in Azure Databricks: Kontogruppen und arbeitsbereichslokale Gruppen. Weitere Informationen finden Sie unter Typen von Gruppen in Azure Databricks.

Ein Azure Databricks-Konto kann maximal 10.000 kombinierte Benutzer, Benutzerinnen und Dienstprinzipale sowie bis zu 5.000 Gruppen aufweisen. Jeder Arbeitsbereich kann auch maximal 10.000 kombinierte Benutzer, Benutzerinnen und Dienstprinzipale als Mitglieder sowie bis zu 5.000 Gruppen enthalten.

Ausführliche Anweisungen finden Sie unter:

• Verwalten von Benutzern
• Verwalten von Dienstprinzipalen
• Gruppen verwalten
• Synchronisieren von Benutzern und Gruppen aus der Microsoft Entra-ID mithilfe von SCIM-

Wer kann Identitäten in Azure Databricks verwalten?

Zum Verwalten von Identitäten in Azure Databricks müssen Sie über eine der folgenden Rollen verfügen: die Rolle „Kontoadministrator“, „Arbeitsbereichsadministrator“ oder „Manager“ in einem Dienstprinzipal oder einer Gruppe.

• Kontoadministratoren können dem Konto Benutzer, Dienstprinzipale und Gruppen hinzufügen und ihnen Administratorrollen zuweisen. Kontoadministratoren können Benutzer, Dienstprinzipale und Gruppen des Kontos aktualisieren oder löschen. Sie können Benutzern Zugriff auf Arbeitsbereiche gewähren, solange diese Arbeitsbereiche den Identitätsverbund verwenden.

  Informationen zum Einrichten Ihres ersten Kontoadministrators finden Sie unter Einrichten Ihres ersten Kontoadministrators.

• Arbeitsbereichsadministratoren können dem Azure Databricks-Konto Benutzer und Dienstprinzipale hinzufügen. Sie können dem Azure Databricks-Konto auch Gruppen hinzufügen, wenn ihre Arbeitsbereiche für den Identitätsverbund aktiviert sind. Arbeitsbereichsadministratoren können Benutzern, Dienstprinzipalen und Gruppen Zugriff auf ihre Arbeitsbereiche gewähren. Sie können Benutzer und Dienstprinzipale nicht aus dem Konto löschen.

  Arbeitsbereichsadministratoren können auch arbeitsbereichslokale Gruppen verwalten. Weitere Informationen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).

• Gruppenmanager können die Gruppenmitgliedschaft verwalten und die Gruppe löschen. Sie können auch anderen Benutzern die Rolle „Gruppenmanager“ zuweisen. Kontoadministratoren haben die Rolle „Gruppenmanager“ für alle Gruppen im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Gruppenmanager“ für Kontogruppen, die sie erstellen. Siehe Wer kann Kontogruppen verwalten?.

• Dienstprinzipalmanager können Rollen für einen Dienstprinzipal verwalten. Kontoadministratoren verfügen über die Rolle „Dienstprinzipalmanager“ für alle Dienstprinzipale im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Dienstprinzipalmanager“ für Dienstprinzipale, die sie erstellen. Weitere Informationen finden Sie unter Rollen zum Verwalten von Dienstprinzipalen.

Zuweisen von Benutzern zu Azure Databricks

Databricks empfiehlt, Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID mit Azure Databricks mithilfe der automatischen Identitätsverwaltung (Public Preview) zu synchronisieren.

Mithilfe der automatischen Identitätsverwaltung können Sie Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID zu Azure Databricks hinzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Wenn diese Option aktiviert ist, können Sie direkt in Identitätsverbundarbeitsbereichen nach Microsoft Entra-ID-Benutzern, Dienstprinzipalen und Gruppen suchen und sie zu Ihrem Arbeitsbereich sowie zum Azure Databricks-Konto hinzufügen. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Ausführliche Anweisungen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID.

Benutzer können veröffentlichte Dashboards für andere Benutzer im Azure Databricks-Konto freigeben, auch wenn diese Benutzer nicht Mitglieder ihres Arbeitsbereichs sind. Mithilfe der automatischen Identitätsverwaltung können Benutzer Dashboards für jeden Benutzer in microsoft Entra ID freigeben, der den Benutzer beim Anmelden zum Azure Databricks-Konto hinzufügt. Benutzer im Azure Databricks-Konto, die keinem Arbeitsbereich angehören, sind das Äquivalent zu Benutzern, die in anderen Tools nur die Ansicht nutzen. Sie können Objekte ansehen, die für sie freigegeben wurden, aber sie können keine Objekte ändern. Benutzer*innen in einem Azure Databricks-Konto haben keinen Standardzugriff auf einen Arbeitsbereich, Daten oder Computeressourcen. Weitere Informationen finden Sie unter Benutzer- und Gruppenverwaltung für die Dashboardfreigabe.

Zuweisen von Benutzern zu Arbeitsbereichen

Damit ein Benutzer, ein Dienstprinzipal oder eine Gruppe in einem Azure Databricks-Arbeitsbereich arbeiten kann, muss ein Kontoadministrator oder ein Arbeitsbereichsadministrator sie einem Arbeitsbereich zuweisen. Sie können Benutzern, Dienstprinzipalen und Gruppen, die im Konto vorhanden sind, Zugriff auf den Arbeitsbereich zuweisen, sofern der Arbeitsbereich für den Identitätsverbund aktiviert ist.

Arbeitsbereichsadministrator*innen können auch neue Benutzer*innen, Dienstprinzipale oder eine Kontogruppen direkt zu einem Arbeitsbereich hinzufügen. Durch diese Aktion werden dem Konto automatisch die ausgewählten Benutzer*innen, Dienstprinzipale oder Kontogruppen hinzugefügt, und diese werden diesem bestimmten Arbeitsbereich zugewiesen.

Hinweis

Mithilfe der Arbeitsbereichsgruppen-API können Arbeitsbereichsadministrator*innen auch arbeitsbereichslokale Legacygruppen in Arbeitsbereichen erstellen. Arbeitsbereichslokale Gruppen werden dem Konto nicht automatisch hinzugefügt. Arbeitsbereichslokale Gruppen können zusätzlichen Arbeitsbereichen nicht zugewiesen werden, und ihnen kann kein Zugriff auf Daten in einem Unity Catalog-Metastore gewährt werden.

Bei den Arbeitsbereichen, die nicht für den Identitätsverbund aktiviert sind, verwalten die Arbeitsbereichsadministratoren ihre Benutzer, Dienstprinzipale und Gruppen vollständig im Umfang des Arbeitsbereichs. Benutzer*innen und Dienstprinzipale, die Verbundarbeitsbereichen ohne Identität hinzugefügt werden, werden dem Konto automatisch hinzugefügt. Gruppen, die Verbundarbeitsbereichen ohne Identität hinzugefügt werden, sind arbeitsbereichslokale Legacygruppen, die dem Konto nicht hinzugefügt werden.

Wenn der Arbeitsbereichsbenutzer einen Benutzernamen (E-Mail-Adresse) mit einem Kontobenutzer oder -administrator teilt, der bereits vorhanden ist, werden diese Benutzer zusammengeführt.

Ausführliche Anweisungen finden Sie unter:

• Hinzufügen von Benutzern zu einem Arbeitsbereich
• Hinzufügen von Dienstprinzipalen zu einem Arbeitsbereich
• Hinzufügen von Gruppen zu einem Arbeitsbereich

Aktivieren des Identitätsverbunds

Databricks begann am 9. November 2023, automatisch neue Arbeitsbereiche für den Identitätsverbund und Unity Catalog zu aktivieren, wobei ein Rollout schrittweise über Konten hinweg fortgesetzt wird. Wenn Ihr Arbeitsbereich standardmäßig für den Identitätsverbund aktiviert ist, kann er nicht deaktiviert werden. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.

Um den Identitätsverbund in einem Arbeitsbereich zu aktivieren, müssen Kontoadministrator*innen den Arbeitsbereich für Unity Catalog aktivieren, indem sie einen Unity Catalog-Metastore zuweisen. Weitere Informationen finden Sie unter Aktivieren eines Arbeitsbereichs für Unity Catalog.

Nach Abschluss der Zuweisung wird der Identitätsverbund auf der Registerkarte „Konfiguration“ des Arbeitsbereichs in der Kontokonsole als Aktiviert gekennzeichnet.

Arbeitsbereichsadministratoren können auf der Seite mit den Arbeitsbereichsadministratoreinstellungen feststellen, ob der Identitätsverbund für einen Arbeitsbereich aktiviert ist. Wenn Sie in einem Identitätsverbundarbeitsbereich einen Benutzer, Dienstprinzipal oder eine Gruppe in den Arbeitsbereichsadministratoreinstellungen hinzufügen möchten, haben Sie die Möglichkeit, einen Benutzer, einen Dienstprinzipal oder eine Gruppe aus Ihrem Konto auszuwählen.

In einem Verbundarbeitsbereich ohne Identität haben Sie keine Möglichkeit, Benutzer, Dienstprinzipale oder Gruppen aus Ihrem Konto hinzuzufügen.

Zuweisen von Administratorrollen

Kontoadministratoren können andere Benutzer als Kontoadministratoren zuweisen. Sie können auch zu Unity Catalog-Metastoreadministratoren werden, indem sie einen Metastore erstellen, und sie können dann die Rolle des Metastoreadministrators auf einen anderen Benutzer oder eine Gruppe übertragen.

Sowohl Kontoadministratoren als auch Arbeitsbereichsadministratoren können andere Benutzer als Arbeitsbereichsadministratoren zuweisen. Die Rolle des Arbeitsbereichsadministrators wird durch die Mitgliedschaft in der Gruppe der Arbeitsbereichsadministratoren bestimmt, die eine Standardgruppe in Azure Databricks ist und nicht gelöscht werden kann.

Kontoadministratoren können auch andere Benutzer als Marketplace-Administratoren zuweisen.

Thema

• Zuweisen von Kontoadministratorrollen zu Benutzer*innen
• Zuweisen der Arbeitsbereichsadministratorrolle zu einem Benutzer mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche
• Zuweisen eines Metastoreadministrators
• Zuweisen der Marketplace-Administratorrolle

Einrichten des einmaligen Anmeldens (SSO)

Einmaliges Anmelden (Single Sign-On, SSO) in Form von Microsoft Entra ID-gesicherter Anmeldung ist standardmäßig in Azure Databricks für alle Kunden verfügbar. Sie können einmaliges Anmelden von Microsoft Entra ID sowohl für die Kontokonsole als auch für Arbeitsbereiche verwenden.

Siehe einmaliges Anmelden mit Microsoft Entra ID.