사용자, 서비스 주체, 그룹 관리

이 문서에서는 Azure Databricks ID 관리 모델을 소개하고 Azure Databricks에서 사용자, 그룹 및 서비스 주체를 관리하는 방법을 간략하게 설명합니다.

Azure Databricks에서 ID를 가장 잘 구성하는 방법에 대한 의견은 ID 모범 사례를 참조하세요.

사용자, 서비스 주체, 그룹에 대한 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.

Azure Databricks ID

Azure Databricks ID에는 세 가지 형식이 있습니다.

• 사용자: Azure Databricks에서 인식하고 이메일 주소로 표시되는 사용자 ID입니다.
• 서비스 주체: 스크립트, 앱, CI/CD 플랫폼과 같은 시스템, 자동화된 도구 및 작업과 함께 사용하기 위한 ID입니다.
• 그룹: 관리자가 작업 영역, 데이터 및 기타 보안 개체에 대한 그룹 액세스를 관리하는 데 사용하는 ID 컬렉션입니다. 모든 Databricks ID는 그룹의 멤버로 할당할 수 있습니다. Azure Databricks에는 계정 그룹과 작업 영역-로컬 그룹이라는 두 가지 개념이 있습니다. 자세한 내용은 계정 그룹과 작업 영역 로컬 그룹의 차이점을 참조하세요.

계정에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5,000개 그룹을 포함할 수 있습니다. 각 작업 영역에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5,000개 그룹을 포함할 수 있습니다.

자세한 지침은 다음 문서를 참조하세요.

• 사용자 관리
• 서비스 주체 관리
• 그룹 관리
• Microsoft Entra ID에서 사용자 및 그룹 동기화

Azure Databricks에서 ID를 관리할 수 있는 사람은 누구인가요?

Azure Databricks에서 ID를 관리하려면 계정 관리자 역할, 작업 영역 관리자 역할 또는 서비스 주체나 그룹의 관리자 역할 중 하나가 있어야 합니다.

• 계정 관리자는 계정에 사용자, 서비스 주체, 그룹을 추가하고 관리자 역할을 할당할 수 있습니다. 계정 관리자는 계정의 사용자, 서비스 주체, 그룹을 업데이트 및 삭제할 수 있습니다. 해당 작업 영역에서 ID 페더레이션을 사용하는 한, 사용자에게 작업 영역에 대한 액세스 권한을 부여할 수 있습니다.

  첫 번째 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조하세요.

• 작업 영역 관리자는 사용자와 서비스 주체를 Azure Databricks 계정에 추가할 수 있습니다. 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 Azure Databricks 계정에 그룹을 추가할 수도 있습니다. 작업 영역 관리자는 사용자, 서비스 주체, 그룹에 작업 영역에 대한 액세스 권한을 부여할 수 있습니다. 계정의 사용자 및 서비스 주체를 삭제할 수 있습니다.

  또한 작업 영역 관리자는 작업 영역 로컬 그룹을 관리할 수 있습니다. 자세한 내용은 작업 영역 로컬 그룹(레거시) 관리를 참조하세요.

• 그룹 관리자는 그룹 구성원 자격을 관리하고 그룹을 삭제할 수 있습니다. 다른 사용자에게 그룹 관리자 역할을 할당할 수도 있습니다. 계정 관리자는 계정의 모든 그룹에 대해 그룹 관리자 역할을 보유합니다. 작업 영역 관리자는 자신이 만든 계정 그룹에 대해 그룹 관리자 역할을 보유합니다. 계정 그룹을 관리할 수 있는 사용자를 참조하세요.

• 서비스 주체 관리자는 서비스 주체의 역할을 관리할 수 있습니다. 계정 관리자는 계정의 모든 서비스 주체에 대해 서비스 주체 관리자 역할을 보유합니다. 작업 영역 관리자는 자신이 만든 서비스 주체에 대한 서비스 주체 관리자 역할을 보유합니다. 자세한 내용은 서비스 주체 관리 역할을 참조하세요.

관리자가 계정에 사용자를 할당하는 방법

Databricks는 SCIM 프로비저닝을 사용하여 모든 사용자 및 그룹을 Microsoft Entra ID에서 Azure Databricks 계정으로 자동 동기화할 것을 권장합니다. Azure Databricks 계정의 사용자는 작업 영역, 데이터 또는 컴퓨팅 리소스에 대한 기본 액세스 권한이 없습니다. 계정 관리자와 작업 영역 관리자는 계정 사용자를 작업 영역에 할당할 수 있습니다. 작업 영역 관리자는 작업 영역에 직접 새 사용자를 추가할 수도 있습니다. 두 사용자 모두 자동으로 계정에 사용자를 추가하고 해당 작업 영역에 할당합니다.

사용자는 게시된 대시보드를 작업 영역의 구성원이 아니더라도 Azure Databricks 계정의 다른 사용자와 공유할 수 있습니다. 작업 영역의 구성원이 아닌 Azure Databricks 계정의 사용자는 다른 도구의 보기 전용 사용자와 동급입니다. 공유된 개체를 볼 수 있지만 개체를 수정할 수는 없습니다. 자세한 내용은 대시보드 공유에 대한 사용자 및 그룹 관리를 참조하세요.

계정에 사용자를 추가하는 방법에 대한 자세한 지침은 다음을 참조하세요.

• Microsoft Entra ID에서 사용자 및 그룹 동기화
• 계정에 사용자 추가
• 계정에 서비스 주체 추가
• 계정에 그룹 추가

관리자는 작업 영역에 사용자를 어떻게 할당하나요?

사용자, 서비스 주체 또는 그룹이 Azure Databricks 작업 영역에서 작업할 수 있게 하려면 계정 관리자 또는 작업 영역 관리자가 이들을 작업 영역에 할당해야 합니다. ID 페더레이션에 작업 영역을 사용하도록 설정되어 있는 한, 계정에 있는 사용자, 서비스 주체, 그룹에 작업 영역 액세스 권한을 할당할 수 있습니다.

작업 영역 관리자는 새 사용자, 서비스 주체 또는 계정 그룹을 작업 영역에 직접 추가할 수도 있습니다. 이 작업은 선택한 사용자, 서비스 주체 또는 계정 그룹을 계정에 자동으로 추가하고 해당 특정 작업 영역에 할당합니다.

참고 항목

작업 영역 관리자는 작업 영역 그룹 API를 사용하여 작업 영역에서 레거시 작업 영역 로컬 그룹을 만들 수도 있습니다. 작업 영역 로컬 그룹은 계정에 자동으로 추가되지 않습니다. 작업 영역 로컬 그룹을 추가 작업 영역에 할당하거나 Unity 카탈로그 메타스토어의 데이터에 대한 액세스 권한을 부여할 수 없습니다.

ID 페더레이션에 사용하도록 설정되지 않은 작업 영역의 경우 작업 영역 관리자는 작업 영역 사용자, 서비스 주체, 그룹 전체를 작업 영역의 범위 내에서 관리합니다. 비 ID 페더레이션 작업 영역에 추가된 사용자와 서비스 주체는 계정에 자동으로 추가됩니다. 비 ID 페더레이션 작업 영역에 추가된 그룹은 계정에 추가되지 않은 레거시 작업 영역 로컬 그룹입니다.

작업 영역 사용자가 이미 있는 계정 사용자 또는 관리자와 사용자 이름(전자 메일 주소)을 공유하는 경우 해당 사용자는 병합됩니다.

자세한 지침은 다음 문서를 참조하세요.

• 작업 영역에 사용자 추가
• 작업 영역에 서비스 주체 추가
• 작업 영역에 그룹 추가

관리자는 작업 영역에서 ID 페더레이션을 사용하도록 설정하려면 어떻게 해야 하나요?

Databricks는 2023년 11월 9일에 ID 페더레이션 및 Unity 카탈로그에 새 작업 영역을 자동으로 사용하도록 설정하기 시작했으며, 계정 간에 점진적으로 롤아웃이 진행되었습니다. 기본적으로 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 비활성화할 수 없습니다. 자세한 내용은 Unity 카탈로그 자동 사용을 참조하세요.

작업 영역에서 ID 페더레이션을 사용하도록 설정하려면 계정 관리자는 Unity 카탈로그 메타스토어를 할당하여 Unity 카탈로그에 작업 영역을 사용하도록 설정해야 합니다. Unity 카탈로그에 작업 영역 사용을 참조하세요.

할당이 완료되면 계정 콘솔의 작업 영역 구성 탭에서 ID 페더레이션이 사용으로 표시됩니다.

작업 영역 관리자는 작업 영역 관리자 설정 페이지에서 작업 영역에서 ID 페더레이션을 사용하도록 설정되어 있는지 알 수 있습니다. ID 페더레이션 작업 영역에서는 작업 영역 관리자 설정에서 사용자, 서비스 주체 또는 그룹을 추가하도록 선택하면 계정에서 사용자, 서비스 주체 또는 그룹을 선택하여 작업 영역에 추가할 수 있습니다.

비 ID 페더레이션 작업 영역에서는 계정에서 사용자, 서비스 주체 또는 그룹을 추가하는 옵션이 없습니다.

관리자 역할 할당

계정 관리자는 다른 사용자를 계정 관리자로 할당할 수 있습니다. 또한 메타스토어를 만들면 Unity 카탈로그 메타스토어 관리자가 될 수 있으며, 메타스토어 관리자 역할을 다른 사용자 또는 그룹으로 이전할 수 있습니다.

계정 관리자와 작업 영역 관리자 모두 다른 사용자를 작업 영역 관리자로 할당할 수 있습니다. 작업 영역 관리자 역할은 Azure Databricks의 기본 그룹이며 삭제할 수 없는 작업 영역 admins 그룹의 멤버 자격에 따라 결정됩니다.

계정 관리자는 다른 사용자를 마켓플레이스 관리자로 할당할 수도 있습니다.

참조

• 사용자에게 계정 관리자 역할 할당
• 작업 영역 관리자 설정 페이지를 사용하여 사용자에게 작업 영역 관리자 역할 할당
• 메타스토어 관리자 할당
• 마켓플레이스 관리자 역할 할당

SSO(Single Sign-On) 설정

Microsoft Entra ID가 지원하는 로그인 형식의 SSO(Single Sign-On)는 모든 고객이 Azure Databricks에서 사용할 수 있습니다. 계정 콘솔과 작업 영역 모두에 Microsoft Entra ID Single Sign-On을 사용할 수 있습니다.

Microsoft Entra ID를 사용하여 Single Sign-On을 참조하세요.