Управление пользователями, субъектами-службами и группами

В этой статье представлена модель управления удостоверениями Azure Databricks и описываются общие принципы управления пользователями, группами и субъектами-службами в Azure Databricks.

Рекомендации по настройке удостоверений в Azure Databricks см . в статье "Рекомендации по настройке удостоверений".

Сведения об управлении доступом для пользователей, субъектов-служб и групп см. в статье "Проверка подлинности и управление доступом".

Удостоверения Azure Databricks

Существует три типа удостоверений Azure Databricks.

• Пользователи: удостоверения пользователей, распознанные Azure Databricks и представленные адресами электронной почты.
• Субъекты-службы: удостоверения, предназначенные для использования с заданиями, автоматизированными инструментами и системами, например скриптами, приложениями и платформами CI/CD.
• Группы: коллекция удостоверений, используемых администраторами для управления групповым доступом к рабочим областям, данным и другим защищаемым объектам. Все удостоверения Databricks можно назначать как члены групп. В Azure Databricks есть два типа групп: группы учетных записей и локальные группы рабочей области. Дополнительные сведения см. в разделе Типах групп в Azure Databricks.

Учетная запись Azure Databricks может содержать не более 10 000 объединенных пользователей и субъектов-служб, а также до 5 000 групп. Каждая рабочая область также может содержать не более 10 000 объединенных пользователей и субъектов-служб в качестве участников, а также до 5000 групп.

Подробные инструкции см. в следующих разделах:

• Управление пользователями
• Управление субъектами-службами
• Управление группами
• Синхронизация пользователей и групп из Microsoft Entra ID с помощью SCIM

Кто может управлять удостоверениями в Azure Databricks?

Чтобы управлять удостоверениями в Azure Databricks, необходимо иметь одну из следующих: роль администратора учетной записи, роль администратора рабочей области или роль руководителя в субъекте-службе или группе.

• Администраторы учетных записей могут добавлять пользователей, субъектов-служб и группы в учетную запись и назначать им роли администратора. Администраторы учетных записей могут обновлять и удалять пользователей, субъектов-служб и группы в учетной записи. Они могут предоставить пользователям доступ к рабочим областям, если эти рабочие области используют федерацию удостоверений.

  Чтобы установить первого администратора учетной записи, см. статью "Установка первого администратора учетной записи"

• Администраторы рабочей области могут добавлять пользователей и субъектов-служб в учетную запись Azure Databricks. Они также могут добавлять группы в учетную запись Azure Databricks, если их рабочие области включены для федерации удостоверений. Администраторы рабочей области могут предоставлять пользователям, субъектам-службам и группам доступ к рабочим областям. Они не могут удалять пользователей и субъектов-служб из учетной записи.

  Администраторы рабочей области также могут управлять локальными группами рабочей области. Дополнительные сведения см. в разделе "Управление локальными группами рабочей области ( устаревшей версией)".

• Руководители групп могут управлять членством в группах и удалять группу. Они также могут назначать других пользователей роль диспетчера групп. Администраторы учетных записей имеют роль диспетчера групп для всех групп в учетной записи. Администраторы рабочей области имеют роль диспетчера групп в группах учетных записей, которые они создают. См. раздел " Кто может управлять группами учетных записей?".

• Руководители субъектов-служб могут управлять ролями в субъекте-службе. Администраторы учетных записей имеют роль диспетчера субъектов-служб для всех субъектов-служб в учетной записи. Администраторы рабочей области имеют роль диспетчера субъектов-служб для субъектов-служб, которые они создают. Дополнительные сведения см. в разделе "Роли" для управления субъектами-службами.

Назначение пользователей в Azure Databricks

Databricks рекомендует синхронизировать пользователей, служебные принципы и группы из Microsoft Entra ID в Azure Databricks, используя автоматическое управление идентификацией (общедоступная предварительная версия).

С помощью автоматического управления идентификацией можно добавлять пользователей, служебные принципалы и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Если этот параметр включен, вы можете непосредственно искать в федеративных рабочих пространствах пользователей Microsoft Entra ID, субъектов-служб и группы, чтобы добавить их в ваше рабочее пространство и учетную запись Azure Databricks. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Подробные инструкции см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.

Пользователи могут совместно использовать опубликованные панели мониторинга с другими пользователями в учетной записи Azure Databricks, даже если эти пользователи не являются членами своей рабочей области. С помощью автоматического управления удостоверениями пользователи могут совместно использовать панели мониторинга с любым пользователем в идентификаторе Microsoft Entra, который добавляет пользователя в учетную запись Azure Databricks при входе. Пользователи в учетной записи Azure Databricks, которые не являются членами любой рабочей области, эквивалентны пользователям только для просмотра в других средствах. Они могут просматривать объекты, к которым им предоставлен общий доступ, но они не могут изменять объекты. Пользователи в учетной записи Azure Databricks не имеют доступа по умолчанию к рабочей области, данным или вычислительным ресурсам. Дополнительные сведения см. в разделе "Управление пользователями и группами" для общего доступа к панелям мониторинга.

Назначьте пользователей в рабочие области

Чтобы пользователь, субъект-служба или группа работали в рабочей области Azure Databricks, администратор учетной записи или администратор рабочей области должны назначить их рабочей области. Вы можете назначить доступ к рабочей области пользователям, субъектам-службам и группам, которые существуют в учетной записи, если рабочая область включена для федерации удостоверений.

Администраторы рабочей области также могут добавлять нового пользователя, субъекта-службы или группу учетных записей непосредственно в рабочую область. Это действие автоматически добавляет выбранного пользователя, субъекта-службы или группу учетных записей в учетную запись и назначает их определенной рабочей области.

Примечание.

Администраторы рабочей области также могут создавать устаревшие локальные группы рабочей области в рабочих областях с помощью API групп рабочих областей. Локальные группы рабочей области не добавляются в учетную запись автоматически. Локальные группы рабочей области нельзя назначать дополнительным рабочим областям или предоставлять доступ к данным в хранилище метаданных каталога Unity.

Для этих рабочих областей, которые не включены для федерации удостоверений, администраторы рабочих областей управляют пользователями рабочей области, субъектами-службами и группами полностью в пределах рабочей области. Пользователи и субъекты-службы, добавленные в федеративные рабочие области без удостоверений, автоматически добавляются в учетную запись. Группы, добавленные в федеративные рабочие области без удостоверений, являются устаревшими локальными группами рабочей области, которые не добавляются в учетную запись.

Если пользователь рабочей области использует имя пользователя (адрес электронной почты) с пользователем учетной записи или администратором, который уже существует, эти пользователи объединяются.

Подробные инструкции см. в следующих разделах:

• Добавление пользователей в рабочую область
• Добавление субъектов-служб в рабочую область
• Добавление групп в рабочую область

Включение федерации удостоверений

Databricks начал включать новые рабочие области для федерации удостоверений и каталога Unity автоматически 9 ноября 2023 г. с развертыванием постепенного развертывания между учетными записями. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".

Чтобы включить федерацию удостоверений в рабочей области, администратор учетной записи должен включить рабочую область каталога Unity, назначив хранилище метаданных каталога Unity. См. раздел Включение рабочей области для каталога Unity.

По завершении назначения федерация удостоверений помечается как включенная на вкладке "Конфигурация рабочей области" в консоли учетной записи.

Администраторы рабочей области могут сообщить, включена ли федерация удостоверений на странице параметров администратора рабочей области. В федеративной рабочей области удостоверения при добавлении пользователя, субъекта-службы или группы в параметрах администратора рабочей области можно выбрать пользователя, субъекта-службы или группу из учетной записи, чтобы добавить ее в рабочую область.

В федеративной рабочей области, отличной от удостоверений, у вас нет возможности добавлять пользователей, субъектов-служб или группы из учетной записи.

Назначение ролей администратора

Администраторы учетных записей могут назначать других пользователей в качестве администраторов учетных записей. Они также могут стать администраторами хранилища метаданных каталога Unity, создав хранилище метаданных, или передать роль администратора хранилища метаданных другому пользователю или группе.

И администраторы учетных записей, и администраторы рабочей области могут назначать других пользователей в качестве администраторов рабочей области. Роль администратора рабочей области определяется членством в группе администраторов рабочей области, которая в Azure Databricks является группой по умолчанию и не может быть удалена.

Администраторы учетных записей также могут назначать других пользователей в качестве администраторов Marketplace.

См.

• Назначение ролей администратора учетной записи пользователю
• Назначение роли администратора рабочей области пользователю с помощью страницы параметров администратора рабочей области
• Назначение администратора хранилища метаданных
• Назначение роли администратора Marketplace

Настройка единого входа

Единый вход (SSO) в формате входа с поддержкой идентификации Microsoft Entra ID доступен в Azure Databricks для всех клиентов по умолчанию. Единый вход Microsoft Entra ID можно использовать как для консоли учетной записи, так и для рабочих областей.

См . единый вход с помощью идентификатора Microsoft Entra.