Dela via

Metodtips för identitet

  • Artikel

Den här artikeln innehåller ett åsiktsperspektiv på hur du bäst konfigurerar identiteter i Azure Databricks. Den innehåller en guide om hur du migrerar till identitetsfederation, som gör att du kan hantera alla dina användare, grupper och tjänstens huvudnamn i Azure Databricks-kontot.

En översikt över Azure Databricks-identitetsmodellen finns i Azure Databricks-identiteter.

Information om hur du på ett säkert sätt kommer åt Azure Databricks-API:er finns i Hantera behörigheter för personlig åtkomsttoken.

Konfigurera användare, tjänstens huvudnamn och grupper

Det finns tre typer av Azure Databricks-identitet:

  • Användare: Användaridentiteter som identifieras av Azure Databricks och representeras av e-postadresser.
  • Tjänstens huvudnamn: Identiteter för användning med jobb, automatiserade verktyg och system som skript, appar och CI/CD-plattformar.
  • Grupper: Grupper förenklar identitetshantering, vilket gör det enklare att tilldela åtkomst till arbetsytor, data och andra skyddsbara objekt.

Databricks rekommenderar att du skapar tjänstens huvudnamn för att köra produktionsjobb eller ändra produktionsdata. Om alla processer som fungerar på produktionsdata körs med hjälp av tjänstens huvudnamn behöver interaktiva användare inte skriva, ta bort eller ändra behörigheter i produktion. Detta eliminerar risken för att en användare skriver över produktionsdata av misstag.

Det är bästa praxis att tilldela åtkomst till arbetsytor och principer för åtkomstkontroll i Unity Catalog till grupper, i stället för till användare individuellt. Alla Azure Databricks-identiteter kan tilldelas som medlemmar i grupper och medlemmar ärver behörigheter som har tilldelats till deras grupp.

Följande är de administrativa roller som kan hantera Azure Databricks-identiteter:

  • Kontoadministratörer kan lägga till användare, tjänstens huvudnamn och grupper till kontot och tilldela dem administratörsroller. De kan ge användarna åtkomst till arbetsytor, så länge dessa arbetsytor använder identitetsfederation.
  • Arbetsyteadministratörer kan lägga till användare, tjänstens huvudnamn till Azure Databricks-kontot. De kan också lägga till grupper i Azure Databricks-kontot om deras arbetsytor är aktiverade för identitetsfederation. Arbetsyteadministratörer kan ge användare, tjänstens huvudnamn och grupper åtkomst till sina arbetsytor.
  • Gruppchefer kan hantera gruppmedlemskap. De kan också tilldela andra användare rollen gruppchef.
  • Cheferna för tjänstens huvudnamn kan hantera roller på ett huvudnamn för tjänsten.

Databricks rekommenderar att det finns ett begränsat antal kontoadministratörer per konto och arbetsyteadministratörer på varje arbetsyta.

Synkronisera användare och grupper automatiskt från Microsoft Entra-ID (offentlig förhandsversion)

Du kan lägga till användare, tjänstens huvudnamn och grupper från Microsoft Entra-ID i Azure Databricks utan att konfigurera ett program i Microsoft Entra-ID med hjälp av automatisk identitetshantering. När automatisk identitetshantering är aktiverat kan du direkt söka i identitetsanslutna arbetsytor efter Microsoft Entra-ID-användare, tjänsthuvudnamn och grupper och lägga till dem på din arbetsyta. Databricks använder Microsoft Entra-ID som sanningskälla, så alla ändringar av användare eller gruppmedlemskap respekteras i Azure Databricks.

Användare kan också dela instrumentpaneler med alla användare, tjänstprincipaler eller grupper i Microsoft Entra-ID. Dessa användare läggs automatiskt till i Azure Databricks-kontot vid inloggning.

Automatisk identitetshantering stöds endast i identitetsanslutna arbetsytor. Mer information om identitetsfederation finns i Synkronisera användare och grupper automatiskt från Microsoft Entra ID.

Aktivera identitetsfederation

Med identitetsfederation kan du konfigurera användare, tjänstens huvudnamn och grupper i kontokonsolen och sedan tilldela dessa identiteter åtkomst till specifika arbetsytor. Detta förenklar administration och datastyrning i Azure Databricks.

Viktigt!

Databricks började aktivera nya arbetsytor för identitetsfederation och Unity Catalog automatiskt den 9 november 2023, med en distribution som sker gradvis över konton. Om din arbetsyta är aktiverad för identitetsfederation som standard kan den inte inaktiveras. Mer information finns i Automatisk aktivering av Unity Catalog.

Med identitetsfederation konfigurerar du Azure Databricks-användare, tjänstens huvudnamn och grupper en gång i kontokonsolen, i stället för att upprepa konfigurationen separat på varje arbetsyta. När användare, tjänstens huvudnamn och grupper har lagts till i kontot kan du tilldela dem behörigheter på arbetsytor. Du kan bara tilldela identiteter på kontonivå åtkomst till arbetsytor som är aktiverade för identitetsfederation.

Identitetsdiagram på kontonivå

Information om hur du aktiverar en arbetsyta för identitetsfederation finns i Aktivera identitetsfederation. När tilldelningen är klar markeras identitetsfederationen som Aktiverad på arbetsytans konfigurationsflik i kontokonsolen.

Identitetsfederation är aktiverat på arbetsytenivå och du kan ha en kombination av identitetsanslutna och icke-identitetsanslutna arbetsytor. För de arbetsytor som inte är aktiverade för identitetsfederation hanterar arbetsyteadministratörer sina arbetsyteanvändare, tjänsthuvudnamn och grupper helt inom arbetsytans omfång (den äldre modellen). De kan inte använda kontokonsolen eller API:er på kontonivå för att tilldela användare från kontot till dessa arbetsytor, men de kan använda något av gränssnitten på arbetsytans nivå. När en ny användare eller tjänstens huvudnamn läggs till i en arbetsyta med hjälp av gränssnitt på arbetsytenivå synkroniseras användaren eller tjänstens huvudnamn till kontonivån. På så sätt kan du ha en konsekvent uppsättning användare och tjänstens huvudnamn i ditt konto.

Men när en grupp läggs till i en federerad arbetsyta som inte är identitet med hjälp av gränssnitt på arbetsytenivå, är den gruppen en arbetsytelokal grupp och läggs inte till i kontot. Du bör sträva efter att använda kontogrupper i stället för arbetsytelokala grupper. Arbetsytelokala grupper kan inte beviljas åtkomstkontrollprinciper i Unity Catalog eller behörigheter till andra arbetsytor.

Uppgradera till identitetsfederation

Om du aktiverar identitetsfederation på en befintlig arbetsyta gör du följande:

  1. Migrera SCIM-etablering på arbetsytenivå till kontonivå

    Om du har en SCIM-etablering på arbetsytenivå konfigurerad för din arbetsyta bör du ställa in SCIM-etablering på kontonivå och inaktivera SCIM-etableringen på arbetsytenivå. SCIM på arbetsytenivå fortsätter att skapa och uppdatera lokala arbetsytegrupper. Databricks rekommenderar att du använder kontogrupper i stället för arbetsytelokala grupper för att dra nytta av centraliserad arbetsytetilldelning och dataåtkomsthantering med hjälp av Unity Catalog. SCIM på arbetsytenivå känner inte heller igen kontogrupper som har tilldelats till din identitets federerade arbetsyta och SCIM API-anrop på arbetsytenivå misslyckas om de involverar kontogrupper. Mer information om hur du inaktiverar SCIM på arbetsytenivå finns i Migrera SCIM-etablering på arbetsytenivå till kontonivå.

  2. Konvertera lokala arbetsytegrupper till kontogrupper

    Databricks rekommenderar att du konverterar dina befintliga arbetsytelokala grupper till kontogrupper. Mer information finns i Migrera lokala arbetsytegrupper till kontogrupper .

Tilldela grupparbetsytebehörigheter

Nu när identitetsfederationen är aktiverad på din arbetsyta kan du tilldela användare, tjänstens huvudnamn och grupper i dina kontobehörigheter på arbetsytan. Databricks rekommenderar att du tilldelar grupper behörigheter till arbetsytor i stället för att tilldela arbetsytebehörigheter till användare individuellt. Alla Azure Databricks-identiteter kan tilldelas som medlemmar i grupper och medlemmar ärver behörigheter som har tilldelats till deras grupp.

Lägga till arbetsytebehörigheter

Läs mer