从 Microsoft Entra ID 自动同步用户和组

重要

此功能目前以公共预览版提供。 若要加入此预览版，请联系 Azure Databricks 帐户团队。

本文介绍如何使用自动标识管理配置 Azure Databricks 以从 Microsoft Entra ID 同步用户、服务主体和组。

用户和组如何从 Microsoft Entra ID 自动同步？

可以将用户、服务主体和组从 Microsoft Entra ID 添加到 Azure Databricks，而无需使用自动标识管理在 Microsoft Entra ID 中配置应用程序。 启用自动标识管理后，可以直接在标识联合工作区中搜索Microsoft Entra ID 用户、服务主体和组，并将其添加到工作区。 Databricks 使用 Microsoft Entra ID 作为记录源，因此在 Azure Databricks 中尊重对组成员身份所做的任何更改。

从 Microsoft Entra ID 状态中删除的用户在 Azure Databricks 中显示为 Deactivated。 停用的用户无法登录到 Azure Databricks 或向 Azure Databricks API 进行身份验证。 作为安全最佳做法，我们建议撤销这些用户的个人访问令牌。

添加 MS Entra ID 组

用户还可以与Microsoft Entra ID 中的任何用户、服务主体或组共享仪表板。 登录时，这些用户会自动添加到 Azure Databricks 帐户。 它们不会被添加为仪表板所在的工作区的成员。 对于无权访问工作区的 Microsoft Entra ID 的成员，将为他们授予对使用嵌入凭据发布的仪表板的仅供查看副本的访问权限。 有关仪表板共享的详细信息，请参阅 共享仪表板。

非标识联合工作区不支持自动标识管理。 有关联合身份验证的详细信息，请参阅 启用联合身份验证。

自动标识管理与 SCIM 预配

启用自动标识管理后，所有用户、组和组成员身份将从 Microsoft Entra ID 同步到 Azure Databricks，因此不需要 SCIM 预配。 如果保持 SCIM 企业应用程序并行运行，SCIM 应用程序将继续管理Microsoft Entra ID 企业应用程序中配置的用户和组。 它不管理未使用 SCIM 预配添加的 Microsoft Entra ID 标识。

Databricks 建议使用自动标识管理。 下表比较了自动标识管理功能与 SCIM 预配的功能。

特征	自动标识管理	SCIM 预配
同步用户	✓	✓
同步组	✓	✓ （仅限直接成员）
同步嵌套组	✓
同步服务主体	✓
配置和管理Microsoft Entra ID 应用程序		✓
需要Microsoft Entra ID Premium 版本		✓
需要 Microsoft Entra ID 云应用程序管理员角色		✓
需要联合身份验证	✓

注意

在公共预览版期间，嵌套组不会列在 Azure Databricks UI 中。 请参阅公共预览版的自动身份管理 UI 限制。

启用自动标识管理

若要启用自动标识管理，请联系 Azure Databricks 帐户团队。 启用帐户后，若要从 Microsoft Entra ID 中添加和删除用户、服务主体和组，请按照以下说明作：

• 管理帐户 中的用户
• 在帐户中管理服务主体
• 使用您的帐户控制台来向账户添加群组

启用自动标识管理后，帐户管理员可以使用预览页禁用它。

1. 作为帐户管理员，登录到帐户控制台。
2. 在侧边栏中，单击 预览。
3. 将 自动标识管理 切换为 关闭。

禁用后，以前预配的用户、服务主体和组将保留在 Azure Databricks 中，但不再与 Microsoft Entra ID 同步。 可以在帐户控制台中删除或停用这些用户。

审核用户登录名

可以查询 system.access.audit 表，以审核哪些用户已登录到工作区。 例如：

SELECT
  DISTINCT user_identity.email
FROM
  system.access.audit
WHERE
  action_name = "aadBrowserLogin"

有关 system.access.audit 表的详细信息，请参阅 审核日志系统表参考。

公共预览版的自动身份管理 UI 限制

• 用户详细信息页在 Azure Databricks 工作区 UI 中不可用，直到用户登录。

• 在使用自动身份管理将用户添加到工作区时，直到他们登录之前，其来源列显示为“Databricks”而不是“外部”。

• 如果用户、服务主体和组是通过组成员身份间接分配给工作区的，则其详细信息页面在 Azure Databricks 工作区 UI 中不可用。

• 如果将用户、服务主体或组通过自动身份管理添加到 Azure Databricks，并且又通过 Azure Databricks 或其他方法（例如 SCIM 预配）再次添加，则他们可能会被列出两次，其中一处列出为非活动状态。 用户不处于非活动状态，可以登录 Azure Databricks。

  注意

  在这种情况下，您可以通过在 Azure Databricks 中提供其外部 ID 来合并重复的用户、服务主体和组。 使用帐户用户、帐户服务主体或帐户组 API 来更新主体，以在 externalId 字段中添加其 Microsoft Entra ID objectId。

• 子组详细信息页在 Azure Databricks 工作区 UI 中不可用。

• 不能使用帐户控制台 UI 将Microsoft Entra ID 用户、服务主体和组直接添加到帐户控制台。 不过，添加到 Azure Databricks 工作区的 Microsoft Entra ID 标识会自动添加到帐户。