管理用户、服务主体和组

本文介绍 Azure Databricks 标识管理模型,并概述了如何在 Azure Databricks 中管理用户、组和服务主体。

有关如何在 Azure Databricks 中以最佳方式配置标识的见解,请参阅标识最佳做法

若要管理用户、服务主体和组的访问权限,请参阅身份验证和访问控制

Azure Databricks 身份

Azure Databricks 标识有三种类型:

  • 用户:由 Azure Databricks 识别并由电子邮件地址表示的用户标识。
  • 服务主体:用于作业、自动化工具和系统(例如脚本、应用和 CI/CD 平台)的标识。
  • 组:管理员用来管理对工作区、数据和其他安全对象的组访问权限的标识集合。 所有 Databricks 标识都可以被分配为组的成员。 Azure Databricks 中有两种类型的组:帐户组和工作区本地组。 有关详细信息,请参阅帐户组和工作区本地组的区别

帐户中最多可以包含 10,000 个组合用户和服务主体以及 5,000 个组。 每个工作区最多可以包含 10,000 个组合用户和服务主体以及 5,000 个组。

有关详细说明,请参阅:

谁可以在 Azure Databricks 中管理标识?

若要在 Azure Databricks 中管理标识,必须具有以下角色之一:帐户管理员角色、工作区管理员角色,或服务主体或组的管理员角色。

  • 帐户管理员可以将用户、服务主体和组添加到帐户,并为他们分配管理员角色。 帐户管理员可以更新和删除帐户中的用户、服务主体和组。 只要工作区使用身份联合,他们就可以向用户授予对这些工作区的访问权限。

    若要建立第一个帐户管理员,请参阅建立第一个帐户管理员

  • 工作区管理员可以将用户和服务主体添加到 Azure Databricks 帐户。 如果他们的工作区启用了身份联合,他们还可以将组添加到 Azure Databricks 帐户。 工作区管理员可以向用户、服务主体和组授予对其工作区的访问权限。 他们可以从帐户中删除用户和服务主体。

    工作区管理员还可以管理工作区本地组。 有关详细信息,请参阅管理工作区本地组(旧版)

  • 组管理员可以管理组成员身份并删除组。 他们还可以为其他用户分配组管理员角色。 帐户管理员对帐户上的所有组具有组管理员角色。 工作区管理员对自己创建的帐户组具有组管理员角色。 请参阅谁可以管理帐户组?

  • 服务主体管理员可以管理服务主体上的角色。 帐户管理员对帐户中的所有服务主体具有服务主体管理员角色。 工作区管理员对自己创建的服务主体具有服务主体管理员角色。 有关详细信息,请参阅用于管理服务主体的角色

管理员如何将用户分配到帐户?

Databricks 推荐使用 SCIM 预配将所有用户和组从 Microsoft Entra ID 自动同步到 Azure Databricks 帐户。 Azure Databricks 帐户中的用户对工作区、数据或计算资源没有任何默认访问权限。 帐户管理员和工作区管理员可以将帐户用户分配到工作区。 工作区管理员还可以将新用户直接添加到工作区,这会自动将用户添加到帐户,同时将其分配给该工作区。

用户可以与 Azure Databricks 帐户中的其他用户共享已发布的仪表板,即使这些用户并非其工作区的成员。 Azure Databricks 帐户中不是任何工作区成员的用户相当于其他工具中的只读用户。 他们可以查看与他们共享的对象,但无法修改对象。 有关详细信息,请参阅仪表板共享的用户和组管理

有关将用户添加到帐户的详细说明,请参阅:

管理员如何将用户分配到工作区?

若要使用户、服务主体或组能够在 Azure Databricks 工作区中工作,帐户管理员或工作区管理员需要将其分配到工作区。 只要工作区启用了标识联合,你就可以为帐户中存在的用户、服务主体和组分配工作区访问权限。

工作区管理员还可以将新用户、服务主体或帐户组直接添加到工作区。 此操作会自动将所选用户、服务主体或帐户组添加到该帐户,并将其分配给该特定工作区。

帐户级标识示意图

注意

工作区管理员还可以使用工作区组 API 在工作区中创建旧工作区本地组。 工作区本地组不会自动添加到帐户。 不能将工作区本地组分配给其他工作区,也不能向它们授予对 Unity Catalog 元存储中数据的访问权限。

对于未启用标识联合的工作区,工作区管理员会完全在工作区范围内管理其工作区用户、服务主体和组。 添加到非标识联合工作区的用户和服务主体会自动添加到帐户。 添加到非标识联合工作区的组是未添加到帐户的旧工作区本地组。

有关详细说明,请参阅:

管理员如何在工作区上启用联合身份验证?

Databricks 于 2023 年 11 月 9 日自动为联合身份验证和 Unity Catalog 启用了新工作区,并逐步跨帐户推出。 如果工作区默认启用了联合身份验证,则无法禁用。 有关详细信息,请参阅 Unity Catalog 的自动启用

若要在工作区中启用联合身份验证,账户管理员需要通过分配 Unity Catalog 元存储为工作区启用 Unity Catalog。 请参阅为工作区启用 Unity Catalog

分配完成后,在帐户控制台中工作区的“配置”选项卡上,联合身份验证会被标记为“已启用”。

工作区管理员可以从工作区管理员设置页判断工作区是否启用了联合身份验证。 在标识联合工作区中,选择在工作区管理员设置中添加用户、服务主体或组时,可以选择从帐户中选择要添加到工作区的用户、服务主体或组。

添加用户联合身份验证

在非标识联合工作区中,无法选择从帐户添加用户、服务主体或组。

分配管理员角色

帐户管理员可以将其他用户分配为帐户管理员。 他们还可以通过创建元存储来成为 Unity Catalog 元存储管理员,并且可以将元存储管理员角色转移到其他用户或组。

帐户管理员和工作区管理员可以将其他用户分配为工作区管理员。 工作区管理员角色由工作区管理员组中的成员身份确定,该组是 Azure Databricks 中的默认组,无法删除。

帐户管理员也可以将其他用户分配为市场管理员。

请参阅:

设置单一登录 (SSO)

我们在 Azure Databricks 中为所有客户提供单一登录 (SSO),采用 Microsoft Entra ID 支持的登录形式。 可以对帐户控制台和工作区使用 Microsoft Entra ID 单一登录。

请参阅单一登录