Databricks는 계정 및 작업 영역에서 사용자, 그룹 및 서비스 주체에 대한 중앙 집중식 ID 관리를 제공합니다. Azure Databricks의 ID 관리를 사용하면 ID 공급자의 ID를 동기화하기 위한 유연한 옵션을 사용하여 작업 영역, 데이터 및 컴퓨팅 리소스에 액세스할 수 있는 사용자를 제어할 수 있습니다.
Azure Databricks에서 ID를 가장 잘 구성하는 방법에 대한 의견 있는 관점은 ID 모범 사례를 참조하세요.
사용자, 서비스 주체 및 그룹에 대한 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.
Azure Databricks ID
Databricks는 인증 및 액세스 제어를 위한 세 가지 유형의 ID를 지원합니다.
| ID 유형 | Description |
|---|---|
| 사용자 | Azure Databricks에서 인식되고 전자 메일 주소로 표시되는 사용자 ID입니다. |
| 서비스 주체 | 작업, 자동화된 도구 및 스크립트, 앱 및 CI/CD 플랫폼과 같은 시스템에서 사용할 ID입니다. |
| 그룹 | 관리자가 작업 영역, 데이터 및 기타 보안 개체에 대한 그룹 액세스를 관리하는 데 사용하는 ID 컬렉션입니다. 모든 Databricks ID는 그룹의 멤버로 할당할 수 있습니다. |
Azure Databricks 계정에는 최대 10,000명의 결합된 사용자 및 서비스 주체와 최대 5,000개의 그룹이 있을 수 있습니다. 또한 각 작업 영역은 최대 10,000명의 결합된 사용자 및 서비스 주체를 멤버로 가질 수 있으며 최대 5,000개의 그룹을 가질 수 있습니다.
Azure Databricks에서 ID를 관리할 수 있는 사람은 누구인가요?
Azure Databricks에서 ID를 관리하려면 다음 역할 중 하나가 있어야 합니다.
| 역할 | 역량 |
|---|---|
| 계정 관리자 |
|
| 작업 영역 관리자 |
|
| 그룹 관리자 |
|
| 서비스 주체 관리자 |
|
첫 번째 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조하세요.
ID 관리 워크플로
비고
대부분의 작업 영역은 기본적으로 ID 페더레이션에 대해 사용하도록 설정됩니다. ID 페더레이션을 사용하면 계정 수준에서 중앙에서 ID를 관리하고 작업 영역에 할당할 수 있습니다. 이 페이지에서는 작업 영역에 ID 페더레이션이 사용하도록 설정되어 있다고 가정합니다. ID 페더레이션이 없는 레거시 작업 영역이 있는 경우 ID 페더레이션 이 없는 레거시 작업 영역을 참조하세요.
ID 페더레이션
Databricks는 2023년 11월 9일에 ID 페더레이션 및 Unity 카탈로그에 새 작업 영역을 자동으로 사용하도록 설정하기 시작했습니다. 기본적으로 ID 페더레이션에 사용하도록 설정된 작업 영역은 사용하지 않도록 설정할 수 없습니다. 자세한 내용은 Unity 카탈로그의 자동 사용을 참조하세요.
ID 페더레이션 작업 영역에서 작업 영역 관리자 설정에서 사용자, 서비스 주체 또는 그룹을 추가할 때 계정에 있는 ID 중에서 선택할 수 있습니다. 비 ID 페더레이션 작업 영역에서는 계정에서 사용자, 서비스 주체 또는 그룹을 추가하는 옵션이 없습니다.
작업 영역에 ID 페더레이션이 활성화되어 있는지 확인하려면 계정 콘솔의 작업 영역 페이지에서 ID 페더레이션: 활성화됨을 확인하세요. 이전 작업 영역에 대한 ID 페더레이션을 사용하도록 설정하려면 계정 관리자가 Unity 카탈로그 메타스토어를 할당하여 Unity 카탈로그의 작업 영역을 사용하도록 설정해야 합니다. Unity 카탈로그에 대한 작업 영역 사용을 참조하세요.
ID 공급자의 ID 동기화
Databricks는 자동 ID 관리를 사용하여 Microsoft Entra ID에서 Azure Databricks로 ID를 동기화하는 것이 좋습니다. 자동 ID 관리는 2025년 8월 1일 이후에 만든 계정에 대해 기본적으로 사용하도록 설정됩니다.
자동 ID 관리를 사용하여 작업 영역 관리자 설정에서 Microsoft Entra ID 사용자, 서비스 주체 및 그룹을 직접 검색하여 작업 영역 및 Azure Databricks 계정에 추가할 수 있습니다. Databricks는 Microsoft Entra ID를 레코드의 원본으로 사용하므로 사용자 또는 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다. 자세한 지침은 Microsoft Entra ID에서 자동으로 사용자 및 그룹 동기화를 참조하세요.
작업 영역에 ID 할당
사용자, 서비스 주체 또는 그룹이 Azure Databricks 작업 영역에서 작동할 수 있도록 하기 위해 계정 관리자 또는 작업 영역 관리자가 이를 작업 영역에 할당합니다. 계정에 있는 모든 사용자, 서비스 주체 또는 그룹에 작업 영역 액세스를 할당할 수 있습니다.
작업 영역 관리자는 새 사용자, 서비스 주체 또는 그룹을 작업 영역에 직접 추가할 수도 있습니다. 이 작업은 계정에 ID를 자동으로 추가하고 해당 작업 영역에 할당합니다.
자세한 지침은 다음 문서를 참조하세요.
계정 사용자와 대시보드 공유
사용자는 게시된 대시보드를 작업 영역의 구성원이 아니더라도 Azure Databricks 계정의 다른 사용자와 공유할 수 있습니다. 사용자는 자동 ID 관리를 사용하여 로그인 시 Azure Databricks 계정에 사용자를 추가하는 Microsoft Entra ID의 모든 사용자와 대시보드를 공유할 수 있습니다. 작업 영역의 구성원이 아닌 Azure Databricks 계정의 사용자는 다른 도구의 보기 전용 사용자와 동급입니다. 공유된 개체를 볼 수 있지만 개체를 수정할 수는 없습니다. Azure Databricks 계정의 사용자는 작업 영역, 데이터 또는 컴퓨팅 리소스에 대한 기본 액세스 권한이 없습니다. 자세한 내용은 사용자 및 그룹 관리를 참조하세요.
Authentication
SSO(싱글 사인온)
Microsoft Entra ID 지원 로그인 형식의 SSO(Single Sign-On)는 계정 콘솔과 작업 영역 모두에 대해 기본적으로 모든 고객을 위해 Azure Databricks에서 사용할 수 있습니다. Microsoft Entra ID를 사용하여 Single Sign-On을 참조하세요.
적시 프로비저닝
JIT(Just-In-Time) 프로비저닝을 구성하여 첫 번째 로그인 시 Microsoft Entra ID에서 새 사용자 계정을 자동으로 만들 수 있습니다. JIT(자동 프로비전 사용자)를 참조하세요.
접근 제어
관리자는 사용자, 서비스 주체 및 그룹에 역할, 자격 및 권한을 할당하여 작업 영역, 데이터 및 기타 보안 개체에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 Access Control 개요를 참조하세요.
ID 페더레이션이 없는 레거시 작업 영역
ID 페더레이션에 대해 사용하도록 설정되지 않은 작업 영역의 경우 작업 영역 관리자는 작업 영역의 범위 내에서 작업 영역 사용자, 서비스 주체 및 그룹을 완전히 관리합니다. 비 ID 페더레이션 작업 영역에 추가된 사용자와 서비스 주체는 계정에 자동으로 추가됩니다. 작업 영역 사용자가 이미 있는 계정 사용자 또는 관리자와 사용자 이름(즉, 이메일 주소)을 공유하는 경우 해당 사용자는 단일 ID로 병합됩니다. 비 ID 페더레이션 작업 영역에 추가된 그룹은 계정에 추가되지 않은 레거시 작업 영역 로컬 그룹입니다.
레거시 작업 영역에 대한 ID 페더레이션을 사용하도록 설정하려면 ID 페더레이션을 참조하세요.
추가 리소스
- ID 관리 모범 사례 - Azure Databricks에서 ID를 구성하는 방법에 대한 의견 지침
- 사용자 - 사용자 ID 관리
- 서비스 주체 - 서비스 주체 ID 관리
- 그룹 - 그룹 ID 관리
- 액세스 제어 - 권한 및 액세스 관리
- SCIM 프로비저닝 - ID 공급자의 ID 동기화
- 작업 영역-로컬 그룹 - 레거시 작업 영역-로컬 그룹 관리