Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt beschreven hoe Azure Databricks gebruikers, service-principals en groepen van Microsoft Entra ID automatisch synchroniseert met behulp van automatisch identiteitsbeheer.
Overzicht van automatisch identiteitsbeheer
Met automatisch identiteitsbeheer kunt u naadloos gebruikers, service-principals en groepen uit Microsoft Entra-id toevoegen aan Azure Databricks zonder dat u een toepassing in Microsoft Entra-id hoeft te configureren. Wanneer automatisch identiteitsbeheer is ingeschakeld, kunt u rechtstreeks zoeken in gefedereerde identiteitswerkruimten voor Gebruikers van Microsoft Entra ID, service-principals en groepen en deze toevoegen aan uw werkruimte. Databricks gebruikt Microsoft Entra-id als bron van record, zodat wijzigingen in groepslidmaatschappen worden gerespecteerd in Azure Databricks.
Just-In-Time-inrichting (JIT) wordt altijd ingeschakeld wanneer automatisch identiteitsbeheer is ingeschakeld en u kunt het niet uitschakelen. Nieuwe gebruikers van Microsoft Entra ID worden automatisch ingericht in Azure Databricks bij de eerste aanmelding. Zie Automatisch gebruikers inrichten (JIT).
Gebruikers kunnen ook dashboards delen met elke gebruiker, service-principal of groep in Microsoft Entra ID. Gebruikers, service-principals en leden van groepen worden automatisch toegevoegd aan het Azure Databricks-account bij aanmelding zodra ze gedeeld zijn. Ze worden niet toegevoegd als leden aan de werkruimte waarin het dashboard zich bevindt. Leden van Microsoft Entra ID die geen toegang hebben tot de werkruimte, krijgen toegang tot een kopie alleen voor weergave van een dashboard dat is gepubliceerd met gedeelde gegevensmachtigingen. Zie Een dashboard delen voor meer informatie over het delen van dashboards.
Automatisch identiteitsbeheer wordt niet ondersteund in niet-identiteitsfedereerde werkruimten. Zie Identiteitsfederatie voor meer informatie over identiteitsfederatie.
Gebruikers- en groepsstatussen
Wanneer automatisch identiteitsbeheer is ingeschakeld, zijn gebruikers, service-principals en groepen van Microsoft Entra-id zichtbaar in de accountconsole en op de pagina met werkruimtebeheerdersinstellingen. Hun status weerspiegelt hun activiteit en status tussen Microsoft Entra ID en Azure Databricks:
| Toestand | Betekenis |
|---|---|
| Inactief: geen gebruik | Voor gebruikers en service-principals: identiteit in Microsoft Entra-id die nog niet is aangemeld bij Azure Databricks. Voor groepen: de groep is niet toegevoegd aan een werkruimte. |
| Actief | Identiteit is actief in Azure Databricks. |
| Actief: verwijderd uit EntraID | Eerder actief in Azure Databricks en is verwijderd uit Microsoft Entra-id. Kan niet aanmelden of verifiëren bij API's. |
| Gedeactiveerd | Identiteit is gedeactiveerd in Microsoft Entra-id. Kan niet aanmelden of verifiëren bij API's. |
Aanbeveling
Als best practice voor beveiliging raadt Databricks aan om persoonlijke toegangstokens in te trekken voor gedeactiveerde gebruikers en actieve gebruikers die uit EntraID zijn verwijderd.
Identiteiten die worden beheerd met behulp van automatisch identiteitsbeheer, worden weergegeven als Extern in Azure Databricks. Externe identiteiten kunnen niet worden bijgewerkt met behulp van de Gebruikersinterface van Azure Databricks.
Machtigingen delen en toewijzen aan Microsoft Entra ID-identiteiten
Wanneer automatisch identiteitsbeheer is ingeschakeld, kunt u Microsoft Entra ID-gebruikers en service-principals selecteren bij het delen of toewijzen van machtigingen in Azure Databricks.
Voor Microsoft Entra ID-groepen verschilt het gedrag van delen per assettype:
- Assets op accountniveau: groepen zijn beschikbaar wanneer u machtigingen deelt of toewijst aan assets op accountniveau, zoals Databricks-apps, Unity Catalog-objecten, AI/BI-dashboards, Genie-ruimten en werkruimtetoewijzing.
- Assets op werkruimteniveau: Als u assets op werkruimteniveau wilt delen (zoals notebooks, taken, SQL-magazijnen, waarschuwingen en bestanden) met Microsoft Entra-id-groepen, moeten werkruimtebeheerders de groep eerst rechtstreeks toevoegen aan de werkruimte.
Automatisch identiteitsbeheer versus SCIM-inrichting
Wanneer automatisch identiteitsbeheer is ingeschakeld, worden alle gebruikers, groepen en groepslidmaatschappen gesynchroniseerd van Microsoft Entra-id naar Azure Databricks, zodat SCIM-inrichting niet nodig is. Als u de SCIM-bedrijfstoepassing parallel houdt, blijft de SCIM-toepassing gebruikers en groepen beheren die zijn geconfigureerd in de Microsoft Entra ID-bedrijfstoepassing. Microsoft Entra ID-identiteiten die niet zijn toegevoegd met SCIM-voorziening, worden niet beheerd.
Databricks raadt het gebruik van automatisch identiteitsbeheer aan. SciM-inrichting vereist de rol Cloudtoepassingsbeheerder en een afzonderlijke Microsoft Entra ID-toepassing. In de onderstaande tabel worden functies van automatisch identiteitsbeheer vergeleken met de functies van SCIM-inrichting.
| Functies | Automatisch identiteitsbeheer | SCIM-voorziening |
|---|---|---|
| Gebruikers synchroniseren | ✓ | ✓ |
| Synchronisatiegroepen | ✓ | ✓ (Alleen directe leden) |
| Geneste groepen synchroniseren | ✓ | |
| Service-principals synchroniseren | ✓ | |
| Standaard beschikbaar in Azure Databricks | ✓ | |
| Werkt met alle Edities van Microsoft Entra ID | ✓ | |
| Beschikbaar zonder beheerdersrollen voor Microsoft Entra ID | ✓ | |
| Vereist een identiteitsfederatie | ✓ |
Externe ID en Microsoft Entra ID-object-ID van Azure Databricks
Azure Databricks gebruikt de Microsoft Entra-id ObjectId als gezaghebbende koppeling voor het synchroniseren van identiteiten en groepslidmaatschappen en werkt het veld automatisch bij zodat het externalId overeenkomt met de ObjectId in een dagelijkse terugkerende stroom. Databricks raadt af om inrichtingsmethoden te combineren. Als u dezelfde identiteit toevoegt via zowel automatisch identiteitsbeheer als SCIM-inrichting, worden dubbele vermeldingen en machtigingsconflicten veroorzaakt. Gebruik automatisch identiteitsbeheer als de enige bron van waarheid, met groepslidmaatschappen die Microsoft Entra-id spiegelen.
U kunt deze dubbele identiteiten samenvoegen door hun externe id op te geven in Azure Databricks. Gebruik de API accountgebruikers, accountservice-principals of accountgroepen om de principal bij te werken om hun Microsoft Entra-id objectId toe te voegen in het externalId veld.
Omdat Azure externalId door de tijd heen kan worden bijgewerkt, raadt Azure Databricks ten zeerste aan geen aangepaste werkstromen te gebruiken die afhankelijk zijn van het veld externalId.
Hoe synchronisatie van groepslidmaatschap werkt
Wanneer automatisch identiteitsbeheer is ingeschakeld, vernieuwt Azure Databricks lidmaatschappen van gebruikersgroepen van Microsoft Entra ID tijdens activiteiten die verificatie- en autorisatiecontroles activeren, bijvoorbeeld browseraanmelding, tokenverificatie of taakuitvoeringen. Dit zorgt ervoor dat machtigingen op basis van groepen in Azure Databricks gesynchroniseerd blijven met wijzigingen die zijn aangebracht in Microsoft Entra ID.
Wanneer Azure Databricks groepslidmaatschappen vernieuwt, worden transitieve (geneste) groepslidmaatschappen opgehaald uit Microsoft Entra-id. Dit betekent dat als een gebruiker lid is van Groep A en Groep A lid is van Groep B, Azure Databricks de gebruiker herkent als lid van beide groepen. Azure Databricks haalt alleen lidmaatschappen op voor groepen die zijn toegevoegd aan Azure Databricks. De volledige hiërarchie van bovenliggende groepen wordt niet gesynchroniseerd of gereconstrueerd vanuit Microsoft Entra ID.
Azure Databricks vernieuwt groepslidmaatschappen volgens verschillende planningen, afhankelijk van de activiteit:
- Browseraanmelding: Groepslidmaatschappen worden gesynchroniseerd als meer dan 5 minuten zijn verstreken sinds de laatste synchronisatie
- Andere activiteiten (bijvoorbeeld tokenverificatie of actieve taken): Groepslidmaatschappen worden gesynchroniseerd als meer dan 40 minuten zijn verstreken sinds de laatste synchronisatie
Geneste groepen en serviceprincipals
Wanneer automatisch identiteitsbeheer is ingeschakeld, nemen leden van geneste groepen machtigingen over van ingerichte groepen. Machtigingen die zijn toegewezen aan een bovenliggende groep, zijn van toepassing op alle gebruikers en service-principals die deel uitmaken van de groep, inclusief degenen die rechtstreeks aan de groep zijn toegevoegd en degenen die deel uitmaken via geneste groepslidmaatschappen. Geneste groepen en service-principals in een groep kunnen echter niet automatisch worden gerefereerd in het account, behalve voor het delen van dashboards.
Zichtbaarheid van geneste groepen
Geneste groepen zijn zichtbaar in Azure Databricks. Overweeg een onderliggende groep, Group-C, die lid is van een bovenliggende groep, Group-P. Als u toevoegt Group-P aan een werkruimte, hebben alle identiteiten in beide Group-P en Group-C toegang tot de werkruimte. In de gebruikersinterfaces van de accountbeheerder en werkruimtebeheerder verschijnt Group-C als lid binnen Group-P op de detailpagina van groepsleden. Alleen het eerste nestniveau wordt weergegeven op de pagina met groepsdetails.
Overwegingen voor geneste groepen
- Toegang tot werkruimte: Geneste groepen en service-principals hoeven niet direct aan een werkruimte toegevoegd te worden om toegang te verkrijgen. Als een oudergroep wordt toegevoegd aan een werkruimte, hebben alle leden van die groep toegang tot de werkruimte.
- Assets op accountniveau: groepen zijn beschikbaar wanneer u machtigingen deelt of toewijst aan assets op accountniveau, zoals Databricks-apps, Unity Catalog-objecten, AI/BI-dashboards, Genie-ruimten en werkruimtetoewijzing.
- Limieten voor accountgroepen en service-principals: Geneste groepen en service-principals die niet rechtstreeks zijn ingericht voor het account, tellen niet mee voor limieten voor accountgroepen. Alleen groepen die expliciet zijn ingericht voor het account, tellen mee voor de limieten.
In Microsoft Entra-id hebt u bijvoorbeeld de volgende groepsstructuur:
-
Marketing-All(bovenliggende groep)-
Marketing-US(subgroep) -
Marketing-EU(subgroep) -
Marketing-APAC(subgroep)
-
Als een werkruimtebeheerder toevoegt Marketing-All aan de werkruimte:
- Toegang verleend: alle leden van
Marketing-Allen alle onderliggende groepen (Marketing-US,Marketing-EU,Marketing-APAC) hebben toegang tot de werkruimte. Gebruikers en service-principals inMarketing-APACkunnen bijvoorbeeld de werkruimte verifiëren en gebruiken. - Accountinrichting: Alleen
Marketing-Allwordt ingericht voor het Azure Databricks-account en telt mee voor limieten voor accountgroepen. De onderliggende groepen tellen niet mee voor limieten, tenzij u ze expliciet inricht. - Assets op accountniveau:
Marketing-Allen alle onderliggende groepen (Marketing-US,Marketing-EU,Marketing-APAC) zijn beschikbaar wanneer u machtigingen deelt of toewijst aan assets op accountniveau, zoals dashboards en objecten in Unity Catalog.
Automatisch identiteitsbeheer inschakelen
Automatisch identiteitsbeheer is standaard ingeschakeld voor accounts die zijn gemaakt na 1 augustus 2025. Accountbeheerders kunnen automatisch identiteitsbeheer inschakelen in de accountconsole.
Meld u als accountbeheerder aan bij de accountconsole.
Klik in de zijbalk op Beveiliging.
Schakel op het tabblad Gebruikersinrichtingautomatisch identiteitsbeheer in op Ingeschakeld.
Het duurt vijf tot tien minuten voordat wijzigingen van kracht worden.
Nadat uw account is ingeschakeld, volgt u de onderstaande instructies om gebruikers, service-principals en groepen toe te voegen en te verwijderen uit Microsoft Entra-id:
- Gebruikers toevoegen aan uw account
- Service-principals toevoegen aan uw account
- Groepen toevoegen aan uw account
Automatisch identiteitsbeheer uitschakelen
Wanneer automatisch identiteitsbeheer is uitgeschakeld:
- Gebruikers en service-principals blijven behouden: ze behouden de toegang, maar worden niet meer gesynchroniseerd met Microsoft Entra-id. U kunt gebruikers en service-principals handmatig verwijderen of deactiveren in de accountconsole nadat u automatisch identiteitsbeheer hebt uitgeschakeld.
- Groepen verliezen lidmaatschap: Groepen blijven aanwezig in Azure Databricks, maar alle groepsleden worden verwijderd.
- Er is geen synchronisatie met Microsoft Entra-id: wijzigingen in Microsoft Entra-id (zoals verwijderingen van gebruikers of groepsupdates) worden niet doorgevoerd in Azure Databricks.
- Geen overname van machtigingen: gebruikers die worden beheerd door automatisch identiteitsbeheer kunnen geen machtigingen overnemen van bovenliggende groepen. Dit is van invloed op geneste autorisatiemodellen op basis van groepen.
Als u van plan bent het automatische identiteitsbeheer uit te schakelen, raadt Databricks aan om SCIM-provisioning vooraf in te stellen als een back-up. SCIM kan vervolgens identiteits- en groepssynchronisatie overnemen.
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Beveiliging.
- Schakel op het tabblad Gebruikersinrichtingautomatisch identiteitsbeheer in op Uitgeschakeld.
Aanmeldingen van gebruikers controleren
U kunt een query uitvoeren op de system.access.audit tabel om te controleren welke gebruikers zich hebben aangemeld bij de werkruimte. Bijvoorbeeld:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Zie voor meer informatie over de tabel