Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie opisano, jak usługa Azure Databricks automatycznie synchronizuje użytkowników, jednostki usługi i grupy z identyfikatora Entra firmy Microsoft przy użyciu automatycznego zarządzania tożsamościami.
Omówienie automatycznego zarządzania tożsamościami
Automatyczne zarządzanie tożsamościami umożliwia bezproblemowe dodawanie użytkowników, jednostek usługi i grup z identyfikatora Entra firmy Microsoft do usługi Azure Databricks bez konfigurowania aplikacji w usłudze Microsoft Entra ID. Po włączeniu automatycznego zarządzania tożsamościami można bezpośrednio wyszukiwać w sfederowanych obszarach roboczych tożsamości użytkowników Microsoft Entra ID, jednostki usługi i grupy oraz dodać je do swojego obszaru roboczego. Usługa Databricks używa Microsoft Entra ID jako źródła rekordu, więc wszelkie zmiany członkostwa w grupach są uwzględniane w usłudze Azure Databricks.
Aprowizowanie typu just in time (JIT) jest zawsze włączone po włączeniu automatycznego zarządzania tożsamościami i nie można go wyłączyć. Nowi użytkownicy z usługi Microsoft Entra ID są automatycznie aprowizowani w usłudze Azure Databricks podczas pierwszego logowania. Zobacz Automatyczne prowizjonowanie użytkowników (JIT).
Użytkownicy mogą również udostępniać pulpity nawigacyjne dowolnemu użytkownikowi, jednostce usługi lub grupie w Microsoft Entra ID. Po udostępnieniu zasobów ci użytkownicy, jednostki usługi i członkowie grup są automatycznie dodawani do konta Azure Databricks podczas logowania. Nie są one dodawane jako członkowie do obszaru roboczego, w ramach którego znajduje się pulpit nawigacyjny. Członkowie identyfikatora Entra firmy Microsoft, którzy nie mają dostępu do obszaru roboczego, mają dostęp do kopii tylko widoku pulpitu nawigacyjnego opublikowanego z uprawnieniami do udostępnionych danych. Aby uzyskać więcej informacji na temat udostępniania pulpitu nawigacyjnego, zobacz Udostępnianie pulpitu nawigacyjnego.
Automatyczne zarządzanie tożsamościami nie jest obsługiwane w federacyjnych obszarach roboczych bez tożsamości. Aby uzyskać więcej informacji na temat federacji tożsamości, zobacz Federacja tożsamości.
Stany użytkowników i grup
Po włączeniu automatycznego zarządzania tożsamościami użytkownicy, jednostki usługi i grupy z identyfikatora Entra firmy Microsoft są widoczne w konsoli konta i na stronie ustawień administratora obszaru roboczego. Ich stan odzwierciedla ich aktywność i stan między identyfikatorem Entra firmy Microsoft i usługą Azure Databricks:
| Stan | Znaczenie |
|---|---|
| Nieaktywne: brak użycia | W przypadku użytkowników i jednostek usługi: tożsamość w Microsoft Entra ID, która jeszcze nie zalogowała się do Azure Databricks. W przypadku grup: grupa nie została dodana do obszaru roboczego. |
| Aktywny | Tożsamość jest aktywna w usłudze Azure Databricks. |
| Aktywne: usunięte z entraID | Wcześniej aktywna w usłudze Azure Databricks i została usunięta z identyfikatora Entra firmy Microsoft. Nie można zalogować się ani uwierzytelnić w interfejsach API. |
| Dezaktywowany | Tożsamość została zdezaktywowana w identyfikatorze Entra firmy Microsoft. Nie można zalogować się ani uwierzytelnić w interfejsach API. |
Wskazówka
Jako najlepsza praktyka bezpieczeństwa, Databricks zaleca odwołanie osobistych tokenów dostępu dla Dezaktywowanych i Aktywnych: Usuniętych z EntraID.
Tożsamości zarządzane za pomocą automatycznego zarządzania tożsamościami są wyświetlane jako zewnętrzne w usłudze Azure Databricks. Nie można zaktualizować tożsamości zewnętrznych przy użyciu interfejsu użytkownika usługi Azure Databricks.
Automatyczne zarządzanie tożsamościami kontra udostępnianie SCIM
Po włączeniu automatycznego zarządzania tożsamościami wszyscy użytkownicy, grupy oraz członkowie grup synchronizują się z Microsoft Entra ID do Azure Databricks, więc aprowizacja SCIM nie jest potrzebna. Jeśli aplikacja SCIM dla przedsiębiorstw działa równolegle, aplikacja SCIM będzie nadal zarządzać użytkownikami i grupami skonfigurowanymi w aplikacji dla przedsiębiorstw microsoft Entra ID. Nie zarządza tożsamościami Microsoft Entra ID, które nie zostały dodane za pomocą SCIM.
Usługa Databricks zaleca korzystanie z automatycznego zarządzania tożsamościami. W poniższej tabeli porównaliśmy funkcje automatycznego zarządzania tożsamościami z funkcjami aprowizacji SCIM.
| Funkcje | Automatyczne zarządzanie tożsamościami | Udostępnianie SCIM |
|---|---|---|
| Synchronizowanie użytkowników | ✓ | ✓ |
| Grupy synchronizacji | ✓ | ✓ (Tylko bezpośredni członkowie) |
| Synchronizowanie zagnieżdżonych grup | ✓ | |
| Synchronizuj obiekty usługowe | ✓ | |
| Konfigurowanie aplikacji Microsoft Entra ID i zarządzanie nią | ✓ | |
| Wymaga wersji Premium microsoft Entra ID | ✓ | |
| Wymaga roli Administratora aplikacji chmurowych Microsoft Entra ID. | ✓ | |
| Wymaga federacji tożsamości | ✓ |
Identyfikator zewnętrzny usługi Azure Databricks i identyfikator obiektu Entra ID firmy Microsoft
Usługa Azure Databricks używa identyfikatora Microsoft Entra ID ObjectId jako łącznika autorytatywnego do synchronizowania tożsamości i członkostwa w grupach, a następnie automatycznie aktualizuje pole externalId tak, aby było zgodne z ObjectId w dziennym cyklicznym przepływie. W niektórych przypadkach niezgodność lub zduplikowane tożsamości mogą nadal występować, zwłaszcza jeśli użytkownik, jednostka usługi lub grupa są dodawane do usługi Azure Databricks za pomocą automatycznego zarządzania tożsamościami i innej metody, takiej jak aprowizowanie usługi SCIM. W takich sytuacjach mogą zostać wyświetlone zduplikowane wpisy z jedną listą ze stanem Nieaktywne: brak użycia. Użytkownik nie jest nieaktywny i może zalogować się w usłudze Azure Databricks.
Te zduplikowane tożsamości można scalić, podając identyfikator zewnętrzny w usłudze Azure Databricks. Użyj interfejsu API Account Users, Account Service Principals lub Account Groups, aby zaktualizować podmiot w celu dodania identyfikatora Microsoft Entra ID objectId w polu externalId.
Ze względu na to, że externalId może ulegać zmianom w czasie, Azure Databricks zdecydowanie zaleca, aby nie używać niestandardowych przepływów pracy, które zależą od pola externalId.
Jak działa synchronizacja członkostwa w grupie
Po włączeniu automatycznego zarządzania tożsamościami, Azure Databricks odświeża członkostwa w grupach użytkowników z Microsoft Entra ID podczas działań wyzwalających sprawdzanie uwierzytelnienia i autoryzacji, na przykład podczas logowania się w przeglądarce, uwierzytelniania tokenu lub uruchomienia zadań. Dzięki temu uprawnienia oparte na grupach w usłudze Azure Databricks pozostaną zsynchronizowane ze zmianami wprowadzonych w identyfikatorze Entra firmy Microsoft.
Gdy usługa Azure Databricks odświeża członkostwa w grupach, pobiera przejściowe (zagnieżdżone) członkostwa w grupach z identyfikatora Microsoft Entra. Oznacza to, że jeśli użytkownik jest członkiem grupy A, a grupa A jest członkiem grupy B, usługa Azure Databricks rozpoznaje użytkownika jako członka obu grup. Usługa Azure Databricks pobiera tylko członkostwa dla grup, które zostały dodane do usługi Azure Databricks. Nie synchronizuje ani nie rekonstruuje pełnej hierarchii nadrzędnej grupy z identyfikatora Entra firmy Microsoft.
Usługa Azure Databricks odświeża członkostwa w grupach według różnych harmonogramów w zależności od działania:
- Loginy przeglądarki: Synchronizacja członkostwa w grupach, jeśli minęło więcej niż 5 minut od ostatniej synchronizacji
- Inne działania (na przykład uwierzytelnianie tokenu lub uruchomione zadania): synchronizacja członkostwa w grupach, jeśli minęło ponad 40 minut od ostatniej synchronizacji
Włączanie automatycznego zarządzania tożsamościami
Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Administratorzy kont mogą włączyć automatyczne zarządzanie tożsamościami w konsoli konta.
Jako administrator konta zaloguj się do konsoli konta.
Na pasku bocznym kliknij pozycję Zabezpieczenia.
Na karcie Aprowizacja użytkowników przełącz opcję Automatyczne zarządzanie tożsamościami na włączone.
Wprowadzenie zmian trwa od pięciu do dziesięciu minut.
Po włączeniu konta, aby dodać i usunąć użytkowników, główne usługi i grupy z Microsoft Entra ID, postępuj zgodnie z poniższymi instrukcjami:
Wyłączanie automatycznego zarządzania tożsamościami
Gdy automatyczne zarządzanie tożsamościami jest wyłączone:
- Użytkownicy i jednostki usługi pozostają: zachowują dostęp, ale nie są już synchronizowane z identyfikatorem Entra firmy Microsoft. Po wyłączeniu automatycznego zarządzania tożsamościami można ręcznie usunąć lub dezaktywować użytkowników i jednostki usługi w konsoli konta.
- Grupy tracą członkostwo: grupy pozostają w usłudze Azure Databricks, ale wszyscy członkowie grupy zostaną usunięci.
- Brak synchronizacji z identyfikatorem Entra firmy Microsoft: zmiany w identyfikatorze Entra firmy Microsoft (takie jak usunięcia użytkowników lub aktualizacje grup) nie są odzwierciedlane w usłudze Azure Databricks.
- Brak dziedziczenia uprawnień: Użytkownicy zarządzani przez automatyczne zarządzanie tożsamościami nie mogą dziedziczyć uprawnień z grup nadrzędnych. Dotyczy to zagnieżdżonych modeli uprawnień opartych na grupach.
Jeśli planujesz wyłączyć automatyczne zarządzanie tożsamościami, Databricks zaleca wcześniejsze skonfigurowanie aprowizacji SCIM jako zabezpieczenia. Program SCIM może następnie przejąć synchronizację tożsamości i grup.
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zabezpieczenia.
- Na karcie Aprowizacja użytkowników przełącz opcję Automatyczne zarządzanie tożsamościami na wyłączone.
Inspekcja logowań użytkowników
Możesz wysłać zapytanie do tabeli system.access.audit, aby sprawdzić, którzy użytkownicy zalogowali się do obszaru roboczego. Na przykład:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Aby uzyskać więcej informacji na temat tabeli system.access.audit, zobacz odniesienie do tabeli systemu dzienników inspekcji .