Podmioty usługowe

Element usługi to wyspecjalizowana tożsamość w Azure Databricks przeznaczona do automatyzacji i dostępu programowego. Podmioty usługi zapewniają bezpieczny dostęp wyłącznie poprzez API do zasobów Azure Databricks dla zautomatyzowanych narzędzi, skryptów i platform CI/CD, bez konieczności polegania na indywidualnych poświadczeniach użytkowników.

Aby dowiedzieć się, jak zarządzać jednostkami usługi, zobacz Zarządzanie jednostkami usługi.

Uwaga / Notatka

Na tej stronie założono, że obszar roboczy ma włączoną federację tożsamości, która jest domyślna dla większości obszarów roboczych. Aby uzyskać informacje o starszych obszarach roboczych bez federacji tożsamości, zobacz Starsze obszary robocze bez federacji tożsamości.

Co to jest jednostka usługi?

Jednostki usługi zapewniają zautomatyzowany dostęp tylko do interfejsu API narzędzi i skryptów do zasobów usługi Azure Databricks, zapewniając większe bezpieczeństwo niż korzystanie z kont użytkowników. Możesz udzielić i ograniczyć dostęp jednostki usługi do zasobów w taki sam sposób, jak użytkownik usługi Azure Databricks. Możesz na przykład przyznać jednostce usługi rolę administratora konta lub administratora obszaru roboczego, udzielić dostępu do danych przy użyciu Unity Catalog lub dodać jednostkę usługi jako członka grupy.

Możesz przyznać użytkownikom usługi Azure Databricks, jednostkom usługi i grupom uprawnienia do używania jednostki usługi. Dzięki temu użytkownicy mogą uruchamiać zadania jako główna jednostka usługi, a nie jako ich tożsamość, co zapobiega niepowodzeniu zadań, jeśli użytkownik opuści organizację lub zmodyfikowana zostanie grupa.

Pryncypia usług Databricks i Microsoft Entra ID

Jednostki usługi mogą być jednostkami usługi zarządzanej w usłudze Azure Databricks lub jednostkami usługi zarządzanej identyfikatora entra firmy Microsoft.

Jednostki usługi nadrzędnej zarządzane przez Azure Databricks mogą uwierzytelniać się w usłudze Azure Databricks przy użyciu uwierzytelniania OAuth usługi Databricks i osobistych tokenów dostępu. Uwierzytelnianie jednostkek usługi zarządzanej Microsoft Entra ID w usłudze Azure Databricks może odbywać się przy użyciu uwierzytelniania OAuth usługi Databricks i tokenów Microsoft Entra ID. Aby uzyskać więcej informacji na temat uwierzytelniania jednostek usługi, zobacz Zarządzanie tokenami dla jednostki usługi.

Jednostki usługi zarządzanej usługi Azure Databricks są zarządzane bezpośrednio w usłudze Azure Databricks. Zarządzane jednostki usługi Microsoft Entra ID są zarządzane w usłudze Microsoft Entra ID, co wymaga dodatkowych uprawnień. Firma Databricks zaleca używanie menedżerów usług zarządzanych Azure Databricks do automatyzacji oraz korzystanie z menedżerów usług zarządzanych Microsoft Entra ID w sytuacjach, gdy trzeba uwierzytelnić się zarówno w Azure Databricks, jak i w innych zasobach platformy Azure jednocześnie.

Aby utworzyć zarządzaną jednostkę usługi Azure Databricks, pomiń tę sekcję i kontynuuj lekturę z Kto może zarządzać jednostkami usługi i korzystać z nich?.

Aby używać jednostek usługi zarządzanej Microsoft Entra ID w Azure Databricks, użytkownik administracyjny musi utworzyć aplikację Microsoft Entra ID na platformie Azure. Aby utworzyć zarządzaną jednostkę usługową Microsoft Entra ID, zapoznaj się z Uwierzytelnianie za pomocą jednostek usługi Microsoft Entra.

Typowe przypadki użycia

Jednostki usługi są idealne dla scenariuszy automatyzacji, takich jak następujące, gdzie potrzebujesz bezpiecznego, niezawodnego dostępu programowego do zasobów usługi Databricks:

Przypadek użycia	Example
Potoki CI/CD	Wdróż notebooki, biblioteki i konfiguracje automatycznie w ramach procesów ciągłej integracji i wdrażania.
Zaplanowane zadania	Uruchamianie potoków ETL, zadań przetwarzania danych i zautomatyzowanych raportów zgodnie z harmonogramem bez zależności od poszczególnych kont użytkowników.
Integracje między systemami	Łączenie zewnętrznych aplikacji i usług z usługą Databricks w celu pozyskiwania, przekształcania lub analizy danych.
Testowanie automatyczne	Wykonaj testy integracji i zweryfikuj potoki danych w ramach struktury testowania.
Infrastruktura jako kod	Udostępniaj i zarządzaj zasobami usługi Databricks przy użyciu narzędzi, takich jak Terraform, szablony usługi ARM lub pakiety zasobów Databricks.

Kto może zarządzać jednostkami usługi i korzystać z nich?

Aby zarządzać jednostkami usługi w usłudze Azure Databricks, musisz mieć jedną z następujących ról:

Role	Capabilities
Administratorzy konta	Dodaj jednostki usługi do konta i przypisz im role administratora. Przypisywanie jednostek usługi do obszarów roboczych. Automatycznie mają rolę menedżera jednostki usługi dla wszystkich jednostek usługi na koncie.
Administratorzy obszaru roboczego	Dodaj zasady dostępu do usługi do obszaru roboczego Azure Databricks. Przypisz im rolę administratora obszaru roboczego. Zarządzanie dostępem do obiektów i funkcji w obszarze roboczym. Automatycznie mają rolę menedżera jednostki usługi w jednostkach usługi, które tworzą.
Menedżerowie jednostki usługi	Zarządzaj rolami w głównej usłudze. Przypisz rolę menedżera jednostki usługi innym użytkownikom.
Użytkownicy jednostki usługi	Uruchom zadania jako podmiot usługowy, używając jego tożsamości zamiast tożsamości właściciela zadania.

Uwaga / Notatka

Twórca jednostki usługi automatycznie staje się menedżerem jednostki usługi.
Użytkownicy z rolą menedżera jednostki usługi nie dziedziczą roli użytkownika jednostki usługi. Jeśli chcesz użyć jednostki usługi do wykonywania zadań, musisz jawnie przypisać sobie rolę użytkownika jednostki usługi, nawet po utworzeniu jednostki usługi.
RestrictWorkspaceAdmins Gdy ustawienie jest ustawione na ALLOW ALL, administratorzy obszaru roboczego mogą tworzyć tokeny w imieniu dowolnej jednostki usługi w swoim obszarze roboczym. Zobacz Ograniczanie administratorów obszaru roboczego.

Aby uzyskać informacje na temat udzielania ról menedżera jednostki usługi i ról użytkowników, zobacz Role do zarządzania jednostkami usługi.

Synchronizuj elementy główne usługi z kontem Azure Databricks z dzierżawy Microsoft Entra ID.

Jednostki usługi Microsoft Entra ID można synchronizować automatycznie z dzierżawy Microsoft Entra ID do konta Azure Databricks przy użyciu automatycznego zarządzania tożsamością. Usługa Databricks używa Microsoft Entra ID jako źródła, więc wszelkie zmiany w członkostwach użytkowników i grup są uwzględniane w usłudze Azure Databricks. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Zobacz Automatyczne synchronizowanie użytkowników i grup z Microsoft Entra ID.

Aprowizacja SCIM nie obsługuje synchronizowania jednostek usługi.

Dodatkowe zasoby

Zarządzanie jednostkami usługi — tworzenie jednostek usługi i zarządzanie nimi
Kontrola dostępu głównej usługi - udzielanie ról menedżera i użytkownika
Uprawnienia do zadań — uruchamianie zadań jako główny składnik usługi
Uwierzytelnianie automatyzacji usługi Databricks — metody uwierzytelniania dla jednostek usługi
Zarządzanie tożsamościami — omówienie zarządzania tożsamościami w usłudze Databricks

Jednostki usługi platformy Azure — Utwórz jednostki usługi Microsoft Entra ID
Automatyczne zarządzanie tożsamościami — synchronizowanie jednostek usługi z identyfikatora Entra firmy Microsoft

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-11-28