本頁說明 Azure Databricks 如何使用自動身分識別管理,從 Microsoft Entra ID 自動同步使用者、服務主體和群組。
自動身分識別管理概觀
自動身分識別管理可讓您順暢地將使用者、服務主體和群組從 Microsoft Entra ID 新增至 Azure Databricks,而不需在 Microsoft Entra ID 中設定應用程式。 啟用自動身分識別管理時,您可以直接在身分識別同盟工作區中搜尋 Microsoft Entra ID 使用者、服務主體和群組,並將其新增至您的工作區。 Databricks 使用 Microsoft Entra ID 作為權威記錄來源,因此 Azure Databricks 會反映群組成員資格的任何變更。
開啟自動身分識別管理時,一律會啟用 Just-In-Time (JIT) 佈建,而且您無法將其關閉。 來自 Microsoft Entra ID 的新使用者在首次登入時會自動配置為 Azure Databricks 使用者。 請參閱 自動佈建使用者 (JIT) 。
使用者也可以在 Microsoft Entra ID 中與任何使用者、服務主體或群組共用儀錶板。 共享時,那些使用者、服務主體和群組成員會在登入時自動被加入 Azure Databricks 帳號。 他們不會被新增為儀錶板所在工作區的成員。 無權存取工作區的 Microsoft Entra ID 成員會獲得僅供檢視的儀表板存取權,該儀表板是以共用資料許可權發佈的。 如需儀錶板共用的詳細資訊,請參閱 共用儀錶板。
非身分識別同盟工作區不支持自動身分識別管理。 欲了解更多身份聯邦的資訊,請參見 身份聯邦。
使用者和群組狀態
啟用自動身分識別管理時,帳戶控制台和工作區系統管理員設定頁面中會顯示來自 Microsoft Entra 識別碼的使用者、服務主體和群組。 其狀態會反映其Microsoft Entra ID 與 Azure Databricks 之間的活動和狀態:
| 地位 | 意義 |
|---|---|
| 未使用:無使用 | 針對使用者和服務主體:Microsoft Entra ID 中尚未登入 Azure Databricks 的身分識別。 對於群組:群組尚未新增至工作區。 |
| 活動中 | 身分識別在 Azure Databricks 中為作用中。 |
| 使用中:已從 EntraID 移除 | 先前在 Azure Databricks 中處於作用中狀態,且已從 Microsoft Entra 識別中移除。 無法登入或驗證 API。 |
| 已停用 | Microsoft Entra ID 中已停用身分識別。 無法登入或驗證 API。 |
小提示
作為安全性最佳做法,Databricks 建議撤銷已 停用 和 仍在使用狀態但已從 EntraID 中移除 的使用者之個人存取權杖。
使用自動身分識別管理管理的身分識別會在 Azure Databricks 中顯示為 外部 。 無法使用 Azure Databricks UI 來更新外部身分識別。
自動身分識別管理與 SCIM 布建
啟用自動身分識別管理時,所有使用者、群組和群組成員資格都會從 Microsoft Entra ID 同步至 Azure Databricks,因此不需要 SCIM 布建。 如果您讓 SCIM 企業應用程式保持平行執行,SCIM 應用程式會繼續管理在 Microsoft Entra ID 企業應用程式中設定的使用者和群組。 它不會管理未使用 SCIM 佈建新增的 Microsoft Entra ID 身分識別。
Databricks 建議使用自動身分識別管理。 下表比較自動身分識別管理功能與 SCIM 布建的功能。
| 特徵 | 自動身分識別管理 | SCIM 配置 |
|---|---|---|
| 同步使用者 | ✓ | ✓ |
| 同步群組 | ✓ | ✓ (僅限直接成員) |
| 同步巢狀群組 | ✓ | |
| 同步服務主體 | ✓ | |
| 設定和管理 Microsoft Entra ID 應用程式 | ✓ | |
| 需要Microsoft Entra ID Premium 版本 | ✓ | |
| 需要 Microsoft Entra ID 雲端應用程式管理員角色 | ✓ | |
| 需要身份聯邦認證 | ✓ |
Azure Databricks 外部 ID 和 Microsoft Entra ID 物件 ID
Azure Databricks 會使用 Microsoft Entra ID ObjectId 作為同步身分識別和群組成員資格的權威性連結,並自動更新 externalId 欄位以符合每日循環流程中的欄位 ObjectId 。 在某些情況下,仍可能會發生不相符或重複的身分識別,特別是如果使用者、服務主體或群組透過自動身分識別管理和另一種方法新增至 Azure Databricks,例如 SCIM 布建。 在這些情況下,您可能會看到重複的條目,其中一個條目的狀態為 非使用中:無使用。 使用者並非不活動,而是可以登入 Azure Databricks。
您可以在 Azure Databricks 中提供其外部識別碼,以合併這些重複的身分識別。 使用帳戶使用者、帳戶服務主體或帳戶群組 API 來更新主體,以在objectId欄位中新增其Microsoft Entra 識別碼externalId。
Azure Databricks 強烈建議您不要使用會隨著時間更新的externalId和相依於externalId欄位的自定義工作流程。
群組成員同步的運作方式
啟用自動身份管理後,Azure Databricks 會在觸發驗證與授權檢查的活動中,從 Microsoft Entra ID 中刷新使用者群組成員資格,例如瀏覽器登入、權杖驗證或工作執行。 這確保了 Azure Databricks 中的群組權限與 Microsoft Entra ID 的變更同步。
當 Azure Databricks 刷新群組成員資格時,會從 Microsoft Entra ID 擷取遞迴(巢狀)群組成員資格。 這表示如果使用者是 Group A 的成員,而 Group A 是 Group B 的成員,Azure Databricks 會辨識該使用者同時擁有兩個群組的成員身份。 Azure Databricks 只會取得已加入 Azure Databricks 的群組成員資格。 它不會同步或重建 Microsoft Entra ID 的完整父群組階層結構。
Azure Databricks 會根據活動的不同排程更新群組成員資格:
- 瀏覽器登入:如果距離上次同步已超過5分鐘,則會同步群組成員資格
- 其他活動 (例如,憑證驗證或執行工作):若距離上次同步超過40分鐘,群組成員資格會同步
啟用自動身分識別管理
預設情況下,自動身分管理會針對 2025 年 8 月 1 日之後建立的帳戶啟用。 帳戶管理員可以在帳戶主控台中啟用自動身分管理。
身為帳戶管理員,登入帳戶控制台。
在側邊欄中,按一下「安全性」。
在 [使用者佈建 ] 索引標籤中,將 [自動身分識別管理] 切換為 [已啟用]。
變更需要五到十分鐘才能生效。
啟用您的帳戶之後,若要從 Microsoft Entra 識別元新增和移除使用者、服務主體和群組,請遵循下列指示:
停用自動身分識別管理
停用自動身分識別管理時:
- 使用者和服務主體仍然存在:它們仍然擁有存取權,但不再與 Microsoft Entra ID 同步處理。 停用自動身分管理後,您可以在帳戶主控台中手動移除或停用使用者和服務主體。
- 群組會失去成員資格:群組會保留在 Azure Databricks 中,但會移除所有群組成員。
- 未與 Microsoft Entra ID 同步處理:Microsoft Entra ID 中的變更 (例如使用者移除或群組更新) 不會反映在 Azure Databricks 中。
- 無權限繼承:由自動身分識別管理管理的使用者無法繼承父群組的權限。 這會影響巢狀群組型權限模型。
如果您打算停用自動身分識別管理,Databricks 建議您事先設定 SCIM 布建作為後援。 然後,SCIM 可以接管身分識別和群組同步處理。
- 身為帳戶管理員,登入帳戶控制台。
- 在側邊欄中,按一下「安全性」。
- 在 [ 使用者佈建 ] 索引標籤中,將 [ 自動身分識別管理 ] 切換為 [ 已停用]。
稽核使用者登入
您可以查詢 system.access.audit 數據表,以稽核哪些使用者已登入工作區。 例如:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
如需數據表的詳細資訊 system.access.audit ,請參閱 稽核記錄系統數據表參考。