Рекомендации по идентификации

В этой статье представлена мнение о том, как лучше настроить удостоверение в Azure Databricks. В ней содержится руководство по миграции в федерацию удостоверений, которая позволяет управлять всеми пользователями, группами и субъектами-службами в учетной записи Azure Databricks.

Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения о безопасном доступе к API Azure Databricks см. в статье "Управление разрешениями маркера личного доступа".

Настройка пользователей, субъектов-служб и групп

Существует три типа удостоверений Azure Databricks.

  • Пользователи: удостоверения пользователей, распознанные Azure Databricks и представленные адресами электронной почты.
  • Субъекты-службы: удостоверения, предназначенные для использования с заданиями, автоматизированными инструментами и системами, например скриптами, приложениями и платформами CI/CD.
  • Группы — упрощают управление удостоверениями, облегчая назначение доступа к рабочим областям, данным и другим защищаемым объектам.

Databricks рекомендует создавать субъекты-службы для выполнения рабочих заданий или изменения рабочих данных. Если все процессы, которые работают с рабочими данными с помощью субъектов-служб, интерактивные пользователи не нуждаются в записи, удалении или изменении привилегий в рабочей среде. Это устраняет риск случайно перезаписи рабочих данных пользователем.

Рекомендуется назначать доступ к рабочим областям и политикам управления доступом в каталоге Unity группам, а не пользователям по отдельности. Все удостоверения Azure Databricks можно назначать как члены групп, а члены наследуют разрешения, назначенные их группе.

Ниже приведены административные роли, которые могут управлять удостоверениями Azure Databricks:

  • Администраторы учетных записей могут добавлять пользователей, субъектов-служб и группы в учетную запись и назначать им роли администратора. Они могут предоставить пользователям доступ к рабочим областям, если эти рабочие области используют федерацию удостоверений.
  • Администраторы рабочей области могут добавлять пользователей, субъектов-служб в учетную запись Azure Databricks. Они также могут добавлять группы в учетную запись Azure Databricks, если их рабочие области включены для федерации удостоверений. Администраторы рабочей области могут предоставлять пользователям, субъектам-службам и группам доступ к рабочим областям.
  • Руководители групп могут управлять членством в группах . Они также могут назначать других пользователей роль диспетчера групп.
  • Руководители субъектов-служб могут управлять ролями в субъекте-службе.

Databricks рекомендует иметь ограниченное количество администраторов учетных записей для каждой учетной записи и администраторов рабочих областей в каждой рабочей области.

Синхронизация пользователей и групп из идентификатора Microsoft Entra с учетной записью Azure Databricks

Databricks рекомендует использовать подготовку SCIM для автоматической синхронизации пользователей и групп из идентификатора Microsoft Entra с учетной записью Azure Databricks. SCIM упрощает подключение нового сотрудника или команды с помощью идентификатора Microsoft Entra для создания пользователей и групп в Azure Databricks и предоставления им соответствующего уровня доступа. Когда пользователь покидает вашу организацию или больше не нуждается в доступе к Azure Databricks, администраторы могут завершить работу пользователя в идентификаторе Microsoft Entra, а учетная запись пользователя также будет удалена из Azure Databricks. Это гарантирует согласованный процесс отключения и предотвращает доступ несанкционированных пользователей к конфиденциальным данным.

Необходимо синхронизировать всех пользователей и групп в идентификаторе Microsoft Entra с консолью учетной записи, а не отдельными рабочими областями. Таким образом, необходимо настроить только одно приложение подготовки SCIM, чтобы обеспечить согласованность всех удостоверений во всех рабочих областях в учетной записи. См. раздел "Включить все пользователи идентификатора Microsoft Entra" для доступа к Azure Databricks.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См . статью "Обновление до федерации удостоверений".

Схема SCIM на уровне учетной записи

Схема SCIM уровня учетной записи

Если у вас есть менее 10 000 пользователей в поставщике удостоверений, Databricks рекомендует назначить группу в поставщике удостоверений, которая содержит всех пользователей приложению SCIM на уровне учетной записи. Затем определенные пользователи, группы и субъекты-службы могут быть назначены из учетной записи определенным рабочим областям в Azure Databricks с помощью федерации удостоверений.

Включение федерации удостоверений

Федерация удостоверений позволяет настраивать пользователей, субъектов-служб и группы в консоли учетной записи, а затем назначать эти удостоверения для определенных рабочих областей. Это упрощает администрирование Azure Databricks и управление данными.

Внимание

Databricks начал включать новые рабочие области для федерации удостоверений и каталога Unity автоматически 9 ноября 2023 г. с развертыванием постепенного развертывания между учетными записями. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".

С помощью федерации удостоверений вы настраиваете пользователей Azure Databricks, субъектов-служб и групп один раз в консоли учетной записи, а не повторяйте конфигурацию отдельно в каждой рабочей области. Это снижает трудности при подключении новой команды к Azure Databricks и позволяет поддерживать одно приложение подготовки SCIM с идентификатором Microsoft Entra в учетную запись Azure Databricks, а не отдельное приложение подготовки SCIM для каждой рабочей области. После добавления пользователей, субъектов-служб и групп в учетную запись их можно назначить им разрешения на рабочие области. Вы можете назначить удостоверения на уровне учетной записи только для рабочих областей, которые включены для федерации удостоверений.

Схема удостоверений на уровне учетной записи

Чтобы включить рабочую область для федерации удостоверений, см. инструкции по включению федерации удостоверений в рабочей области? По завершении назначения федерация удостоверений помечается как включенная на вкладке "Конфигурация рабочей области" в консоли учетной записи.

Федерация удостоверений включена на уровне рабочей области и может иметь сочетание федеративных и неудостоверяемых рабочих областей. Для тех рабочих областей, которые не включены для федерации удостоверений, администраторы рабочих областей управляют пользователями рабочей области, субъектами-службами и группами полностью в пределах рабочей области (устаревшая модель). Они не могут использовать консоль учетной записи или API уровня учетной записи для назначения пользователей из учетной записи этим рабочим областям, но они могут использовать любой из интерфейсов уровня рабочей области. При каждом добавлении нового пользователя или субъекта-службы в рабочую область с помощью интерфейсов уровня рабочей области этот пользователь или субъект-служба синхронизируется с уровнем учетной записи. Это позволяет иметь один согласованный набор пользователей и субъектов-служб в вашей учетной записи.

Однако при добавлении группы в федеративную рабочую область без удостоверений с помощью интерфейсов уровня рабочей области эта группа является локальной группой рабочей области и не добавляется в учетную запись. Необходимо использовать группы учетных записей, а не локальные группы рабочей области. Локальные группы рабочей области не могут быть предоставлены политики управления доступом в каталоге Unity или разрешения для других рабочих областей.

Обновление до федерации удостоверений

Если вы включаете федерацию удостоверений в существующей рабочей области, сделайте следующее:

  1. Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи

    Если у вас настроена подготовка SCIM на уровне рабочей области, необходимо настроить подготовку SCIM на уровне учетной записи и отключить средство подготовки SCIM на уровне рабочей области. SCIM уровня рабочей области продолжит создавать и обновлять локальные группы рабочей области. Databricks рекомендует использовать группы учетных записей вместо локальных групп рабочей области, чтобы воспользоваться преимуществами централизованного назначения рабочей области и управления доступом к данным с помощью каталога Unity. ScIM уровня рабочей области также не распознает группы учетных записей, назначенные федеративной рабочей области и вызовам API SCIM уровня рабочей области, если они включают группы учетных записей. Дополнительные сведения об отключении SCIM уровня рабочей области см. в статье "Миграция подготовки SCIM на уровне рабочей области" на уровень учетной записи.

  2. Преобразование локальных групп рабочей области в группы учетных записей

    Databricks рекомендует преобразовать существующие группы рабочей области в группы учетных записей. Инструкции см. в разделе "Миграция локальных групп рабочей области" в группы учетных записей.

Назначение разрешений рабочей области групп

Теперь, когда федерация удостоверений включена в рабочей области, вы можете назначить пользователей, субъектов-служб и группы в разрешениях учетной записи в этой рабочей области. Databricks рекомендует назначать группам разрешения для рабочих областей, а не назначать разрешения рабочей области пользователям по отдельности. Все удостоверения Azure Databricks можно назначать как члены групп, а члены наследуют разрешения, назначенные их группе.

Добавление разрешений рабочей области

Подробнее