Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird das Azure Databricks-Identitätsverwaltungsmodell eingeführt und bietet eine Übersicht, wie Benutzer, Gruppen und Dienstprinzipale in Azure Databricks verwaltet werden.
Eine wertende Perspektive zum optimalen Konfigurieren der Identität in Azure Databricks finden Sie unter Bewährte Identitätsmethoden.
Informationen zum Verwalten des Zugriffs für Benutzer, Dienstprinzipale und Gruppen finden Sie unter Authentifizierung und Zugriffssteuerung.
Azure Databricks-Identitäten
Es gibt drei Arten von Azure Databricks-Identitäten:
Benutzer: Benutzeridentitäten, die von Azure Databricks erkannt und durch E-Mail-Adressen dargestellt werden.
Dienstprinzipale: Identitäten zur Verwendung mit Aufträgen, automatisierten Tools und Systemen wie Skripts, Apps und CI/CD-Plattformen.
Gruppen: Eine Sammlung von Identitäten, die von Administratoren zum Verwalten des Gruppenzugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte verwendet werden. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden.
Ein Azure Databricks-Konto kann maximal 10.000 kombinierte Benutzer, Benutzerinnen und Dienstprinzipale sowie bis zu 5.000 Gruppen aufweisen. Jeder Arbeitsbereich kann auch maximal 10.000 kombinierte Benutzer, Benutzerinnen und Dienstprinzipale als Mitglieder sowie bis zu 5.000 Gruppen enthalten.
Ausführliche Informationen finden Sie hier:
Wer kann Identitäten in Azure Databricks verwalten?
Um Identitäten in Azure Databricks zu verwalten, müssen Sie über eine der folgenden Rollen verfügen:
Kontoadministratoren können Benutzer, Dienstprinzipale und Gruppen im Konto hinzufügen, aktualisieren und löschen. Sie können Administratorrollen zuweisen und Benutzern Zugriff auf Arbeitsbereiche gewähren, solange diese Arbeitsbereiche den Identitätsverbund verwenden.
Informationen zum Einrichten Ihres ersten Kontoadministrators finden Sie unter Einrichten Ihres ersten Kontoadministrators.
Arbeitsbereichsadministratoren können dem Azure Databricks-Konto Benutzer und Dienstprinzipale hinzufügen. Wenn ihre Arbeitsbereiche für den Identitätsverbund aktiviert sind, können sie dem Konto auch Gruppen hinzufügen. Arbeitsbereichsadministratoren können Benutzern, Dienstprinzipalen und Gruppen Zugriff auf ihre Arbeitsbereiche gewähren, jedoch keine Benutzer oder Dienstprinzipale aus dem Konto löschen.
Arbeitsbereichsadministratoren können auch ältere Arbeitsbereichs-lokale Gruppen verwalten. Weitere Informationen finden Sie unter Verwalten von arbeitsbereichslokalen Gruppen (Legacy).
Gruppenmanager können Gruppenmitgliedschaften verwalten und Gruppen löschen. Sie können die Rolle „Gruppenmanager“ auch anderen Benutzern zuweisen. Kontoadministratoren haben die Rolle „Gruppenmanager“ für alle Gruppen im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Gruppenmanager“ für Kontogruppen, die sie erstellen. Sehen Sie sich an, wer Gruppen verwalten kann?.
Dienstprinzipalmanager können Rollen für einen Dienstprinzipal verwalten. Kontoadministratoren verfügen über die Rolle „Dienstprinzipalmanager“ für alle Dienstprinzipale im Konto. Arbeitsbereichsadministratoren verfügen über die Rolle „Dienstprinzipalmanager“ für Dienstprinzipale, die sie erstellen. Weitere Informationen finden Sie unter Rollen zum Verwalten von Dienstprinzipalen.
Aktivieren des Identitätsverbunds
Die meisten Arbeitsbereiche sind standardmäßig für den Identitätsverbund aktiviert. Databricks begann am 9. November 2023, automatisch neue Arbeitsbereiche für den Identitätsverbund und Unity Catalog zu aktivieren, wobei ein Rollout schrittweise über Konten hinweg fortgesetzt wird. Wenn Ihr Arbeitsbereich standardmäßig für den Identitätsverbund aktiviert ist, kann er nicht deaktiviert werden. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.
Um den Identitätsverbund in einem Arbeitsbereich zu aktivieren, müssen Kontoadministrator*innen den Arbeitsbereich für Unity Catalog aktivieren, indem sie einen Unity Catalog-Metastore zuweisen. Wenn die Zuweisung abgeschlossen ist, wird der Identitätsverbund auf der Registerkarte "Konfiguration" des Arbeitsbereichs in der Kontokonsole als "Aktiviert" markiert. Weitere Informationen finden Sie unter Aktivieren eines Arbeitsbereichs für Unity Catalog.
Wenn Sie in einem Identitätsverbundarbeitsbereich einen Benutzer, Dienstprinzipal oder eine Gruppe in den Arbeitsbereichsadministratoreinstellungen hinzufügen möchten, haben Sie die Möglichkeit, einen Benutzer, einen Dienstprinzipal oder eine Gruppe aus Ihrem Konto auszuwählen.
In einem Verbundarbeitsbereich ohne Identität haben Sie keine Möglichkeit, Benutzer, Dienstprinzipale oder Gruppen aus Ihrem Konto hinzuzufügen.
Zuweisen von Benutzern zu Azure Databricks
Databricks empfiehlt, Identitäten von Microsoft Entra ID mit Azure Databricks mithilfe der automatischen Identitätsverwaltung zu synchronisieren. Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden.
Mithilfe der automatischen Identitätsverwaltung können Sie direkt in Identitätsverbundarbeitsbereichen nach Microsoft Entra-ID-Benutzern, Dienstprinzipalen und Gruppen suchen und sie ihrem Arbeitsbereich und dem Azure Databricks-Konto hinzufügen. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Ausführliche Anweisungen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID.
Sie können auch die Just-in-Time-Bereitstellung (JIT) so konfigurieren, dass neue Benutzerkonten bei der ersten Anmeldung automatisch aus Microsoft Entra ID erstellt werden. Siehe Automatische Bereitstellung von Benutzern (JIT)
Zuweisen von Benutzern zu Arbeitsbereichen
Damit ein Benutzer, ein Dienstprinzipal oder eine Gruppe in einem Azure Databricks-Arbeitsbereich arbeiten kann, muss ein Kontoadministrator oder ein Arbeitsbereichsadministrator sie einem Arbeitsbereich zuweisen. Sie können Benutzern, Dienstprinzipalen und Gruppen, die im Konto vorhanden sind, Arbeitsbereichszugriff zuweisen, solange der Arbeitsbereich für den Identitätsverbund aktiviert ist.
Arbeitsbereichsadministratoren können auch einen neuen Benutzer, Dienstprinzipal oder eine neue Gruppe direkt zu einem Arbeitsbereich hinzufügen. Diese Aktion fügt dem Konto automatisch den ausgewählten Benutzer, Dienstprinzipal oder die ausgewählte Gruppe hinzu und weist sie diesem bestimmten Arbeitsbereich zu.
Für Arbeitsbereiche, die nicht für den Identitätsverbund aktiviert sind, verwalten Arbeitsbereichsadministratoren ihre Arbeitsbereichsbenutzer, Dienstprinzipale und Gruppen vollständig im Bereich des Arbeitsbereichs. Benutzer*innen und Dienstprinzipale, die Verbundarbeitsbereichen ohne Identität hinzugefügt werden, werden dem Konto automatisch hinzugefügt. Wenn der Arbeitsbereichsbenutzer einen Benutzernamen (E-Mail-Adresse) mit einem Kontobenutzer oder -administrator teilt, der bereits vorhanden ist, werden diese Benutzer zusammengeführt. Gruppen, die Verbundarbeitsbereichen ohne Identität hinzugefügt werden, sind arbeitsbereichslokale Legacygruppen, die dem Konto nicht hinzugefügt werden.
Ausführliche Anweisungen finden Sie unter:
- Hinzufügen von Benutzern zu einem Arbeitsbereich
- Hinzufügen von Dienstprinzipalen zu einem Arbeitsbereich
- Hinzufügen von Gruppen zu einem Arbeitsbereich
Freigeben von Dashboards für Kontobenutzer
Benutzer können veröffentlichte Dashboards für andere Benutzer im Azure Databricks-Konto freigeben, auch wenn diese Benutzer nicht Mitglieder ihres Arbeitsbereichs sind. Mithilfe der automatischen Identitätsverwaltung können Benutzer Dashboards für jeden Benutzer in microsoft Entra ID freigeben, der den Benutzer beim Anmelden zum Azure Databricks-Konto hinzufügt. Benutzer im Azure Databricks-Konto, die keinem Arbeitsbereich angehören, sind das Äquivalent zu Benutzern, die in anderen Tools nur die Ansicht nutzen. Sie können Objekte ansehen, die für sie freigegeben wurden, aber sie können keine Objekte ändern. Benutzer*innen in einem Azure Databricks-Konto haben keinen Standardzugriff auf einen Arbeitsbereich, Daten oder Computeressourcen. Weitere Informationen finden Sie unter Benutzer- und Gruppenverwaltung.
Zuweisen von Rollen, Zuweisungen und Berechtigungen
Administratoren können Benutzern, Dienstprinzipalen und Gruppen Rollen, Ansprüche und Berechtigungen zuweisen. Weitere Informationen finden Sie unter Übersicht über die Zugriffssteuerung.
Einmaliges Anmelden (Single Sign-On, SSO)
Einmaliges Anmelden (Single Sign-On, SSO) in Form von Microsoft Entra ID-gesicherter Anmeldung ist in Azure Databricks für alle Kunden standardmäßig sowohl für die Kontokonsole als auch für Arbeitsbereiche verfügbar.