Mengelola pengguna, perwakilan layanan, dan grup
Artikel ini memperkenalkan model manajemen identitas Azure Databricks dan memberikan gambaran umum tentang cara mengelola pengguna, grup, dan perwakilan layanan di Azure Databricks.
Untuk perspektif tentang cara terbaik mengonfigurasi identitas di Azure Databricks, lihat praktik terbaik untuk identitas.
Untuk mengelola akses bagi pengguna, perwakilan layanan, dan grup, lihat Autentikasi dan kontrol akses.
Identitas Azure Databricks
Ada tiga jenis identitas Azure Databricks:
- Pengguna: Identitas pengguna yang dikenali oleh Azure Databricks dan diwakili oleh alamat email.
- Prinsipal layanan: Identitas untuk digunakan dalam tugas, alat otomatis, dan sistem seperti skrip, aplikasi, dan platform CI/CD.
- Grup: Kumpulan identitas yang digunakan oleh admin untuk mengelola akses grup ke ruang kerja, data, dan objek yang dapat diamankan lainnya. Semua identitas Databricks dapat ditetapkan sebagai anggota grup. Ada dua jenis grup di Azure Databricks: grup akun dan grup lokal ruang kerja. Untuk informasi selengkapnya, lihat Jenis grup di Azure Databricks.
Akun Azure Databricks dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan, bersama dengan hingga 5.000 grup. Setiap ruang kerja juga dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan sebagai anggota, bersama dengan hingga 5.000 grup.
Untuk petunjuk terperinci, lihat:
- Mengelola pengguna
- Mengelola perwakilan layanan
- Kelola grup
- Menyinkronkan pengguna dan grup dari MICROSOFT Entra ID menggunakan SCIM
Siapa yang dapat mengelola identitas di Azure Databricks?
Untuk mengelola identitas di Azure Databricks, Anda harus memiliki salah satu hal berikut: peran admin akun, peran admin ruang kerja, atau peran manajer pada perwakilan layanan atau grup.
Admin akun dapat menambahkan pengguna, perwakilan layanan, dan grup ke akun dan menetapkan peran admin kepada mereka. Admin akun dapat memperbarui dan menghapus pengguna, perwakilan layanan, dan grup di akun. Mereka dapat memberi pengguna akses ke ruang kerja, selama ruang kerja tersebut menggunakan federasi identitas.
Untuk menetapkan admin akun pertama Anda, lihat Menetapkan admin akun pertama Anda
Admin ruang kerja dapat menambahkan pengguna dan perwakilan layanan ke akun Azure Databricks. Mereka juga dapat menambahkan grup ke akun Azure Databricks jika ruang kerja mereka diaktifkan untuk federasi identitas. Admin ruang kerja dapat memberi pengguna, perwakilan layanan, dan grup akses ke ruang kerja mereka. Mereka tidak dapat menghapus pengguna dan perwakilan layanan dari akun.
Admin ruang kerja juga dapat mengelola grup ruang kerja-lokal. Untuk informasi selengkapnya, lihat Mengelola grup workspace-local (warisan).
Manajer grup dapat mengelola keanggotaan grup dan menghapus grup. Mereka juga dapat menetapkan peran manajer grup kepada pengguna lain. Admin akun memiliki peran manajer grup pada semua grup di akun. Admin ruang kerja memiliki peran manajer grup pada grup akun yang mereka buat. Lihat Siapa yang bisa mengelola grup akun?.
Pengelola prinsipal layanan dapat mengelola peran pada prinsipal layanan. Admin akun memiliki peran pengelola prinsipal layanan untuk semua prinsipal layanan di akun. Admin ruang kerja memiliki peran manajer perwakilan layanan pada perwakilan layanan yang mereka buat. Untuk informasi selengkapnya, lihat Peran untuk mengelola prinsipal layanan.
Menetapkan pengguna ke Azure Databricks
Databricks merekomendasikan sinkronisasi pengguna, perwakilan layanan, dan grup dari ID Microsoft Entra ke Azure Databricks menggunakan manajemen identitas otomatis (Pratinjau Umum).
Dengan menggunakan manajemen identitas otomatis, Anda dapat menambahkan pengguna, perwakilan layanan, dan grup dari ID Microsoft Entra ke Azure Databricks tanpa mengonfigurasi aplikasi di ID Microsoft Entra. Saat diaktifkan, Anda dapat langsung mencari di ruang kerja terfederasi identitas untuk pengguna Microsoft Entra ID, perwakilan layanan, dan grup, lalu menambahkannya ke ruang kerja Anda dan ke akun Azure Databricks. Databricks menggunakan ID Microsoft Entra sebagai sumber rekaman, sehingga setiap perubahan pada pengguna atau keanggotaan grup dihormati di Azure Databricks. Untuk instruksi mendetail, lihat Menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra.
Pengguna dapat berbagi dasbor yang diterbitkan dengan pengguna lain di akun Azure Databricks, meskipun pengguna tersebut bukan anggota ruang kerja mereka. Dengan menggunakan manajemen identitas otomatis, pengguna dapat berbagi dasbor dengan pengguna mana pun di ID Microsoft Entra, yang menambahkan pengguna ke akun Azure Databricks saat masuk. Pengguna di akun Azure Databricks yang bukan anggota ruang kerja mana pun setara dengan pengguna yang hanya bisa melihat di alat lain. Mereka dapat melihat objek yang telah dibagikan dengannya, tetapi tidak dapat mengubah objek. Pengguna di akun Azure Databricks tidak memiliki akses default ke ruang kerja, data, atau sumber daya komputasi. Untuk informasi selengkapnya, lihat Manajemen pengguna dan grup untuk berbagi dasbor.
Menetapkan pengguna ke ruang kerja
Untuk mengaktifkan pengguna, perwakilan layanan, atau grup untuk bekerja di ruang kerja Azure Databricks, admin akun atau admin ruang kerja perlu menetapkannya ke ruang kerja. Anda dapat menetapkan akses ruang kerja kepada pengguna, perwakilan layanan, dan grup yang ada di akun selama ruang kerja diaktifkan untuk federasi identitas.
Admin ruang kerja juga dapat menambahkan pengguna baru, perwakilan layanan, atau grup akun langsung ke ruang kerja. Tindakan ini secara otomatis menambahkan pengguna, perwakilan layanan, atau grup akun yang dipilih ke akun dan menetapkannya ke ruang kerja tertentu.
Catatan
Admin ruang kerja juga dapat membuat grup lokal lama dalam ruang kerja menggunakan API Grup Ruang Kerja. Grup yang bersifat lokal di ruang kerja tidak ditambahkan secara otomatis ke akun. Grup lokal ruang kerja tidak dapat ditetapkan ke ruang kerja tambahan, atau diberikan akses ke data dalam Unity Catalog metastore.
Untuk ruang kerja yang tidak diaktifkan untuk federasi identitas, admin ruang kerja mengelola pengguna ruang kerja, perwakilan layanan, dan grup mereka sepenuhnya dalam lingkup ruang kerja. Pengguna dan perwakilan layanan yang ditambahkan ke ruang kerja federasi non-identitas secara otomatis ditambahkan ke akun. Grup yang ditambahkan ke ruang kerja gabungan non-identitas adalah grup warisan yang spesifik untuk lokal ruang kerja dan tidak ditambahkan ke akun.
Jika pengguna ruang kerja berbagi nama pengguna (alamat email) dengan pengguna akun atau admin yang sudah ada, pengguna tersebut akan digabungkan.
Untuk petunjuk terperinci, lihat:
- Menambahkan pengguna ke ruang kerja
- Menambahkan prinsipal layanan ke ruang kerja
- Menambahkan grup ke ruang kerja
Mengaktifkan federasi identitas
Databricks mulai mengaktifkan ruang kerja baru untuk federasi identitas dan Unity Catalog secara otomatis pada 9 November 2023, dengan peluncuran berlangsung secara bertahap di seluruh akun. Jika ruang kerja Anda diaktifkan untuk federasi identitas secara default, ruang kerja tidak dapat dinonaktifkan. Untuk informasi selengkapnya, lihat Pengaktifan Otomatis Katalog Unity.
Untuk mengaktifkan federasi identitas dalam ruang kerja, admin akun perlu mengaktifkan ruang kerja untuk Katalog Unity dengan menetapkan metastore Katalog Unity. Lihat Mengaktifkan ruang kerja untuk Unity Catalog.
Setelah penugasan selesai, federasi identitas ditandai sebagai Diaktifkan pada tab Konfigurasi ruang kerja di konsol akun.
Admin ruang kerja dapat mengetahui apakah ruang kerja mengaktifkan federasi identitas dari halaman pengaturan admin ruang kerja. Di ruang kerja federasi identitas, saat Anda memilih untuk menambahkan pengguna, perwakilan layanan, atau grup di pengaturan admin ruang kerja, Anda memiliki opsi untuk memilih pengguna, perwakilan layanan, atau grup dari akun Anda untuk ditambahkan ke ruang kerja.
Di ruang kerja gabungan non-identitas, Anda tidak memiliki opsi untuk menambahkan pengguna, perwakilan layanan, atau grup dari akun Anda.
Menetapkan peran admin
Admin akun dapat menetapkan pengguna lain sebagai admin akun. Mereka juga dapat menjadi admin metastore Unity Catalog dengan membuat metastore, dan dapat mentransfer peran admin metastore ke pengguna atau grup lain.
Admin akun dan admin ruang kerja dapat menetapkan pengguna lain sebagai admin ruang kerja. Peran admin ruang kerja ditentukan oleh keanggotaan di grup admin ruang kerja, yang merupakan grup default di Azure Databricks dan tidak dapat dihapus.
Admin akun juga dapat menetapkan pengguna lain sebagai admin Marketplace.
Lihat:
- Menetapkan peran admin akun kepada pengguna
- Menetapkan peran admin ruang kerja kepada pengguna menggunakan halaman pengaturan admin ruang kerja
- Menetapkan admin metastore
- Menetapkan peran admin Marketplace
Menetapkan hak
Hak merupakan properti yang mengizinkan agar pengguna, perwakilan layanan, atau grup dapat berinteraksi dengan Azure Databricks dengan cara tertentu. Hak akses diberikan kepada pengguna di tingkat ruang kerja. Untuk informasi selengkapnya, lihat Mengelola pemberian izin.
Menyiapkan akses menyeluruh (SSO)
Akses menyeluruh (SSO) dalam bentuk login yang didukung ID Microsoft Entra tersedia di Azure Databricks untuk semua pelanggan secara default. Anda dapat menggunakan masuk tunggal Microsoft Entra ID untuk konsol akun dan ruang kerja.
Lihat Akses menyeluruh menggunakan ID Microsoft Entra.