Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina descrive in che modo Azure Databricks sincronizza automaticamente utenti, entità servizio e gruppi da Microsoft Entra ID usando la gestione automatica delle identità.
Panoramica della gestione automatica delle identità
La gestione automatica delle identità consente di aggiungere senza problemi utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Quando la gestione automatica delle identità è abilitata, è possibile cercare direttamente nelle aree di lavoro federate di identità gli utenti, le entità servizio e i gruppi Microsoft Entra ID e aggiungerli all'area di lavoro. Databricks usa Microsoft Entra ID come origine del record, quindi tutte le modifiche apportate alle appartenenze ai gruppi vengono rispettate in Azure Databricks.
Il provisioning JIT (Just-In-Time) è sempre abilitato quando la gestione automatica delle identità è attivata e non è possibile disattivarla. Il provisioning dei nuovi utenti di Microsoft Entra ID viene eseguito automaticamente in Azure Databricks al primo accesso. Vedere Provisioning automatico degli utenti (JIT).
Gli utenti possono anche condividere dashboard con qualsiasi utente, entità servizio o gruppo in Microsoft Entra ID. Quando vengono condivisi, gli utenti, le entità servizio e i membri dei gruppi vengono aggiunti automaticamente all'account Azure Databricks al momento dell'accesso. Non vengono aggiunti come membri all'area di lavoro in cui si trova il dashboard. Ai membri di Microsoft Entra ID che non hanno accesso all'area di lavoro viene concesso l'accesso a una copia di sola visualizzazione di un dashboard pubblicato con autorizzazioni di dati condivise. Per altre informazioni sulla condivisione del dashboard, vedere Condividere un dashboard.
La gestione automatica delle identità non è supportata nelle aree di lavoro federate senza identità. Per altre informazioni sulla federazione delle identità, vedere Federazione delle identità.
Stati utente e gruppo
Quando la gestione automatica delle identità è abilitata, gli utenti, le entità servizio e i gruppi di Microsoft Entra ID sono visibili nella console dell'account e nella pagina delle impostazioni di amministrazione dell'area di lavoro. Lo stato riflette l'attività e la condizione tra Microsoft Entra ID e Azure Databricks.
| stato | Significato |
|---|---|
| Inattivo: nessun utilizzo | Per gli utenti e le entità servizio principali: un'identità in Microsoft Entra ID che non ha ancora effettuato l'accesso ad Azure Databricks. Per i gruppi: il gruppo non è stato aggiunto a un'area di lavoro. |
| Attivo | L'identità è attiva in Azure Databricks. |
| Attivo: rimosso da EntraID | In precedenza attivo in Azure Databricks ed è stato rimosso dall'ID Microsoft Entra. Impossibile accedere o eseguire l'autenticazione alle API. |
| Disattivato | L'identità è stata disattivata in Microsoft Entra ID. Impossibile accedere o eseguire l'autenticazione alle API. |
Suggerimento
Come procedura consigliata per la sicurezza, Databricks consiglia di revocare i token di accesso personali per gli utenti Disattivati e Attivi: rimossi dagli utenti EntraID .
Le identità gestite tramite la gestione automatica delle identità vengono visualizzate come esterne in Azure Databricks. Le identità esterne non possono essere aggiornate usando l'interfaccia utente di Azure Databricks.
Condivisione e assegnazione delle autorizzazioni alle identità id di Microsoft Entra
Quando la gestione automatica delle identità è abilitata, è possibile selezionare Utenti e entità servizio di Microsoft Entra ID durante la condivisione o l'assegnazione di autorizzazioni in Azure Databricks.
Per i gruppi di ID Microsoft Entra, il comportamento di condivisione varia in base al tipo di asset:
- Asset a livello di account: i gruppi sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio Databricks Apps, oggetti del catalogo Unity, dashboard di intelligenza artificiale/BI, spazi Genie e assegnazione dell'area di lavoro.
- Asset a livello di area di lavoro: per condividere asset a livello di area di lavoro (ad esempio notebook, processi, warehouse SQL, avvisi e file) con i gruppi DI ID Microsoft Entra, gli amministratori dell'area di lavoro devono prima aggiungere direttamente il gruppo all'area di lavoro.
Gestione automatica delle identità contro il provisioning SCIM
Quando la gestione automatica delle identità è abilitata, tutti gli utenti, i gruppi e le appartenenze ai gruppi vengono sincronizzati da Microsoft Entra ID ad Azure Databricks in modo che il provisioning SCIM non sia necessario. Se si mantiene l'applicazione SCIM enterprise in esecuzione in parallelo, l'applicazione SCIM continua a gestire utenti e gruppi configurati nell'applicazione aziendale Microsoft Entra ID. Non gestisce identità digitali di Microsoft Entra che non sono state aggiunte tramite il provisioning SCIM.
Databricks consiglia di usare la gestione automatica delle identità. Il provisioning SCIM richiede il ruolo di Amministratore applicazioni cloud e un'applicazione Microsoft Entra ID separata. La tabella seguente confronta le funzionalità di gestione automatica delle identità con le funzionalità del provisioning SCIM.
| Caratteristiche | Gestione automatica delle identità | Provisionamento SCIM |
|---|---|---|
| Sincronizzare gli utenti | ✓ | ✓ |
| Gruppi di sincronizzazione | ✓ | ✓ (solo membri diretti) |
| Sincronizzare i gruppi annidati | ✓ | |
| Sincronizzare le entità principali di servizio | ✓ | |
| Disponibile per impostazione predefinita in Azure Databricks | ✓ | |
| Funziona con tutte le edizioni di Microsoft Entra ID | ✓ | |
| Disponibile senza ruoli di amministratore di Microsoft Entra ID | ✓ | |
| Richiede la federazione delle identità | ✓ |
ID esterno di Azure Databricks e ID oggetto di Microsoft Entra ID
Azure Databricks utilizza l'ID ObjectId di Microsoft Entra come collegamento autorevole per la sincronizzazione delle identità e delle appartenenze ai gruppi e aggiorna automaticamente il campo externalId per farlo corrispondere a ObjectId in un flusso ricorrente giornaliero. Databricks sconsiglia di combinare metodi di provisioning. L'aggiunta della stessa identità tramite sia la gestione automatica delle identità sia il provisioning SCIM causa voci duplicate e conflitti di autorizzazione. Usare la gestione automatica delle identità come l'unica fonte di verità, con appartenenze ai gruppi che rispecchiano l'ID Microsoft Entra.
È possibile unire queste identità duplicate specificando il relativo ID esterno in Azure Databricks. Usare le API Account Users, Account Service Principals o Account Groups per aggiornare il principale e aggiungere il loro ID Microsoft Entra nel campo objectId.
externalId Poiché può essere aggiornato nel tempo, Azure Databricks consiglia vivamente di non usare flussi di lavoro personalizzati che dipendono dal externalId campo.
Funzionamento della sincronizzazione delle appartenenze ai gruppi
Quando la gestione automatica delle identità è abilitata, Azure Databricks aggiorna le appartenenze ai gruppi utente dall'ID Di Microsoft Entra durante le attività che attivano controlli di autenticazione e autorizzazione, ad esempio account di accesso del browser, autenticazione del token o esecuzioni di processi. Ciò garantisce che le autorizzazioni basate su gruppo in Azure Databricks rimangano sincronizzate con le modifiche apportate in Microsoft Entra ID.
Quando Azure Databricks aggiorna i membri dei gruppi, recupera i membri dei gruppi transitivi (annidati) dall'ID Microsoft Entra. Ciò significa che se un utente è membro del gruppo A e il gruppo A è membro del gruppo B, Azure Databricks riconosce l'utente come appartenenza a entrambi i gruppi. Azure Databricks recupera solo le appartenenze per i gruppi aggiunti ad Azure Databricks. Non sincronizza o ricostruisce la gerarchia completa del gruppo padre da Microsoft Entra ID.
Azure Databricks aggiorna le appartenenze ai gruppi in base a pianificazioni diverse a seconda dell'attività:
- Account di accesso del browser: le appartenenze ai gruppi vengono sincronizzate se sono trascorsi più di 5 minuti dall'ultima sincronizzazione
- Altre attività (ad esempio, l'autenticazione dei token o i processi in esecuzione): le appartenenze ai gruppi vengono sincronizzate se sono trascorsi più di 40 minuti dall'ultima sincronizzazione
Gruppi annidati e principali del servizio
Quando la gestione automatica delle identità è abilitata, i membri dei gruppi annidati ereditano le autorizzazioni dai gruppi provisionati. Le autorizzazioni assegnate a un gruppo principale si applicano a tutti gli utenti e i principali del servizio che appartengono al gruppo, inclusi quelli aggiunti direttamente al gruppo e quelli che appartengono attraverso le appartenenze ai gruppi annidati. Tuttavia, i gruppi annidati e le entità servizio in un gruppo non sono automaticamente referenziabili nell'account, ad eccezione della condivisione del dashboard.
Visibilità dei gruppi annidati
I gruppi annidati sono visibili in Azure Databricks. Si consideri un gruppo figlio, Group-C, che è un membro di un gruppo padre, Group-P. Se si aggiunge Group-P a un'area di lavoro, tutte le identità in Group-P e Group-C hanno accesso all'area di lavoro. Nell'interfaccia utente dell'amministratore dell'account e dell'amministratore dell'area di lavoro, Group-C appare come membro nella pagina Group-P dei dettagli dei membri del gruppo. Nella pagina dei dettagli del gruppo viene visualizzato solo il primo livello di annidamento.
Considerazioni sui gruppi annidati
- Accesso all'area di lavoro: i gruppi annidati e le entità servizio non devono essere aggiunti direttamente a un'area di lavoro per ottenere l'accesso. Se un gruppo padre viene aggiunto a un'area di lavoro, tutti i membri di tale gruppo possono accedere all'area di lavoro.
- Asset a livello di account: i gruppi sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio Databricks Apps, oggetti del catalogo Unity, dashboard di intelligenza artificiale/BI, spazi Genie e assegnazione dell'area di lavoro.
- Limiti del gruppo di account e degli oggetti servizio: I gruppi annidati e gli oggetti servizio che non sono direttamente forniti all'account non vengono conteggiati nei limiti del gruppo di account. Solo i gruppi esplicitamente provisionati vengono conteggiati ai fini dei limiti.
Ad esempio, in Microsoft Entra ID si ha la struttura di gruppo seguente:
-
Marketing-All(gruppo padre)-
Marketing-US(gruppo figlio) -
Marketing-EU(gruppo figlio) -
Marketing-APAC(gruppo figlio)
-
Se un amministratore dell'area di lavoro aggiunge Marketing-All all'area di lavoro:
- Accesso concesso: tutti i membri di
Marketing-Alle tutti i relativi gruppi figlio (Marketing-US,Marketing-EU,Marketing-APAC) possono accedere all'area di lavoro. Ad esempio, gli utenti e i principali del servizio inMarketing-APACpossono autenticarsi e usare l'area di lavoro. - Provisioning dell'account: solo
Marketing-Allviene fornito all'account Azure Databricks e viene conteggiato ai fini dei limiti del gruppo di account. I gruppi figlio non vengono conteggiati nei limiti, a meno che non si provvedano esplicitamente. - Asset a livello di account:
Marketing-Alle tutti i relativi gruppi figlio (Marketing-US,Marketing-EU,Marketing-APAC) sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio dashboard e oggetti in Unity Catalog.
Abilitare la gestione automatica delle identità
La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025. Gli amministratori account possono abilitare la gestione automatica delle identità nella console dell'account.
Come amministratore dell'account, accedere alla console dell'account.
Nella barra laterale fare clic su Sicurezza.
Nella scheda Provisioning utenti, attiva Gestione automatica delle identità su Attivato.
L'applicazione delle modifiche richiede da cinque a dieci minuti.
Dopo aver abilitato l'account, per aggiungere e rimuovere utenti, entità servizio e gruppi da Microsoft Entra ID, seguire le istruzioni seguenti:
- Aggiungere utenti al proprio account
- Aggiungere entità servizio all'account
- Aggiungere gruppi all'account
Disabilitare la gestione automatica delle identità
Quando la gestione automatica delle identità è disabilitata:
- Gli utenti e le entità servizio rimangono: mantengono l'accesso ma non vengono più sincronizzati con Microsoft Entra ID. È possibile rimuovere o disattivare manualmente gli utenti e le entità servizio nella console dell'account dopo la disabilitazione della gestione automatica delle identità.
- I gruppi perdono l'appartenenza: i gruppi rimangono in Azure Databricks, ma tutti i membri del gruppo vengono rimossi.
- Nessuna sincronizzazione con Microsoft Entra ID: le modifiche apportate all'ID Microsoft Entra (ad esempio le rimozioni degli utenti o gli aggiornamenti dei gruppi) non vengono riflesse in Azure Databricks.
- Nessuna ereditarietà delle autorizzazioni: gli utenti gestiti dalla gestione automatica delle identità non possono ereditare le autorizzazioni dai gruppi padre. Ciò influisce sui modelli di autorizzazione basati su gruppi annidati.
Se si prevede di disabilitare la gestione automatica dell'identità, Databricks consiglia di configurare in anticipo il provisioning SCIM come alternativa. SCIM può quindi assumere il controllo della sincronizzazione delle identità e dei gruppi.
- Come amministratore dell'account, accedere alla console dell'account.
- Nella barra laterale fare clic su Sicurezza.
- Nella scheda Provisioning utenti, passa Gestione automatica delle identità a Disabilitato.
Controllare gli eventi di gestione automatica delle identità
Quando la gestione automatica delle identità è abilitata, è possibile usare i log di controllo per tenere traccia delle operazioni di identità eseguite dal processo AIM.
Tag del log di controllo per gli eventi AIM
AIM usa eventi del log di controllo esistenti, ma aggiunge tag per identificare le operazioni eseguite automaticamente dal processo di sincronizzazione delle identità:
-
endpoint: "autoUserCreation" - Indica che l'evento è stato generato dal processo AIM. Questo tag viene visualizzato nelle operazioni utente (, , , ), operazioni di gruppo (
add,activateUser,deactivateUser) e operazioni di appartenenza ai gruppi (updateUser,createGroup).updateGroupremoveGroupaddPrincipalToGroupremovePrincipalFromGroup -
groupMembershipType: "IdentityProvider" - Viene visualizzato nelle operazioni di appartenenza al gruppo (
addPrincipalToGroup,removePrincipalFromGroup) per indicare che l'appartenenza al gruppo è stata sincronizzata da Microsoft Entra ID.
Eseguire query sugli eventi di controllo AIM
Puoi eseguire una query sulla tabella system.access.audit per tenere traccia delle operazioni AIM. Per esempio:
Tenere traccia degli accessi utente:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Tenere traccia degli utenti creati da AIM:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Tenere traccia delle appartenenze ai gruppi sincronizzate da Entra ID:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Per ulteriori informazioni sulla tabella