ユーザー、サービスプリンシパル、グループを管理する

この記事では、Databricks ID管理モデルを紹介し、Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。

Databricks で ID を最適に構成する方法については、「 ID のベスト プラクティス」を参照してください。

ユーザー、サービスプリンシパル、およびグループのアクセスを管理するには、「 認証とアクセス制御」を参照してください。

Databricks の ID

DatabricksのIDには、次の3つのタイプがあります。

• ユーザー ：Databricksによって認識され、Eメールアドレスによって表されるユーザーID。
• サービス プリンシパル : ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。
• グループ : ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。Databricks には、アカウント グループとワークスペース ローカル グループの 2 種類のグループがあります。 詳細については、「Databricksのグループの種類」を参照してください。

Databricks アカウントには、ユーザーとサービスプリンシパルを合わせて最大 10,000 人、および最大 5,000 人のグループを含めることができます。また、各ワークスペースには、最大 10,000 人のユーザーとサービスプリンシパルをメンバーとして含めることができ、最大 5,000 人のグループを含めることができます。

詳細な手順については、以下を参照してください。

• ユーザーを管理する
• サービスプリンシパルを管理する
• グループを管理する
• SCIM を使用して ID プロバイダーからユーザーとグループを同期する

Databricks で ID を管理できるのは誰ですか?

DatabricksでIDを管理するには、サービスプリンシパルまたはグループに対するアカウント管理者ロール、ワークスペース管理者ロール、またはマネージャーロールのいずれかが必要です。

• アカウント 管理者は 、ユーザー、サービスプリンシパル、およびグループをアカウントに追加し、管理者ロールを割り当てることができます。 アカウント 管理者は、アカウント内のユーザー、サービスプリンシパル、およびグループを更新および削除できます。 ワークスペースが ID フェデレーションを使用している限り、ユーザーにワークスペースへのアクセス権を付与できます。

• ワークスペース 管理者は 、ユーザーとサービスプリンシパルを Databricks アカウントに追加できます。 また、ワークスペースで ID フェデレーションが有効になっている場合は、Databricks アカウントにグループを追加することもできます。 ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できます。 アカウントからユーザーとサービスプリンシパルを削除することはできません。

  ワークスペース管理者は、ワークスペース-ローカル グループを管理することもできます。 詳細については、「 ワークスペース-ローカル グループの管理(レガシ)」を参照してください。

• グループ マネージャーは 、グループのメンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対してグループ マネージャー ロールを持っています。 ワークスペース 管理者には、作成したアカウント グループに対するグループ マネージャーの役割があります。 「アカウント グループを管理できるユーザー」を参照してください。

• サービスプリンシパル マネージャーは 、サービスプリンシパルでロールを管理できます。 アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対してサービスプリンシパル 管理者ロールを持っています。 ワークスペース 管理者には、作成したサービスプリンシパルに対するサービスプリンシパル マネージャー ロールがあります。 詳細については、「 サービスプリンシパルを管理するためのロール」を参照してください。

Databricks にユーザーを割り当てる

Databricks では、SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 Databricksアカウントのユーザーは、ワークスペース、データ、またはコンピュート リソースへのデフォルト アクセス権を持っていません。アカウント 管理者とワークスペース 管理者は、アカウント ユーザーをワークスペースに割り当てることができます。 ワークスペース管理者は、新しいユーザーをワークスペースに直接追加することもでき、これによりユーザーはアカウントに自動的に追加され、そのワークスペースに割り当てられます。

ユーザーは、公開されたダッシュボードを Databricks アカウント内の他のユーザーと共有できます (そのユーザーがワークスペースのメンバーでない場合でも)。 ワークスペースのメンバーではない Databricks アカウントのユーザーは、他のツールの表示専用ユーザーと同等です。 共有されているオブジェクトを表示することはできますが、オブジェクトを変更することはできません。 詳細については、「 ダッシュボード共有のためのユーザーとグループの管理」を参照してください。

アカウントにユーザーを追加する手順の詳細については、以下を参照してください。

• SCIM を使用して ID プロバイダーからユーザーとグループを同期する
• アカウントにユーザーを追加する
• サービスプリンシパルをアカウントに追加する
• アカウントにグループを追加する

ワークスペースにユーザーを割り当てる

ユーザー、サービスプリンシパル、またはグループが Databricks ワークスペースで作業できるようにするには、アカウント管理者またはワークスペース管理者がそれらをワークスペースに割り当てる必要があります。 ワークスペースのアクセス権は、ワークスペースで ID フェデレーションが有効になっている限り、アカウント内に存在するユーザー、サービスプリンシパル、およびグループに割り当てることができます。

ワークスペース管理者は、新しいユーザー、サービスプリンシパル、またはアカウント グループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービスプリンシパル、またはアカウント グループが自動的にアカウントに追加され、その特定のワークスペースに割り当てられます。

注記

ワークスペース 管理者は、ワークスペース グループ APIを使用して、ワークスペースに従来のワークスペース-ローカル グループを作成することもできます。 ワークスペースローカルグループは、アカウントに自動的に追加されません。 ワークスペース-local グループ は、追加のワークスペースに割り当てたり、 Unity Catalog メタストア内のデータへのアクセスを許可したりすることはできません。

ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者は、ワークスペース ユーザー、サービスプリンシパル、およびグループを完全にワークスペースのスコープ内で管理します。 非 ID フェデレーション ワークスペースに追加されたユーザーとサービスプリンシパルは、アカウントに自動的に追加されます。 非 ID フェデレーション ワークスペースに追加されたグループは、アカウントに追加されていないレガシ ワークスペース-ローカル グループです。

ワークスペースユーザーが、すでに存在するアカウント ユーザーまたは管理者とユーザー名（Eメールアドレス）を共有している場合、それらのユーザーはマージされます。

詳細な手順については、以下を参照してください。

• ワークスペースにユーザーを追加する
• サービスプリンシパルをワークスペースに追加する
• ワークスペースにグループを追加する

ID フェデレーションを有効にする

Databricks は、2023 年 11 月 8 日に ID フェデレーションと Unity Catalog の新しいワークスペースを自動的に有効にし始め、アカウント全体で徐々にロールアウトが進んでいます。 ワークスペースで ID フェデレーションがデフォルトで有効になっている場合、無効にすることはできません。 詳細については、「Unity Catalogの自動有効化」を参照してください。

ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog のワークスペースを有効にする必要があります。 「Unity Catalog のワークスペースを有効にする」を参照してください。

割り当てが完了すると、アカウントコンソールのワークスペースの［構成］タブでIDフェデレーションが［ 有効 ］としてマークされます。

ワークスペース管理者は、ワークスペースのIDフェデレーションが有効になっているかどうかをワークスペース管理設定ページから確認できます。IDフェデレーションワークスペースでは、ワークスペース管理設定でユーザー、サービスプリンシパル、またはグループの追加を選択するときに、アカウントからユーザー、サービスプリンシパル、またはグループを選択してワークスペースに追加するオプションがあります。

非IDフェデレーションワークスペースでは、アカウントからユーザー、サービスプリンシパル、またはグループを追加するオプションはありません。

管理者ロールの割り当て

アカウント管理者は、他のユーザーをアカウント管理者として割り当てることができます。また、メタストアを作成することでUnity Catalogメタストア管理者になることもでき、メタストア管理者のロールを別のユーザーまたはグループに譲渡することもできます。

アカウント管理者とワークスペース管理者の両方が、他のユーザーをワークスペース管理者として割り当てることができます。ワークスペース管理者ロールは、ワークスペース 管理者 グループのメンバーシップによって決定されます。このグループはDatabricksの既定のグループであり、削除できません。

アカウント管理者は、他のユーザーをマーケットプレイス管理者として割り当てることもできます。

以下をご覧ください：

• アカウント管理者ロールをユーザーに割り当てる
• ワークスペース管理者設定ページを使用して、ワークスペース管理者ロールをユーザーに割り当てます
• メタストア管理者を割り当てる
• Marketplace 管理者ロールを割り当てる

エンタイトルメントの割り当て

エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 詳細については、「 エンタイトルメントの管理」を参照してください。

シングルサインオン(SSO)の設定

シングルサインオン（SSO）では、OktaのようなサードパーティのIDプロバイダーを使用してユーザーを認証できます。

統合ログインを使用すると、Databricks アカウントとワークスペースの 1 つの SSO 構成を管理できます。 アカウントでSSOが有効になっている場合は、すべてのワークスペースまたは選択したワークスペースで統合ログインを有効にすることを選択できます。 統合ログインワークスペースは、アカウントレベルの SSO 設定を使用します。 Databricks では、すべてのワークスペースで統合ログインを有効にすることをお勧めします。 アカウントが 2023 年 6 月 21 日より後に作成された場合、または 2024 年 12 月 12 日より前に SSO を構成しなかった場合、アカウントですべてのワークスペースで統合ログインがデフォルトで有効になっており、無効にすることはできません。 SSO と統合ログインを有効にするには、「 Databricks で SSO を構成する」を参照してください。