ユーザー、サービスプリンシパル、グループを管理する

この記事では、Databricks ID管理モデルを紹介し、Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。

Databricks で ID を最適に構成する方法については、「 ID のベスト プラクティス」を参照してください。

ユーザー、サービスプリンシパル、およびグループのアクセスを管理するには、「 認証とアクセス制御」を参照してください。

Databricks の ID

DatabricksのIDには、次の3つのタイプがあります。

• ユーザー ：Databricksによって認識され、Eメールアドレスによって表されるユーザーID。
• サービス プリンシパル : ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。
• グループ : ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。Databricks には、アカウント グループとワークスペース ローカル グループの 2 種類のグループがあります。 詳細については、「Databricksのグループの種類」を参照してください。

Databricks アカウントには、ユーザーとサービスプリンシパルを合わせて最大 10,000 人、および最大 5,000 人のグループを含めることができます。また、各ワークスペースには、最大 10,000 人のユーザーとサービスプリンシパルをメンバーとして含めることができ、最大 5,000 人のグループを含めることができます。

詳細な手順については、以下を参照してください。

• ユーザーを管理する
• サービスプリンシパルを管理する
• グループを管理する
• SCIM を使用して ID プロバイダーからユーザーとグループを同期する

Databricks で ID を管理できるのは誰ですか?

DatabricksでIDを管理するには、サービスプリンシパルまたはグループに対するアカウント管理者ロール、ワークスペース管理者ロール、またはマネージャーロールのいずれかが必要です。

• アカウント 管理者は 、ユーザー、サービスプリンシパル、およびグループをアカウントに追加し、管理者ロールを割り当てることができます。 アカウント 管理者は、アカウント内のユーザー、サービスプリンシパル、およびグループを更新および削除できます。 ワークスペースが ID フェデレーションを使用している限り、ユーザーにワークスペースへのアクセス権を付与できます。

• ワークスペース 管理者は 、ユーザーとサービスプリンシパルを Databricks アカウントに追加できます。 また、ワークスペースで ID フェデレーションが有効になっている場合は、Databricks アカウントにグループを追加することもできます。 ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できます。 アカウントからユーザーとサービスプリンシパルを削除することはできません。

  ワークスペース管理者は、ワークスペース-ローカル グループを管理することもできます。 詳細については、「 ワークスペース-ローカル グループの管理(レガシ)」を参照してください。

• グループ マネージャーは 、グループのメンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対してグループ マネージャー ロールを持っています。 ワークスペース 管理者には、作成したアカウント グループに対するグループ マネージャーの役割があります。 「アカウント グループを管理できるユーザー」を参照してください。

• サービスプリンシパル マネージャーは 、サービスプリンシパルでロールを管理できます。 アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対してサービスプリンシパル 管理者ロールを持っています。 ワークスペース 管理者には、作成したサービスプリンシパルに対するサービスプリンシパル マネージャー ロールがあります。 詳細については、「 サービスプリンシパルを管理するためのロール」を参照してください。

Databricks にユーザーを割り当てる

Databricks では、SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 Databricksアカウントのユーザーは、ワークスペース、データ、またはコンピュート リソースへのデフォルト アクセス権を持っていません。アカウント 管理者とワークスペース 管理者は、アカウント ユーザーをワークスペースに割り当てることができます。 ワークスペース管理者は、新しいユーザーをワークスペースに直接追加することもでき、これによりユーザーはアカウントに自動的に追加され、そのワークスペースに割り当てられます。

ユーザーは、公開されたダッシュボードを Databricks アカウント内の他のユーザーと共有できます (そのユーザーがワークスペースのメンバーでない場合でも)。 ワークスペースのメンバーではない Databricks アカウントのユーザーは、他のツールの表示専用ユーザーと同等です。 共有されているオブジェクトを表示することはできますが、オブジェクトを変更することはできません。 詳細については、「 ダッシュボード共有のためのユーザーとグループの管理」を参照してください。

アカウントにユーザーを追加する手順の詳細については、以下を参照してください。

• SCIM を使用して ID プロバイダーからユーザーとグループを同期する
• アカウントにユーザーを追加する
• サービスプリンシパルをアカウントに追加する
• アカウントにグループを追加する

ワークスペースにユーザーを割り当てる

ユーザー、サービスプリンシパル、またはグループが Databricks ワークスペースで作業できるようにするには、アカウント管理者またはワークスペース管理者がそれらをワークスペースに割り当てる必要があります。 ワークスペースのアクセス権は、ワークスペースで ID フェデレーションが有効になっている限り、アカウント内に存在するユーザー、サービスプリンシパル、およびグループに割り当てることができます。

ワークスペース管理者は、新しいユーザー、サービスプリンシパル、またはアカウント グループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービスプリンシパル、またはアカウント グループが自動的にアカウントに追加され、その特定のワークスペースに割り当てられます。

注記

ワークスペース 管理者は、ワークスペース グループ APIを使用して、ワークスペースに従来のワークスペース-ローカル グループを作成することもできます。 ワークスペースローカルグループは、アカウントに自動的に追加されません。 ワークスペース-local グループ は、追加のワークスペースに割り当てたり、 Unity Catalog メタストア内のデータへのアクセスを許可したりすることはできません。

ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者は、ワークスペース ユーザー、サービスプリンシパル、およびグループを完全にワークスペースのスコープ内で管理します。 非 ID フェデレーション ワークスペースに追加されたユーザーとサービスプリンシパルは、アカウントに自動的に追加されます。 非 ID フェデレーション ワークスペースに追加されたグループは、アカウントに追加されていないレガシ ワークスペース-ローカル グループです。

ワークスペースユーザーが、すでに存在するアカウント ユーザーまたは管理者とユーザー名（Eメールアドレス）を共有している場合、それらのユーザーはマージされます。

詳細な手順については、以下を参照してください。

• ワークスペースにユーザーを追加する
• サービスプリンシパルをワークスペースに追加する
• ワークスペースにグループを追加する

ID フェデレーションを有効にする

Databricks は、2024 年 3 月 6 日に ID フェデレーションと Unity Catalog の新しいワークスペースを自動的に有効にし始め、アカウント全体で徐々にロールアウトが進められています。 ワークスペースで ID フェデレーションがデフォルトで有効になっている場合、無効にすることはできません。 詳細については、「Unity Catalogの自動有効化」を参照してください。

ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog のワークスペースを有効にする必要があります。 「Unity Catalog のワークスペースを有効にする」を参照してください。

割り当てが完了すると、アカウントコンソールのワークスペースの［構成］タブでIDフェデレーションが［ 有効 ］としてマークされます。

ワークスペース管理者は、ワークスペースのIDフェデレーションが有効になっているかどうかをワークスペース管理設定ページから確認できます。IDフェデレーションワークスペースでは、ワークスペース管理設定でユーザー、サービスプリンシパル、またはグループの追加を選択するときに、アカウントからユーザー、サービスプリンシパル、またはグループを選択してワークスペースに追加するオプションがあります。

非IDフェデレーションワークスペースでは、アカウントからユーザー、サービスプリンシパル、またはグループを追加するオプションはありません。

管理者ロールの割り当て

アカウント管理者は、他のユーザーをアカウント管理者として割り当てることができます。また、メタストアを作成することでUnity Catalogメタストア管理者になることもでき、メタストア管理者のロールを別のユーザーまたはグループに譲渡することもできます。

アカウント管理者とワークスペース管理者の両方が、他のユーザーをワークスペース管理者として割り当てることができます。ワークスペース管理者ロールは、ワークスペース 管理者 グループのメンバーシップによって決定されます。このグループはDatabricksの既定のグループであり、削除できません。

アカウント管理者は、他のユーザーをマーケットプレイス管理者として割り当てることもできます。

以下をご覧ください：

• アカウント管理者ロールをユーザーに割り当てる
• ワークスペース管理者設定ページを使用して、ワークスペース管理者ロールをユーザーに割り当てます
• メタストア管理者を割り当てる
• Marketplace 管理者ロールを割り当てる

エンタイトルメントの割り当て

エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 詳細については、「 エンタイトルメントの管理」を参照してください。

シングルサインオン(SSO)の設定

Databricksアカウント および ワークスペース ユーザーは、OpenID Connect 仕様に準拠し、OpenID 認定されているGoogle のOAuth 2.0 実装を使用して、Google Cloud Identity アカウント (または GSuite アカウント) で認証します。 Databricks は、Google への認証リクエストで openid プロファイル スコープ値を提供します。

必要に応じて、Google Cloud Identity アカウント(または GSuite アカウント)を外部の SAML 2.0 ID プロバイダ(IdP)とフェデレーションしてユーザーの認証情報を確認するように設定できます。 Google Cloud Identity は、Microsoft Entra ID、Okta、Ping、その他の IdP と連携できます。 ただし、 Databricks は Google Identity Platform APIsと直接やり取りするだけです。

Google Cloud Identity を使用したシングル サインオンをご覧ください。