ユーザー、サービスプリンシパル、グループを管理する
この記事では、Databricks ID管理モデルを紹介し、Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。
Databricks で ID を最適に構成する方法については、「 ID のベスト プラクティス」を参照してください。
ユーザー、サービスプリンシパル、およびグループのアクセスを管理するには、「 認証とアクセス制御」を参照してください。
Databricks の ID
DatabricksのIDには、次の3つのタイプがあります。
-
ユーザー :Databricksによって認識され、Eメールアドレスによって表されるユーザーID。
-
サービス プリンシパル : ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。
-
グループ :ワークスペース、データ、その他のセキュリティ保護可能なオブジェクトへのグループアクセスを管理するために管理者が使用するIDをまとめたもの。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。
Databricks アカウントには、ユーザーとサービスプリンシパルを合わせて最大 10,000 人、および最大 5,000 人のグループを含めることができます。また、各ワークスペースには、最大 10,000 人のユーザーとサービスプリンシパルをメンバーとして含めることができ、最大 5,000 人のグループを含めることができます。
詳細については、以下を参照してください。
Databricks で ID を管理できるのは誰ですか?
Databricks で ID を管理するには、次のいずれかのロールが必要です。
-
アカウント 管理者は 、アカウント内のユーザー、サービスプリンシパル、およびグループを追加、更新、および削除できます。 管理者ロールを割り当て、ワークスペースへのアクセス権をユーザーに付与できます (ただし、それらのワークスペースで ID フェデレーションが使用されている限り)。
-
ワークスペース 管理者は 、ユーザーとサービスプリンシパルを Databricks アカウントに追加できます。 ワークスペースで ID フェデレーションが有効になっている場合は、アカウントにグループを追加することもできます。ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できますが、ユーザーまたはサービスプリンシパルをアカウントから削除することはできません。
ワークスペース管理者は、従来のワークスペース-ローカル グループを管理することもできます。 詳細については、「 ワークスペース-ローカル グループの管理(レガシ)」を参照してください。
-
グループ マネージャーは 、グループ メンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループマネージャーの役割を割り当てることもできます。アカウント admins は、アカウント内のすべてのグループに対してグループ マネージャー ロールを持っています。 ワークスペース 管理者には、作成したアカウント グループに対するグループ マネージャーの役割があります。 「グループを管理できるユーザー」を参照してください。
-
サービスプリンシパル マネージャーは 、サービスプリンシパルでロールを管理できます。 アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対してサービスプリンシパル 管理者ロールを持っています。 ワークスペース 管理者には、作成したサービスプリンシパルに対するサービスプリンシパル マネージャー ロールがあります。 詳細については、「 サービスプリンシパルを管理するためのロール」を参照してください。
ID フェデレーションを有効にする
ほとんどのワークスペースは、デフォルトによって ID フェデレーションに対して有効になっています。 Databricks は、2023 年 11 月 8 日に ID フェデレーションと Unity Catalog の新しいワークスペースを自動的に有効にし始め、アカウント全体で徐々にロールアウトが進んでいます。ワークスペースで ID フェデレーションがデフォルトで有効になっている場合、無効にすることはできません。詳細については、「Unity Catalogの自動有効化」を参照してください。
ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog のワークスペースを有効にする必要があります。割り当てが完了すると、アカウント コンソールのワークスペースの [構成] タブで ID フェデレーションが [有効 ] としてマークされます。「Unity Catalog のワークスペースを有効にする」を参照してください。
IDフェデレーションワークスペースでは、ワークスペース管理設定でユーザー、サービスプリンシパル、またはグループの追加を選択するときに、アカウントからユーザー、サービスプリンシパル、またはグループを選択してワークスペースに追加するオプションがあります。
非IDフェデレーションワークスペースでは、アカウントからユーザー、サービスプリンシパル、またはグループを追加するオプションはありません。
Databricks にユーザーを割り当てる
Databricks では、SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。Databricksアカウントのユーザーは、ワークスペース、データ、またはコンピュート リソースへのデフォルト アクセス権を持っていません。アカウント 管理者とワークスペース 管理者は、アカウント ユーザーをワークスペースに割り当てることができます。 ワークスペース管理者は、新しいユーザーをワークスペースに直接追加することもでき、これによりユーザーはアカウントに自動的に追加され、そのワークスペースに割り当てられます。 詳細な手順については、「SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください
ワークスペースにユーザーを割り当てる
ユーザー、サービスプリンシパル、またはグループが Databricks ワークスペースで作業できるようにするには、アカウント管理者またはワークスペース管理者がそれらをワークスペースに割り当てる必要があります。 ワークスペースのアクセス権は、ワークスペースで ID フェデレーションが有効になっている限り、アカウント内に存在するユーザー、サービスプリンシパル、およびグループに割り当てることができます。
ワークスペース管理者は、新しいユーザー、サービスプリンシパル、またはグループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービスプリンシパル、またはグループがアカウントに自動的に追加され、その特定のワークスペースに割り当てられます。
ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者は、ワークスペース ユーザー、サービスプリンシパル、およびグループを完全にワークスペースのスコープ内で管理します。 非 ID フェデレーション ワークスペースに追加されたユーザーとサービスプリンシパルは、アカウントに自動的に追加されます。 ワークスペースユーザーが、すでに存在するアカウントユーザーまたは管理者とユーザー名(Eメールアドレス)を共有している場合、それらのユーザーは統合されます。 非 ID フェデレーション ワークスペースに追加されたグループは、アカウントに追加されていないレガシ ワークスペース-ローカル グループです。
詳細な手順については、以下を参照してください。
アカウントユーザーとのダッシュボードの共有
ユーザーは、公開されたダッシュボードを Databricks アカウント内の他のユーザーと共有できます (そのユーザーがワークスペースのメンバーでない場合でも)。 ワークスペースのメンバーではない Databricks アカウントのユーザーは、他のツールの表示専用ユーザーと同等です。 共有されているオブジェクトを表示することはできますが、オブジェクトを変更することはできません。 詳細については、「 ダッシュボード共有のためのユーザーとグループの管理」を参照してください。
ロール、権限、および権限の割り当て
管理者は、ユーザー、サービスプリンシパル、およびグループにロール、権限、および権限を割り当てることができます。 詳細については、「 アクセス制御の概要」を参照してください。
シングルサインオン (SSO) の設定
シングルサインオン(SSO)を使用すると、OktaなどのサードパーティのIDプロバイダーを使用してユーザーを認証できます。SSO を有効にするには、「 Databricks で SSO を構成する」を参照してください。