ユーザー、サービスプリンシパル、グループを管理する

この記事では、Databricks ID管理モデルを紹介し、Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。

Databricks でのアイデンティティを最適に設定する方法についての見解は、 IDのベストプラクティスを参照してください。

ユーザー、サービスプリンシパル、グループのアクセスを管理するには、 「認証とアクセス制御」を参照してください。

DatabricksのID

DatabricksのIDには、次の3つのタイプがあります。

  • ユーザー:Databricksが認識し、メールアドレスで表されるユーザーID。

  • サービス プリンシパル: ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。

  • グループ: ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。 Databricks には、アカウント グループとワークスペース ローカル グループの 2 種類のグループがあります。 詳細については、「 アカウント グループとワークスペース ローカル グループの違い」を参照してください。

1つのアカウントには、ユーザーとサービスプリンシパルを合わせて最大10,000人、グループを5,000個を含めることができます。各ワークスペースには、ユーザーとサービスプリンシパルを合わせて最大10,000人、および5,000のグループを含めることができます。

詳細な手順については、以下を参照してください。

DatabricksでIDを管理できるのは誰ですか?

DatabricksでIDを管理するには、サービスプリンシパルまたはグループに対するアカウント管理者ロール、ワークスペース管理者ロール、またはマネージャーロールのいずれかが必要です。

  • アカウント管理者は、ユーザー、サービスプリンシパル、およびグループをアカウント に追加し、管理者ロールを割り当てることができます。アカウント管理者は、アカウント内のユーザー、サービスプリンシパル、およびグループを更新および削除できます。 ワークスペースが ID フェデレーションを使用している限り、ユーザーにワークスペースへのアクセス権を付与できます。

  • ワークスペース管理者は 、Databricks アカウントにユーザーとサービス プリンシパルを追加できます。 また、ワークスペースで ID フェデレーションが有効になっている場合は、Databricks アカウントにグループを追加することもできます。 ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できます。 アカウントからユーザーとサービスプリンシパルを削除することはできません。

    ワークスペース管理者は、ワークスペースローカル グループを管理することもできます。 詳細については、「 ワークスペースローカル グループの管理 (レガシ)」を参照してください。

  • グループ マネージャーは、グループ メンバーシップを管理し、グループ を削除できます。また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対してグループ マネージャーの役割を持ちます。 ワークスペース管理者は、作成したアカウントグループに対するグループマネージャーロールを持ちます。 アカウント グループを管理できるユーザーを参照してください

  • サービスプリンシパルマネージャーは、サービスプリンシパルのロールを管理できます。アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対するサービスプリンシパルマネージャーロールを持っています。ワークスペース管理者は、作成したサービスプリンシパルに対するサービスプリンシパルマネージャーロールを持っています。詳細については、「 サービスプリンシパルを管理するためのロール」を参照してください。

管理者はどのようにしてユーザーをアカウントに割り当てるのですか?

Databricks では、SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 Databricks アカウントのユーザーには、ワークスペース、データ、またはコンピュート リソースへの既定のアクセス権がありません。 アカウント管理者とワークスペース管理者は、アカウントユーザーをワークスペースに割り当てることができます。 ワークスペース管理者は、新しいユーザーをワークスペースに直接追加することもでき、そのユーザーを自動的にアカウントに追加し、そのワークスペースに割り当てることができます。

Lakeview のアカウント共有を使用すると、ユーザーは、公開されている Lakeview ダッシュボードを Databricks アカウント内の他のユーザーと共有できます (ユーザーがワークスペースのメンバーでない場合でも)。 詳細については、「 Lakeview share to accountとは何ですか?」を参照してください。

アカウントにユーザーを追加する手順の詳細については、以下を参照してください。

管理者はどのようにしてユーザーをワークスペースに割り当てますか?

ユーザー、サービスプリンシパル、またはグループが Databricks ワークスペースで作業できるようにするには、アカウント管理者またはワークスペース管理者がワークスペースに割り当てる必要があります。 ワークスペースで ID フェデレーションが有効になっている限り、アカウントに存在するユーザー、サービスプリンシパル、およびグループにワークスペースアクセスを割り当てることができます。

ワークスペース管理者は、新しいユーザー、サービスプリンシパル、またはアカウントグループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービスプリンシパル、またはアカウントグループがアカウントに自動的に追加され、その特定のワークスペースに割り当てられます。

アカウントレベルのID図

注:

ワークスペース管理者は、ワークスペース グループ API を使用して、ワークスペースに従来のワークスペース ローカル グループを作成することもできます。 ワークスペースローカルグループは、アカウントに自動的に追加されません。 ワークスペース ローカル グループを追加のワークスペースに割り当てたり、 Unity Catalog メタストア内のデータへのアクセス権を付与したりすることはできません。

ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者は、ワークスペースのスコープ内でワークスペース ユーザー、サービス プリンシパル、およびグループを完全に管理します。 ID 以外のフェデレーション ワークスペースに追加されたユーザーとサービス プリンシパルは、アカウントに自動的に追加されます。 非 ID フェデレーション ワークスペースに追加されるグループは、アカウントに追加されない従来のワークスペース ローカル グループです。

詳細な手順については、以下を参照してください。

管理者はワークスペースでIDフェデレーションを有効にするにはどうすればいいですか?

アカウントが 2023 年 11 月 8 日以降に作成された場合、ID フェデレーションはすべての新しいワークスペースでデフォルトによって有効になり、無効にすることはできません。

ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog のワークスペースを有効にする必要があります。 「 Unity Catalog のワークスペースを有効にする」を参照してください。

割り当てが完了すると、アカウントコンソールのワークスペースの[構成]タブでIDフェデレーションが[有効]としてマークされます。

ワークスペース管理者は、ワークスペースのIDフェデレーションが有効になっているかどうかをワークスペース管理設定ページから確認できます。IDフェデレーションワークスペースでは、ワークスペース管理設定でユーザー、サービスプリンシパル、またはグループの追加を選択するときに、アカウントからユーザー、サービスプリンシパル、またはグループを選択してワークスペースに追加するオプションがあります。

ユーザーIDフェデレーションを追加する

非IDフェデレーションワークスペースでは、アカウントからユーザー、サービスプリンシパル、またはグループを追加するオプションはありません。

AWSにユーザーを追加する

管理者のロールの割り当て

アカウント管理者は、他のユーザーをアカウント管理者として割り当てることができます。また、メタストアを作成することでUnity Catalogメタストア管理者になることもでき、メタストア管理者のロールを別のユーザーまたはグループに譲渡することもできます。

アカウント管理者とワークスペース管理者の両方が、他のユーザーをワークスペース管理者として割り当てることができます。ワークスペース管理者ロールは、ワークスペース管理者グループのメンバーシップによって決定されます。このグループはDatabricksの既定のグループであり、削除できません。

アカウント管理者は、他のユーザーをマーケットプレイス管理者として割り当てることもできます。

以下を参照してください。

シングルサインオン(SSO)の設定

シングルサインオン(SSO)では、OktaのようなサードパーティのIDプロバイダーを使用してユーザーを認証できます。IDプロバイダーがSAML 2.0プロトコル(またはアカウントレベルのSSOの場合はOIDCプロトコル)をサポートしている場合は、Databricks SSOを使用してIDプロバイダーと統合できます。

プレビュー

統合ログインは現在、2023 年 6 月 21 日より前に作成されたアカウントの パブリック プレビュー 段階です。 統合ログインは、2023 年 6 月 21 日以降に作成されたアカウントで 一般提供されています

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用されるアカウントの 1 つの SSO 構成を管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にできます。 統合ログインワークスペースでは、アカウントレベルの SSO 設定が使用されます。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインはすべてのワークスペースに対してデフォルトで有効になり、無効にすることはできません。 統合ログインを有効にするには、「 Databricks アカウント コンソールで SSO を設定する」を参照してください。