Bagikan melalui

Mengelola pengguna, perwakilan layanan, dan grup

  • Artikel

Artikel ini memperkenalkan model manajemen identitas Azure Databricks dan memberikan gambaran umum tentang cara mengelola pengguna, grup, dan perwakilan layanan di Azure Databricks.

Untuk perspektif berpendapat tentang cara terbaik mengonfigurasi identitas di Azure Databricks, lihat Praktik terbaik identitas.

Untuk mengelola akses bagi pengguna, perwakilan layanan, dan grup, lihat Autentikasi dan kontrol akses.

Identitas Azure Databricks

Ada tiga jenis identitas Azure Databricks:

  • Pengguna: Identitas pengguna yang dikenali oleh Azure Databricks dan diwakili oleh alamat email.
  • Perwakilan layanan: Identitas untuk digunakan dengan pekerjaan, alat otomatis, dan sistem seperti skrip, aplikasi, dan platform CI/CD.
  • Grup: Kumpulan identitas yang digunakan oleh admin untuk mengelola akses grup ke ruang kerja, data, dan objek yang dapat diamankan lainnya. Semua identitas Databricks dapat ditetapkan sebagai anggota grup. Ada dua jenis grup di Azure Databricks: grup akun dan grup lokal ruang kerja. Untuk informasi selengkapnya, lihat Perbedaan antara grup akun dan grup ruang kerja-lokal.

Anda dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup dalam satu akun. Setiap ruang kerja dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup.

Untuk petunjuk terperinci, lihat:

Siapa yang dapat mengelola identitas di Azure Databricks?

Untuk mengelola identitas di Azure Databricks, Anda harus memiliki salah satu hal berikut: peran admin akun, peran admin ruang kerja, atau peran manajer pada perwakilan layanan atau grup.

  • Admin akun dapat menambahkan pengguna, perwakilan layanan, dan grup ke akun dan menetapkan peran admin kepada mereka. Admin akun dapat memperbarui dan menghapus pengguna, perwakilan layanan, dan grup di akun. Mereka dapat memberi pengguna akses ke ruang kerja, selama ruang kerja tersebut menggunakan federasi identitas.

    Untuk menetapkan admin akun pertama Anda, lihat Menetapkan admin akun pertama Anda

  • Admin ruang kerja dapat menambahkan pengguna dan perwakilan layanan ke akun Azure Databricks. Mereka juga dapat menambahkan grup ke akun Azure Databricks jika ruang kerja mereka diaktifkan untuk federasi identitas. Admin ruang kerja dapat memberi pengguna, perwakilan layanan, dan grup akses ke ruang kerja mereka. Mereka tidak dapat menghapus pengguna dan perwakilan layanan dari akun.

    Admin ruang kerja juga dapat mengelola grup ruang kerja-lokal. Untuk informasi selengkapnya, lihat Mengelola grup workspace-local (warisan).

  • Manajer grup dapat mengelola keanggotaan grup dan menghapus grup. Mereka juga dapat menetapkan peran manajer grup kepada pengguna lain. Admin akun memiliki peran manajer grup pada semua grup di akun. Admin ruang kerja memiliki peran manajer grup pada grup akun yang mereka buat. Lihat Siapa dapat mengelola grup akun?.

  • Manajer perwakilan layanan dapat mengelola peran pada perwakilan layanan. Admin akun memiliki peran manajer perwakilan layanan pada semua perwakilan layanan di akun. Admin ruang kerja memiliki peran manajer perwakilan layanan pada perwakilan layanan yang mereka buat. Untuk informasi selengkapnya, lihat Peran untuk mengelola perwakilan layanan.

Bagaimana admin menetapkan pengguna ke akun?

Databricks merekomendasikan penggunaan provisi SCIM untuk menyinkronkan semua pengguna dan grup secara otomatis dari ID Microsoft Entra (sebelumnya Azure Active Directory) ke akun Azure Databricks Anda. Pengguna di akun Azure Databricks tidak memiliki akses default ke ruang kerja, data, atau sumber daya komputasi. Admin akun dan admin ruang kerja dapat menetapkan pengguna akun ke ruang kerja. Admin ruang kerja juga dapat menambahkan pengguna baru langsung ke ruang kerja, yang secara otomatis menambahkan pengguna ke akun dan menetapkannya ke ruang kerja tersebut.

Dengan menggunakan berbagi dasbor ke akun, pengguna dapat berbagi dasbor yang diterbitkan dengan pengguna lain di akun Databricks, bahkan jika pengguna tersebut bukan anggota ruang kerja mereka. Untuk informasi selengkapnya, lihat Apa itu berbagi ke akun?.

Untuk instruksi terperinci tentang menambahkan pengguna ke akun, lihat:

Bagaimana admin menetapkan pengguna ke ruang kerja?

Untuk mengaktifkan pengguna, perwakilan layanan, atau grup untuk bekerja di ruang kerja Azure Databricks, admin akun atau admin ruang kerja perlu menetapkannya ke ruang kerja. Anda dapat menetapkan akses ruang kerja ke pengguna, perwakilan layanan, dan grup yang ada di akun selama ruang kerja diaktifkan untuk federasi identitas.

Admin ruang kerja juga dapat menambahkan pengguna baru, perwakilan layanan, atau grup akun langsung ke ruang kerja. Tindakan ini secara otomatis menambahkan pengguna, perwakilan layanan, atau grup akun yang dipilih ke akun dan menetapkannya ke ruang kerja tertentu.

Diagram identitas tingkat akun

Catatan

Admin ruang kerja juga dapat membuat grup ruang kerja-lokal warisan di ruang kerja menggunakan API Grup Ruang Kerja. Grup ruang kerja-lokal tidak ditambahkan secara otomatis ke akun. Grup ruang kerja-lokal tidak dapat ditetapkan ke ruang kerja tambahan, atau diberikan akses ke data dalam metastore Katalog Unity.

Untuk ruang kerja yang tidak diaktifkan untuk federasi identitas, admin ruang kerja mengelola pengguna ruang kerja, perwakilan layanan, dan grup mereka sepenuhnya dalam lingkup ruang kerja. Pengguna dan perwakilan layanan yang ditambahkan ke ruang kerja gabungan non-identitas secara otomatis ditambahkan ke akun. Grup yang ditambahkan ke ruang kerja gabungan non-identitas adalah grup ruang kerja-lokal warisan yang tidak ditambahkan ke akun.

Untuk petunjuk terperinci, lihat:

Bagaimana admin mengaktifkan federasi identitas di ruang kerja?

Jika akun Anda dibuat setelah 9 November 2023, federasi identitas diaktifkan di semua ruang kerja baru secara default, dan tidak dapat dinonaktifkan.

Untuk mengaktifkan federasi identitas di ruang kerja, admin akun perlu mengaktifkan ruang kerja untuk Katalog Unity dengan menetapkan metastore Katalog Unity. Lihat Mengaktifkan ruang kerja untuk Unity Catalog.

Setelah penugasan selesai, federasi identitas ditandai sebagai Diaktifkan pada tab Konfigurasi ruang kerja di konsol akun.

Admin ruang kerja dapat mengetahui apakah ruang kerja mengaktifkan federasi identitas dari halaman pengaturan admin ruang kerja. Di ruang kerja federasi identitas, saat Anda memilih untuk menambahkan pengguna, perwakilan layanan, atau grup di pengaturan admin ruang kerja, Anda memiliki opsi untuk memilih pengguna, perwakilan layanan, atau grup dari akun Anda untuk ditambahkan ke ruang kerja.

Menambahkan federasi identitas pengguna

Di ruang kerja gabungan non-identitas, Anda tidak memiliki opsi untuk menambahkan pengguna, perwakilan layanan, atau grup dari akun Anda.

Menetapkan peran admin

Admin akun dapat menetapkan pengguna lain sebagai admin akun. Mereka juga dapat menjadi admin metastore Unity Catalog dengan membuat metastore, dan dapat mentransfer peran admin metastore ke pengguna atau grup lain.

Admin akun dan admin ruang kerja dapat menetapkan pengguna lain sebagai admin ruang kerja. Peran admin ruang kerja ditentukan oleh keanggotaan di grup admin ruang kerja, yang merupakan grup default di Azure Databricks dan tidak dapat dihapus.

Admin akun juga dapat menetapkan pengguna lain sebagai admin Marketplace.

Lihat:

Menyiapkan akses menyeluruh (SSO)

Akses menyeluruh (SSO) dalam bentuk login yang didukung Microsoft Entra ID (sebelumnya Azure Active Directory) tersedia di Azure Databricks untuk semua pelanggan. Anda dapat menggunakan akses menyeluruh MICROSOFT Entra ID untuk konsol akun dan ruang kerja.

Lihat Akses menyeluruh.