사용자, 서비스 주체, 그룹 관리

이 문서에서는 Azure Databricks ID 관리 모델을 소개하고 Azure Databricks에서 사용자, 그룹 및 서비스 주체를 관리하는 방법을 간략하게 설명합니다.

Azure Databricks에서 ID를 가장 잘 구성하는 방법에 대한 의견은 ID 모범 사례를 참조하세요.

사용자, 서비스 주체 및 그룹에 대한 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.

Azure Databricks ID

Azure Databricks ID에는 세 가지 형식이 있습니다.

• 사용자: Azure Databricks에서 인식하고 이메일 주소로 표시되는 사용자 ID입니다.
• 서비스 주체: 스크립트, 앱, CI/CD 플랫폼과 같은 시스템, 자동화된 도구 및 작업과 함께 사용하기 위한 ID입니다.
• 그룹: 관리자가 작업 영역, 데이터 및 기타 보안 개체에 대한 그룹 액세스를 관리하는 데 사용하는 ID 컬렉션입니다. 모든 Databricks ID는 그룹의 멤버로 할당할 수 있습니다. Azure Databricks에는 계정 그룹 및 작업 영역-로컬 그룹이라는 두 가지 유형의 그룹이 있습니다. 자세한 내용은 계정 그룹과 작업 영역-로컬 그룹 간의 차이를 참조 하세요.

계정에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5,000개 그룹을 포함할 수 있습니다. 각 작업 영역에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5,000개 그룹을 포함할 수 있습니다.

자세한 지침은 다음 문서를 참조하세요.

• 사용자 관리
• 서비스 주체 관리
• 그룹 관리
• Microsoft Entra ID에서 사용자 및 그룹 동기화

Azure Databricks에서 ID를 관리할 수 있는 사람은 누구인가요?

Azure Databricks에서 ID를 관리하려면 계정 관리자 역할, 작업 영역 관리자 역할 또는 서비스 주체 또는 그룹의 관리자 역할 중 하나가 있어야 합니다.

• 계정 관리자는 사용자, 서비스 주체 및 그룹을 계정에 추가하고 관리자 역할을 할당할 수 있습니다. 계정 관리자는 계정의 사용자, 서비스 주체 및 그룹을 업데이트하고 삭제할 수 있습니다. 이러한 작업 영역에서 ID 페더레이션을 사용하는 한 사용자에게 작업 영역에 대한 액세스 권한을 부여할 수 있습니다.

  첫 번째 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조 하세요.

• 작업 영역 관리자는 Azure Databricks 계정에 사용자 및 서비스 주체를 추가할 수 있습니다. 또한 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 Azure Databricks 계정에 그룹을 추가할 수도 있습니다. 작업 영역 관리자는 사용자, 서비스 주체 및 그룹에 작업 영역에 대한 액세스 권한을 부여할 수 있습니다. 계정에서 사용자 및 서비스 주체를 삭제할 수 없습니다.

  작업 영역 관리자는 작업 영역-로컬 그룹을 관리할 수도 있습니다. 자세한 내용은 작업 영역-로컬 그룹 관리(레거시)를 참조하세요.

• 그룹 관리자는 그룹 멤버 자격을 관리하고 그룹을 삭제할 수 있습니다. 다른 사용자에게 그룹 관리자 역할을 할당할 수도 있습니다. 계정 관리자는 계정의 모든 그룹에 대해 그룹 관리자 역할을 합니다. 작업 영역 관리자는 자신이 만든 계정 그룹에 대해 그룹 관리자 역할을 맡습니다. 계정 그룹을 관리할 수 있는 사용자를 참조 하세요.

• 서비스 주체 관리자는 서비스 주체의 역할을 관리할 수 있습니다. 계정 관리자는 계정의 모든 서비스 주체에 대해 서비스 주체 관리자 역할을 맡습니다. 작업 영역 관리자는 자신이 만든 서비스 주체에 대한 서비스 주체 관리자 역할을 갖습니다. 자세한 내용은 서비스 주체 관리에 대한 역할을 참조 하세요.

관리자는 계정에 사용자를 할당하는 방법

Databricks는 SCIM 프로비저닝을 사용하여 Microsoft Entra ID(이전의 Azure Active Directory)에서 Azure Databricks 계정으로 모든 사용자 및 그룹을 자동으로 동기화하는 것이 좋습니다. Azure Databricks 계정의 사용자는 작업 영역, 데이터 또는 컴퓨팅 리소스에 대한 기본 액세스 권한이 없습니다. 계정 관리자 및 작업 영역 관리자는 계정 사용자를 작업 영역에 할당할 수 있습니다. 작업 영역 관리자는 작업 영역에 직접 새 사용자를 추가할 수도 있습니다. 이 두 사용자 모두 자동으로 계정에 사용자를 추가하고 해당 작업 영역에 할당합니다.

대시보드 공유를 사용하여 사용자가 작업 영역의 구성원이 아니더라도 게시된 대시보드를 Databricks 계정의 다른 사용자와 공유할 수 있습니다. 자세한 내용은 계정에 공유란?을 참조하세요.

계정에 사용자를 추가하는 방법에 대한 자세한 지침은 다음을 참조하세요.

• Microsoft Entra ID에서 사용자 및 그룹 동기화
• 계정에 사용자 추가
• 계정에 서비스 주체 추가
• 계정에 그룹 추가

관리자는 작업 영역에 사용자를 어떻게 할당하나요?

사용자, 서비스 주체 또는 그룹이 Azure Databricks 작업 영역에서 작동할 수 있도록 하려면 계정 관리자 또는 작업 영역 관리자가 이를 작업 영역에 할당해야 합니다. 작업 영역이 ID 페더레이션에 사용하도록 설정된 한 계정에 있는 사용자, 서비스 주체 및 그룹에 작업 영역 액세스를 할당할 수 있습니다.

작업 영역 관리자는 새 사용자, 서비스 주체 또는 계정 그룹을 작업 영역에 직접 추가할 수도 있습니다. 이 작업은 선택한 사용자, 서비스 주체 또는 계정 그룹을 계정에 자동으로 추가하고 해당 특정 작업 영역에 할당합니다.

참고 항목

작업 영역 관리자는 작업 영역 그룹 API를 사용하여 작업 영역에서 레거시 작업 영역-로컬 그룹을 만들 수도 있습니다. 작업 영역-로컬 그룹은 계정에 자동으로 추가되지 않습니다. 작업 영역-로컬 그룹을 추가 작업 영역에 할당하거나 Unity 카탈로그 메타스토어의 데이터에 대한 액세스 권한을 부여할 수 없습니다.

ID 페더레이션에 사용하도록 설정되지 않은 작업 영역의 경우 작업 영역 관리자는 작업 영역의 범위 내에서 작업 영역 사용자, 서비스 주체 및 그룹을 완전히 관리합니다. 비 ID 페더레이션 작업 영역에 추가된 사용자 및 서비스 주체는 계정에 자동으로 추가됩니다. 비 ID 페더레이션 작업 영역에 추가된 그룹은 계정에 추가되지 않은 레거시 작업 영역-로컬 그룹입니다.

자세한 지침은 다음 문서를 참조하세요.

• 작업 영역에 사용자 추가
• 작업 영역에 서비스 주체 추가
• 작업 영역에 그룹 추가

관리자는 작업 영역에서 ID 페더레이션을 사용하도록 설정하려면 어떻게 해야 하나요?

2023년 11월 9일 이후에 계정을 만든 경우 ID 페더레이션은 기본적으로 모든 새 작업 영역에서 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다.

작업 영역에서 ID 페더레이션을 사용하도록 설정하려면 계정 관리자가 Unity 카탈로그 메타스토어를 할당하여 Unity 카탈로그에 대한 작업 영역을 사용하도록 설정해야 합니다. Unity 카탈로그에 작업 영역 사용을 참조하세요.

할당이 완료되면 계정 콘솔의 작업 영역 구성 탭에서 ID 페더레이션이 사용으로 표시됩니다.

작업 영역 관리자는 작업 영역 관리자 설정 페이지에서 작업 영역에 ID 페더레이션을 사용할 수 있는지 알 수 있습니다. ID 페더레이션 작업 영역에서 작업 영역 관리자 설정에서 사용자, 서비스 주체 또는 그룹을 추가하도록 선택하면 계정에서 사용자, 서비스 주체 또는 그룹을 선택하여 작업 영역에 추가할 수 있습니다.

비 ID 페더레이션 작업 영역에서는 계정에서 사용자, 서비스 주체 또는 그룹을 추가할 수 있는 옵션이 없습니다.

관리자 역할 할당

계정 관리자는 다른 사용자를 계정 관리자로 할당할 수 있습니다. 또한 메타스토어를 만들면 Unity 카탈로그 메타스토어 관리자가 될 수 있으며, 메타스토어 관리자 역할을 다른 사용자 또는 그룹으로 이전할 수 있습니다.

계정 관리자와 작업 영역 관리자 모두 다른 사용자를 작업 영역 관리자로 할당할 수 있습니다. 작업 영역 관리자 역할은 Azure Databricks의 기본 그룹이며 삭제할 수 없는 작업 영역 admins 그룹의 멤버 자격에 따라 결정됩니다.

계정 관리자는 다른 사용자를 Marketplace 관리자로 할당할 수도 있습니다.

참조

• 사용자에게 계정 관리자 역할 할당
• 작업 영역 관리자 설정 페이지를 사용하여 사용자에게 작업 영역 관리자 역할 할당
• metastore 관리자 할당
• Marketplace 관리자 역할 할당

SSO(Single Sign-On) 설정

Microsoft Entra ID(이전의 Azure Active Directory) 지원 로그인 형식의 SSO(Single Sign-On)는 모든 고객을 위해 Azure Databricks에서 사용할 수 있습니다. 계정 콘솔과 작업 영역 모두에 Microsoft Entra ID Single Sign-On을 사용할 수 있습니다.

Single Sign-On을 참조하세요.