ユーザー、サービスプリンシパル、グループを管理する

この記事では、Databricks ID管理モデルを紹介し、Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。

Databricks でのアイデンティティを最適に設定する方法についての見解は、 IDのベストプラクティスを参照してください。

ユーザー、サービスプリンシパル、グループのアクセスを管理するには、 「認証とアクセス制御」を参照してください。

DatabricksのID

DatabricksのIDには、次の3つのタイプがあります。

  • ユーザー:Databricksが認識し、メールアドレスで表されるユーザーID。

  • サービス プリンシパル: ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。

  • グループ: ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのグループ アクセスを管理するために管理者が使用する ID のコレクション。 すべての Databricks ID は、グループのメンバーとして割り当てることができます。 Databricks には、アカウント グループとワークスペース ローカル グループの 2 種類のグループがあります。 詳細については、「 アカウント グループとワークスペース ローカル グループの違い」を参照してください。

1つのアカウントには、ユーザーとサービスプリンシパルを合わせて最大10,000人、グループを5,000個を含めることができます。各ワークスペースには、ユーザーとサービスプリンシパルを合わせて最大10,000人、および5,000のグループを含めることができます。

詳細な手順については、以下を参照してください。

DatabricksでIDを管理できるのは誰ですか?

DatabricksでIDを管理するには、サービスプリンシパルまたはグループに対するアカウント管理者ロール、ワークスペース管理者ロール、またはマネージャーロールのいずれかが必要です。

  • アカウント管理者は、ユーザー、サービスプリンシパル、およびグループをアカウント に追加し、管理者ロールを割り当てることができます。アカウント管理者は、アカウント内のユーザー、サービスプリンシパル、およびグループを更新および削除できます。 ワークスペースが ID フェデレーションを使用している限り、ユーザーにワークスペースへのアクセス権を付与できます。

  • ワークスペース管理者は 、Databricks アカウントにユーザーとサービス プリンシパルを追加できます。 また、ワークスペースで ID フェデレーションが有効になっている場合は、Databricks アカウントにグループを追加することもできます。 ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できます。 アカウントからユーザーとサービスプリンシパルを削除することはできません。

    ワークスペース管理者は、ワークスペースローカル グループを管理することもできます。 詳細については、「 ワークスペースローカル グループの管理 (レガシ)」を参照してください。

  • グループ マネージャーは、グループ メンバーシップを管理し、グループ を削除できます。また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対してグループ マネージャーの役割を持ちます。 ワークスペース管理者は、作成したアカウントグループに対するグループマネージャーロールを持ちます。 アカウント グループを管理できるユーザーを参照してください

  • サービスプリンシパルマネージャーは、サービスプリンシパルのロールを管理できます。アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対するサービスプリンシパルマネージャーロールを持っています。ワークスペース管理者は、作成したサービスプリンシパルに対するサービスプリンシパルマネージャーロールを持っています。詳細については、「 サービスプリンシパルを管理するためのロール」を参照してください。

管理者はどのようにしてユーザーをアカウントに割り当てるのですか?

Databricks では、SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 Databricks アカウントのユーザーには、ワークスペース、データ、またはコンピュート リソースへの既定のアクセス権がありません。 アカウント管理者とワークスペース管理者は、アカウントユーザーをワークスペースに割り当てることができます。 ワークスペース管理者は、新しいユーザーをワークスペースに直接追加することもでき、そのユーザーを自動的にアカウントに追加し、そのワークスペースに割り当てることができます。

アカウントにユーザーを追加する手順の詳細については、以下を参照してください。

管理者はどのようにしてユーザーをワークスペースに割り当てますか?

ユーザー、サービスプリンシパル、またはグループが Databricks ワークスペースで作業できるようにするには、アカウント管理者またはワークスペース管理者がワークスペースに割り当てる必要があります。 ワークスペースで ID フェデレーションが有効になっている限り、アカウントに存在するユーザー、サービスプリンシパル、およびグループにワークスペースアクセスを割り当てることができます。

ワークスペース管理者は、新しいユーザー、サービスプリンシパル、またはアカウントグループをワークスペースに直接追加することもできます。 このアクションにより、選択したユーザー、サービスプリンシパル、またはアカウントグループがアカウントに自動的に追加され、その特定のワークスペースに割り当てられます。

アカウントレベルのID図

注:

ワークスペース管理者は、ワークスペース グループ API を使用して、ワークスペースに従来のワークスペース ローカル グループを作成することもできます。 ワークスペースローカルグループは、アカウントに自動的に追加されません。 ワークスペース ローカル グループを追加のワークスペースに割り当てたり、 Unity Catalog メタストア内のデータへのアクセス権を付与したりすることはできません。

ID フェデレーションが有効になっていないワークスペースの場合、ワークスペース管理者は、ワークスペースのスコープ内でワークスペース ユーザー、サービス プリンシパル、およびグループを完全に管理します。 ID 以外のフェデレーション ワークスペースに追加されたユーザーとサービス プリンシパルは、アカウントに自動的に追加されます。 非 ID フェデレーション ワークスペースに追加されるグループは、アカウントに追加されない従来のワークスペース ローカル グループです。

詳細な手順については、以下を参照してください。

管理者はワークスペースでIDフェデレーションを有効にするにはどうすればいいですか?

アカウントが 2024 年 3 月 6 日以降に作成された場合、ID フェデレーションはすべての新しいワークスペースでデフォルトで有効になり、無効にすることはできません。

ワークスペースで ID フェデレーションを有効にするには、アカウント管理者が Unity Catalog メタストアを割り当てて、Unity Catalog のワークスペースを有効にする必要があります。 「 Unity Catalog のワークスペースを有効にする」を参照してください。

割り当てが完了すると、アカウントコンソールのワークスペースの[構成]タブでIDフェデレーションが[有効]としてマークされます。

ワークスペース管理者は、ワークスペースのIDフェデレーションが有効になっているかどうかをワークスペース管理設定ページから確認できます。IDフェデレーションワークスペースでは、ワークスペース管理設定でユーザー、サービスプリンシパル、またはグループの追加を選択するときに、アカウントからユーザー、サービスプリンシパル、またはグループを選択してワークスペースに追加するオプションがあります。

ユーザーIDフェデレーションを追加する

非IDフェデレーションワークスペースでは、アカウントからユーザー、サービスプリンシパル、またはグループを追加するオプションはありません。

GCP でユーザーを追加する

管理者のロールの割り当て

アカウント管理者は、他のユーザーをアカウント管理者として割り当てることができます。また、メタストアを作成することでUnity Catalogメタストア管理者になることもでき、メタストア管理者のロールを別のユーザーまたはグループに譲渡することもできます。

アカウント管理者とワークスペース管理者の両方が、他のユーザーをワークスペース管理者として割り当てることができます。ワークスペース管理者ロールは、ワークスペース管理者グループのメンバーシップによって決定されます。このグループはDatabricksの既定のグループであり、削除できません。

アカウント管理者は、他のユーザーをマーケットプレイス管理者として割り当てることもできます。

以下を参照してください。

シングルサインオン(SSO)の設定

Databricks アカウントとワークスペースのユーザーは、OpenID Connect 仕様に準拠し、OpenID 認定を受けた Google の OAuth 2.0 実装を使用して、Google クラウド ID アカウント (または GSuite アカウント) で認証します。 Databricks は、Google への認証要求で openid プロファイル スコープ値を提供します。

必要に応じて、Google クラウド ID アカウント (または GSuite アカウント) を構成して、外部の SAML 2.0 ID プロバイダー (IdP) とフェデレーションし、ユーザーの資格情報を検証できます。 Google クラウド ID は、Microsoft Entra ID (旧称 Azure Active Directory)、Okta、Ping、およびその他の IdP とフェデレーションできます。 ただし、Databricks は Google Identity Platform APIsとのみ直接やり取りします。

「シングルサインオン」を参照してください。