Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione automatica delle identità consente di aggiungere facilmente utenti, entità servizio e gruppi da Microsoft Entra ID a Azure Databricks. Quando la gestione automatica delle identità è abilitata, è possibile cercare direttamente nelle aree di lavoro federate di identità gli utenti, le entità servizio e i gruppi e aggiungerli all'area di lavoro. Azure Databricks usa Microsoft Entra ID come origine del record, pertanto tutte le modifiche apportate alle appartenenze ai gruppi vengono rispettate in Azure Databricks.
La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025.
Gli utenti possono anche condividere le dashboard con qualsiasi utente, service principal o gruppo nel tuo provider di identità. Quando vengono condivisi, gli utenti, le entità servizio e i membri dei gruppi vengono aggiunti automaticamente all'account Azure Databricks al momento dell'accesso. Non vengono aggiunti come membri all'area di lavoro in cui si trova il dashboard. Agli utenti che non hanno accesso all'area di lavoro viene concesso l'accesso a una copia di sola visualizzazione di un dashboard pubblicato con autorizzazioni per i dati condivisi. Per altre informazioni sulla condivisione del dashboard, vedere Condividere un dashboard.
Il provisioning JIT (Just-In-Time) è sempre abilitato quando la gestione automatica delle identità è attivata e non è possibile disattivarla. Il provisioning dei nuovi utenti viene eseguito automaticamente in Azure Databricks al primo accesso. Vedere Provisioning automatico degli utenti (JIT).
La gestione automatica delle identità non è supportata nelle aree di lavoro federate senza identità. Per altre informazioni sulla federazione delle identità, vedere Federazione delle identità.
Stati utente e gruppo
Quando la gestione automatica delle identità è abilitata, gli utenti, le entità servizio e i gruppi di Microsoft Entra ID sono visibili nella console dell'account e nella pagina delle impostazioni di amministrazione dell'area di lavoro. Lo stato riflette l'attività e la condizione tra Microsoft Entra ID e Azure Databricks.
| Status | Meaning |
|---|---|
| Inattivo: nessun utilizzo | Per utenti ed entità servizio: identità nel provider di identità che non ha ancora effettuato l'accesso ad Azure Databricks. Per i gruppi: il gruppo non è stato aggiunto a un'area di lavoro. |
| Active | L'identità è attiva in Azure Databricks. |
| Attivo: rimosso da [IdP] | In precedenza attivo in Azure Databricks ed è stato eliminato dal provider di identità. Azure Databricks disattiva automaticamente questi utenti durante la successiva sincronizzazione delle identità. Impossibile accedere o eseguire l'autenticazione alle API. |
| Disattivato | L'identità viene disattivata nel provider di identità oppure Azure Databricks ha disattivato automaticamente l'identità dopo l'eliminazione dal provider di identità. Impossibile accedere o eseguire l'autenticazione alle API. |
| Negato | L'identità è stata aggiunta all'elenco di blocco per l'accesso all'account. Azure Databricks imposta l'identità come inattiva. Impossibile accedere, usare token di accesso personali o comparire nelle finestre di condivisione. Vedi Negare alle identità l'accesso all'account. |
L'etichetta di stato Active: Removed From [IdP] comprende il nome del provider di identità. Ad esempio, Attivo: rimosso da EntraID.
Suggerimento
Come procedura consigliata per la sicurezza, Databricks consiglia di revocare i token di accesso personali per gli utenti disattivati e attivi: rimossi da [IdP]. Quando gli utenti vengono eliminati dal provider di identità, Azure Databricks disattiva automaticamente i propri account, ma non revoca automaticamente i token.
Le identità gestite tramite la gestione automatica delle identità vengono visualizzate come esterne in Azure Databricks. Le identità esterne non possono essere aggiornate usando l'interfaccia utente di Azure Databricks.
Condivisione e assegnazione di autorizzazioni
Quando la gestione automatica delle identità è abilitata, è possibile selezionare gli utenti e le entità servizio da Microsoft Entra ID durante la condivisione o l'assegnazione delle autorizzazioni in Azure Databricks.
Per i gruppi, il comportamento di condivisione varia in base al tipo di asset:
- Asset a livello di account: i gruppi sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio Databricks Apps, oggetti del catalogo Unity, dashboard ai/BI, Genie Spaces e assegnazione dell'area di lavoro.
- Asset a livello di area di lavoro: per condividere asset a livello di area di lavoro (ad esempio notebook, processi, warehouse SQL, avvisi e file) con gruppi, gli amministratori dell'area di lavoro devono prima aggiungere direttamente il gruppo all'area di lavoro.
Gestione automatica delle identità contro il provisioning SCIM
Quando la gestione automatica delle identità è abilitata, tutti gli utenti, i gruppi e le appartenenze ai gruppi vengono sincronizzati dal provider di identità per Azure Databricks in modo che il provisioning SCIM non sia necessario. Se si mantiene il provisioning SCIM in esecuzione in parallelo, SCIM continua a gestire le identità aggiunte tramite il provisioning SCIM. Non gestisce le identità che non sono state aggiunte tramite il provisioning SCIM.
Il provisioning SCIM richiede il ruolo di Amministratore applicazioni cloud e un'applicazione Microsoft Entra ID separata.
Azure Databricks consiglia di usare la gestione automatica delle identità. La tabella seguente confronta le funzionalità di gestione automatica delle identità con le funzionalità del provisioning SCIM.
| Features | Gestione automatica delle identità | Provisionamento SCIM |
|---|---|---|
| Sincronizzare gli utenti | ✓ | ✓ |
| Gruppi di sincronizzazione | ✓ | ✓ (solo membri diretti) |
| Sincronizzare i gruppi annidati | ✓ | |
| Sincronizzare le entità principali di servizio | ✓ | |
| Disponibile per impostazione predefinita in Azure Databricks | ✓ | |
| Funziona con tutte le edizioni di Microsoft Entra ID | ✓ | |
| Disponibile senza ruoli di amministratore di Microsoft Entra ID | ✓ | |
| Richiede la federazione delle identità | ✓ |
ID esterno di Azure Databricks e ID oggetto di Microsoft Entra ID
Azure Databricks utilizza l'ID ObjectId di Microsoft Entra come collegamento autorevole per la sincronizzazione delle identità e delle appartenenze ai gruppi e aggiorna automaticamente il campo externalId per farlo corrispondere a ObjectId in un flusso ricorrente giornaliero. Databricks sconsiglia di combinare metodi di provisioning. L'aggiunta della stessa identità tramite sia la gestione automatica delle identità sia il provisioning SCIM causa voci duplicate e conflitti di autorizzazione. Usare la gestione automatica delle identità come l'unica fonte di verità, con appartenenze ai gruppi che rispecchiano l'ID Microsoft Entra.
È possibile unire queste identità duplicate specificando il relativo ID esterno in Azure Databricks. Usare le API Account Users, Account Service Principals o Account Groups per aggiornare il principale e aggiungere il loro ID Microsoft Entra nel campo objectId.
Poiché l'
Funzionamento della sincronizzazione delle appartenenze ai gruppi
Quando la gestione automatica delle identità è abilitata, Azure Databricks aggiorna le appartenenze ai gruppi di utenti dal provider di identità durante le attività che attivano controlli di autenticazione e autorizzazione, ad esempio account di accesso del browser, autenticazione dei token o esecuzioni di processi. Ciò garantisce che le autorizzazioni basate su gruppo in Azure Databricks rimangano sincronizzate con le modifiche apportate al provider di identità.
Quando Azure Databricks aggiorna le appartenenze ai gruppi, recupera le appartenenze transitive (annidate) ai gruppi dal provider di identità. Ciò significa che se un utente è membro del gruppo A e il gruppo A è membro del gruppo B, Azure Databricks riconosce l'utente come appartenenza a entrambi i gruppi. Azure Databricks recupera solo le appartenenze per i gruppi aggiunti ad Azure Databricks. Non sincronizza né ricostruisce la gerarchia completa dei gruppi padre dal tuo provider di identità.
Azure Databricks aggiorna le appartenenze ai gruppi in base a pianificazioni diverse a seconda dell'attività:
- Account di accesso del browser: le appartenenze ai gruppi vengono sincronizzate se sono trascorsi più di 5 minuti dall'ultima sincronizzazione
- Altre attività (ad esempio, l'autenticazione dei token o i processi in esecuzione): le appartenenze ai gruppi vengono sincronizzate se sono trascorsi più di 40 minuti dall'ultima sincronizzazione
Gruppi annidati e principali del servizio
Quando la gestione automatica delle identità è abilitata, i membri dei gruppi annidati ereditano le autorizzazioni dai gruppi provisionati. Le autorizzazioni assegnate a un gruppo principale si applicano a tutti gli utenti e i principali del servizio che appartengono al gruppo, inclusi quelli aggiunti direttamente al gruppo e quelli che appartengono attraverso le appartenenze ai gruppi annidati. Tuttavia, i gruppi annidati e le entità servizio in un gruppo non sono automaticamente referenziabili nell'account, ad eccezione della condivisione del dashboard.
Visibilità dei gruppi annidati
I gruppi annidati sono visibili in Azure Databricks. Si consideri un gruppo figlio, Group-C, che è un membro di un gruppo padre, Group-P. Se si aggiunge Group-P a un'area di lavoro, tutte le identità in Group-P e Group-C hanno accesso all'area di lavoro. Nell'interfaccia utente dell'amministratore dell'account e dell'amministratore dell'area di lavoro, Group-C appare come membro nella pagina Group-P dei dettagli dei membri del gruppo. Nella pagina dei dettagli del gruppo viene visualizzato solo il primo livello di annidamento.
Considerazioni sui gruppi annidati
- Accesso all'area di lavoro: i gruppi annidati e le entità servizio non devono essere aggiunti direttamente a un'area di lavoro per ottenere l'accesso. Se un gruppo padre viene aggiunto a un'area di lavoro, tutti i membri di tale gruppo possono accedere all'area di lavoro.
- Asset a livello di account: i gruppi sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio Databricks Apps, oggetti del catalogo Unity, dashboard ai/BI, Genie Spaces e assegnazione dell'area di lavoro.
- Limiti del gruppo di account e degli oggetti servizio: I gruppi annidati e gli oggetti servizio che non sono direttamente forniti all'account non vengono conteggiati nei limiti del gruppo di account. Solo i gruppi esplicitamente provisionati vengono conteggiati ai fini dei limiti.
Ad esempio, in Microsoft Entra ID si ha la struttura di gruppo seguente:
-
Marketing-All(gruppo padre)-
Marketing-US(gruppo figlio) -
Marketing-EU(gruppo figlio) -
Marketing-APAC(gruppo figlio)
-
Se un amministratore dell'area di lavoro aggiunge Marketing-All all'area di lavoro:
- Accesso concesso: tutti i membri di
Marketing-Alle tutti i relativi gruppi figlio (Marketing-US,Marketing-EU,Marketing-APAC) possono accedere all'area di lavoro. Ad esempio, gli utenti e i principali del servizio inMarketing-APACpossono autenticarsi e usare l'area di lavoro. - Provisioning dell'account: solo
Marketing-Allviene fornito all'account Azure Databricks e viene conteggiato ai fini dei limiti del gruppo di account. I gruppi figlio non vengono conteggiati nei limiti, a meno che non si provvedano esplicitamente. - Asset a livello di account:
Marketing-Alle tutti i relativi gruppi figlio (Marketing-US,Marketing-EU,Marketing-APAC) sono disponibili quando si condividono o si assegnano autorizzazioni agli asset a livello di account, ad esempio dashboard e oggetti in Unity Catalog.
Abilitare la gestione automatica delle identità
La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025. Gli amministratori account possono abilitare la gestione automatica delle identità nella console dell'account.
Come amministratore dell'account, accedere alla console dell'account.
Nella barra laterale fare clic su Sicurezza.
Nella scheda Provisioning utenti, attiva Gestione automatica delle identità su Attivato.
L'applicazione delle modifiche richiede da cinque a dieci minuti.
Dopo aver abilitato l'account, per aggiungere e rimuovere utenti, entità servizio e gruppi dal provider di identità, seguire le istruzioni seguenti:
- Aggiungere utenti al proprio account
- Aggiungere entità servizio all'account
- Aggiungere gruppi all'account
Per eseguire la migrazione dal provisioning SCIM, vedere Eseguire la migrazione alla gestione automatica delle identità.
Disabilitare la gestione automatica delle identità
Quando la gestione automatica delle identità è disabilitata:
- Gli utenti e le entità servizio rimangono: mantengono l'accesso ma non vengono più sincronizzati con il provider di identità. È possibile rimuovere o disattivare manualmente gli utenti e le entità servizio nella console dell'account dopo la disabilitazione della gestione automatica delle identità.
- I gruppi perdono l'appartenenza: i gruppi rimangono in Azure Databricks, ma tutti i membri del gruppo vengono rimossi.
- Nessuna sincronizzazione con il provider di identità: le modifiche apportate al provider di identità (ad esempio le rimozioni degli utenti o gli aggiornamenti dei gruppi) non vengono riflesse in Azure Databricks.
- Nessuna ereditarietà delle autorizzazioni: gli utenti gestiti dalla gestione automatica delle identità non possono ereditare le autorizzazioni dai gruppi padre. Ciò influisce sui modelli di autorizzazione basati su gruppi annidati.
Se si prevede di disabilitare la gestione automatica dell'identità, Databricks consiglia di configurare in anticipo il provisioning SCIM come alternativa. SCIM può quindi assumere il controllo della sincronizzazione delle identità e dei gruppi.
- Come amministratore dell'account, accedere alla console dell'account.
- Nella barra laterale fare clic su Sicurezza.
- Nella scheda Provisioning utenti, passa Gestione automatica delle identità a Disabilitato.
Nega alle identità l'accesso al tuo account
L'elenco di blocco per l'accesso all'account determina quali identità del provider di identità possono accedere all'account Azure Databricks. Gli amministratori dell'account possono aggiungere utenti, gruppi o entità servizio specifici all'elenco di rifiuto per bloccare l'accesso. L'appartenenza denylist è transitiva: se si nega un gruppo, vengono negati anche tutti i membri, inclusi quelli nei gruppi annidati.
Per le istruzioni di configurazione e una descrizione completa del comportamento dell'elenco di negazione, consulta Negare alle identità l'accesso al tuo account.
Controllare gli eventi di gestione automatica delle identità
Quando la gestione automatica delle identità è abilitata, è possibile usare i log di controllo per tenere traccia delle operazioni di identità eseguite dal processo di gestione automatica delle identità.
Tag del log di controllo per gli eventi di gestione automatica delle identità
La gestione automatica delle identità usa gli eventi del log di controllo esistenti, ma aggiunge tag per identificare le operazioni eseguite automaticamente dal processo di sincronizzazione delle identità:
-
endpoint: "autoUserCreation" - Indica che l'evento è stato generato dal processo di gestione automatica delle identità. Questo tag viene visualizzato nelle operazioni utente (, , , ), operazioni di gruppo (
add,activateUser,deactivateUser) e operazioni di appartenenza ai gruppi (updateUser,createGroup).updateGroupremoveGroupaddPrincipalToGroupremovePrincipalFromGroup -
groupMembershipType: "IdentityProvider" - Viene visualizzato nelle operazioni di appartenenza al gruppo (
addPrincipalToGroup,removePrincipalFromGroup) per indicare che l'appartenenza al gruppo è stata sincronizzata dal provider di identità.
Eseguire query sugli eventi di controllo di gestione delle identità automatica
È possibile eseguire una query sulla system.access.audit tabella per tenere traccia delle operazioni di gestione automatica delle identità. Per esempio:
Tenere traccia degli accessi utente:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Tenere traccia degli utenti creati dalla gestione automatica delle identità:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Tenere traccia delle appartenenze ai gruppi sincronizzate dal provider di identità:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Per ulteriori informazioni sulla tabella
Comportamenti noti e limitazioni
In questa sezione vengono descritti i comportamenti che potrebbero non essere immediatamente evidenti quando si usa la gestione automatica delle identità.
Creazione di gruppi e assegnazione dell'area di lavoro
Quando la gestione automatica delle identità sincronizza i gruppi dall'identity provider, li crea automaticamente a livello dell'account. Questi eventi vengono visualizzati nei log di controllo come createGroup operazioni contrassegnate con endpoint: "autoUserCreation". La creazione di gruppi a livello di account è automatica, ma l'assegnazione dell'area di lavoro è un passaggio manuale separato. I membri di un gruppo sincronizzato ottengono l'accesso all'area di lavoro solo dopo che un amministratore dell'account assegna il gruppo a un'area di lavoro. Gestione automatica delle identità controlla l'appartenenza ai gruppi e l'amministratore controlla l'accesso all'area di lavoro.
La sincronizzazione dei nomi di gruppo non è proattiva
La ridenominazione di un gruppo nel provider di identità non aggiorna immediatamente il nome del gruppo in Azure Databricks. Il nome del gruppo viene sincronizzato solo quando un amministratore dell'account apre la pagina dei dettagli del gruppo nella console dell'account. Fino ad allora, il gruppo mantiene il nome precedente in Azure Databricks.
La gestione automatica delle identità non rimuove le appartenenze sincronizzate con SCIM
La gestione automatica delle identità non rimuove le appartenenze ai gruppi originariamente sincronizzate con il provisioning SCIM. Questa operazione è progettata per evitare l'interruzione di processi e autorizzazioni esistenti che dipendono da tali appartenenze. Per rimuovere le appartenenze SCIM sincronizzate non aggiornate, usare l'API SCIM per pulirle manualmente.
Provisioning dell'entità rappresentativa del servizio al primo utilizzo
L'aggiunta di un gruppo che contiene entità servizio ad Azure Databricks non effettua il provisioning di tali entità servizio. Azure Databricks effettua il provisioning dei principali di servizio solo al primo utilizzo, come l'autenticazione tramite token o l'esecuzione di un processo. Finché un principale del servizio non autentica o esegue un processo, non viene visualizzato in Azure Databricks.
La directory Entra ID intertenant non è supportata
La gestione automatica delle identità non supporta le directory ID Microsoft Entra multi-tenant. Se è necessaria la gestione delle identità tra tenant, configurare il provisioning SCIM con Microsoft Entra B2B Collaboration.
Gruppi annidati e principali di servizio tramite l'API e Terraform
I gruppi annidati e i principali del servizio di cui non viene eseguito il provisioning diretto nell'account Azure Databricks sono visibili nell'interfaccia utente della console dell'account, ma non possono essere recuperati o gestiti tramite le API Databricks o Terraform. Per gestirli tramite programmazione, provvedere esplicitamente al loro provisioning nell'account.
Le autorizzazioni si conseguono durante la migrazione da SCIM a gestione automatica delle identità
Quando si esegue la migrazione dal provisioning SCIM alla gestione automatica delle identità, i gruppi rimangono gli stessi oggetti interni di Azure Databricks. Le autorizzazioni del catalogo Unity, le assegnazioni dell'area di lavoro e altre impostazioni vengono trasferite automaticamente. Non si perdono autorizzazioni durante la migrazione.