المصادقة والتحكم في الوصول
تقدم هذه المقالة المصادقة والتحكم في الوصول في Azure Databricks. للحصول على معلومات حول تأمين الوصول إلى بياناتك، راجع إدارة البيانات باستخدام كتالوج Unity.
لمزيد من المعلومات حول كيفية تكوين المستخدم والمجموعات على أفضل نحو في Azure Databricks، راجع أفضل ممارسات الهوية.
تسجيل الدخول الأحادي
يتوفر تسجيل الدخول الأحادي في شكل تسجيل الدخول المدعوم بمعرف Microsoft Entra في حساب Azure Databricks ومساحات العمل بشكل افتراضي. يمكنك استخدام Microsoft Entra ID تسجيل الدخول الأحادي لكل من وحدة تحكم الحساب ومساحات العمل. يمكنك تمكين المصادقة متعددة العوامل عبر معرف Microsoft Entra.
يدعم Azure Databricks أيضا الوصول المشروط لمعرف Microsoft Entra، والذي يسمح للمسؤولين بالتحكم في مكان ووقت السماح للمستخدمين بتسجيل الدخول إلى Azure Databricks. راجع الوصول المشروط.
مزامنة المستخدمين والمجموعات من معرف Microsoft Entra باستخدام تزويد SCIM
يمكنك استخدام SCIM أو النظام لإدارة الهوية عبر المجالات، وهو معيار مفتوح يسمح لك بأتمتة توفير المستخدم، لمزامنة المستخدمين والمجموعات تلقائيا من Microsoft Entra ID إلى حساب Azure Databricks الخاص بك. يبسط SCIM إلحاق موظف أو فريق جديد باستخدام معرف Microsoft Entra لإنشاء مستخدمين ومجموعات في Azure Databricks ومنحهم المستوى المناسب من الوصول. عندما يغادر مستخدم مؤسستك أو لم يعد بحاجة إلى الوصول إلى Azure Databricks، يمكن للمسؤولين إنهاء المستخدم في Microsoft Entra ID، كما تتم إزالة حساب هذا المستخدم من Azure Databricks. وهذا يضمن عملية إلغاء إلحاق متسقة ويمنع المستخدمين غير المصرح لهم من الوصول إلى البيانات الحساسة. لمزيد من المعلومات، راجع مزامنة المستخدمين والمجموعات من معرف Microsoft Entra.
مصادقة API الآمنة باستخدام OAuth
يدعم Azure Databricks OAuth بيانات الاعتماد الآمنة والوصول إلى الموارد والعمليات على مستوى مساحة عمل Azure Databricks ويدعم الأذونات الدقيقة للتخويل.
لمزيد من المعلومات، راجع إدارة أذونات الرمز المميز للوصول الشخصي.
لمزيد من المعلومات حول المصادقة على أتمتة Azure Databricks بشكل عام، راجع مصادقة الوصول إلى موارد Azure Databricks.
يدعم Databricks أيضا رموز الوصول الشخصية (PATs)، ولكنه يوصي باستخدام OAuth بدلا من ذلك. للحصول على تفاصيل حول استخدام PATs، راجع مراقبة الوصول إلى الرموز المميزة للوصول الشخصي وإدارته.
نظرة عامة على التحكم في الوصول
في Azure Databricks، هناك أنظمة مختلفة للتحكم في الوصول لعناصر مختلفة قابلة للتأمين. يوضح الجدول أدناه نظام التحكم في الوصول الذي يحكم نوع العنصر القابل للتأمين.
| عنصر قابل للتأمين | نظام التحكم بالوصول |
|---|---|
| كائنات قابلة للتأمين على مستوى مساحة العمل | قوائم التحكم بالوصول |
| كائنات قابلة للتأمين على مستوى الحساب | التحكم في الوصول المستند إلى دور الحساب |
| الكائنات القابلة للتأمين للبيانات | كتالوج Unity |
يوفر Azure Databricks أيضا أدوار المسؤولين والاستحقاقات التي يتم تعيينها مباشرة للمستخدمين وكيانات الخدمة والمجموعات.
للحصول على معلومات حول تأمين البيانات، راجع إدارة البيانات باستخدام كتالوج Unity.
قوائم التحكم بالوصول
في Azure Databricks، يمكنك استخدام قوائم التحكم في الوصول (ACLs) لتكوين الإذن للوصول إلى كائنات مساحة العمل مثل دفاتر الملاحظات ومستودعات SQL. يمكن لجميع مستخدمي مسؤول مساحة العمل إدارة قوائم التحكم في الوصول، كما يمكن للمستخدمين الذين تم منحهم أذونات مفوضة لإدارة قوائم التحكم في الوصول. لمزيد من المعلومات حول قوائم التحكم بالوصول، راجع قوائم التحكم بالوصول.
التحكم في الوصول المستند إلى دور الحساب
يمكنك استخدام التحكم في الوصول المستند إلى دور الحساب لتكوين الإذن لاستخدام الكائنات على مستوى الحساب مثل أساسيات الخدمة والمجموعات. يتم تعريف أدوار الحساب مرة واحدة، في حسابك، ويتم تطبيقها عبر جميع مساحات العمل. يمكن لجميع مستخدمي مسؤول الحساب إدارة أدوار الحساب، كما يمكن للمستخدمين الذين تم منحهم أذونات مفوضة لإدارتها، مثل مديري المجموعات ومديري الخدمة الأساسيين.
اتبع هذه المقالات لمزيد من المعلومات حول أدوار الحساب على كائنات محددة على مستوى الحساب:
أدوار مسؤول Databricks
بالإضافة إلى التحكم في الوصول على العناصر القابلة للتأمين، هناك أدوار مضمنة على النظام الأساسي Azure Databricks. يمكن تعيين أدوار للمستخدمين وكيانات الخدمة والمجموعات.
هناك مستويان رئيسيان من امتيازات المسؤول المتاحة على النظام الأساسي Azure Databricks:
مسؤولو الحساب: إدارة حساب Azure Databricks، بما في ذلك تمكين كتالوج Unity، وتوفير المستخدم، وإدارة الهوية على مستوى الحساب.
مسؤولو مساحة العمل: إدارة هويات مساحة العمل والتحكم في الوصول والإعدادات والميزات لمساحات العمل الفردية في الحساب.
بالإضافة إلى ذلك، يمكن تعيين أدوار المسؤول الخاصة بالميزات هذه للمستخدمين، والتي لها مجموعات أضيق من الامتيازات:
- مسؤولو السوق: إدارة ملف تعريف موفر Databricks Marketplace لحسابهم، بما في ذلك إنشاء قوائم Marketplace وإدارتها.
- مسؤولو Metastore: إدارة الامتيازات والملكية لجميع العناصر القابلة للتأمين داخل مخزن بيانات تعريف كتالوج Unity، مثل من يمكنه إنشاء كتالوجات أو الاستعلام عن جدول.
يمكن أيضا تعيين المستخدمين ليكونوا مستخدمين لمساحة العمل. يتمتع مستخدم مساحة العمل بالقدرة على تسجيل الدخول إلى مساحة عمل، حيث يمكن منحه أذونات على مستوى مساحة العمل.
لمزيد من المعلومات، راجع إعداد تسجيل الدخول الأحادي (SSO).
استحقاقات مساحة العمل
الاستحقاق هو خاصية تسمح للمستخدم أو كيان الخدمة أو المجموعة بالتفاعل مع Azure Databricks بطريقة محددة. يعين مسؤولو مساحة العمل الاستحقاقات للمستخدمين وكيانات الخدمة والمجموعات على مستوى مساحة العمل. لمزيد من المعلومات، راجع إدارة الاستحقاقات.