Ověřování a řízení přístupu

Tento článek představuje ověřování a řízení přístupu v Azure Databricks. Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.

Další informace o tom, jak nejlépe nakonfigurovat uživatele a skupiny v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.

Jednotné přihlašování

Jednotné přihlašování ve formě přihlášení založeného na Microsoft Entra ID (dříve Azure Active Directory) je ve výchozím nastavení dostupné v účtu a pracovních prostorech Azure Databricks. Jednotné přihlašování Microsoft Entra ID používáte pro konzolu účtu i pracovní prostory. Vícefaktorové ověřování můžete povolit prostřednictvím ID Microsoft Entra.

Azure Databricks také podporuje podmíněný přístup Microsoft Entra ID, který správcům umožňuje řídit, kde a kdy se uživatelé můžou přihlásit k Azure Databricks. Viz Podmíněný přístup.

Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí zřizování SCIM

Pro správu identit mezi doménami můžete použít open standard SCIM nebo System, který umožňuje automatizovat zřizování uživatelů a automaticky synchronizovat uživatele a skupiny z Microsoft Entra ID s vaším účtem Azure Databricks. SCIM zjednodušuje onboarding nového zaměstnance nebo týmu pomocí ID Microsoft Entra k vytvoření uživatelů a skupin v Azure Databricks a poskytnutí správné úrovně přístupu. Když uživatel opustí vaši organizaci nebo už nepotřebuje přístup k Azure Databricks, můžou správci uživatele ukončit v Microsoft Entra ID a účet daného uživatele se také odebere z Azure Databricks. Tím se zajistí konzistentní proces odpojování a zabrání neoprávněným uživatelům v přístupu k citlivým datům. Další informace naleznete v tématu Synchronizace uživatelů a skupin z Microsoft Entra ID.

Zabezpečené ověřování rozhraní API

Osobní přístupové tokeny Azure Databricks jsou jedním z nejpodporovanějších typů přihlašovacích údajů pro prostředky a operace na úrovni pracovního prostoru Azure Databricks. Aby bylo možné zabezpečit ověřování rozhraní API, můžou správci pracovního prostoru řídit, kteří uživatelé, instanční objekty a skupiny můžou vytvářet a používat osobní přístupové tokeny Azure Databricks.

Další informace najdete v tématu Správa přístupu ke službě Azure Databricks Automation.

Správci pracovních prostorů můžou také zkontrolovat osobní přístupové tokeny Azure Databricks, odstranit tokeny a nastavit maximální životnost nových tokenů pro svůj pracovní prostor. Viz Monitorování a správa osobních přístupových tokenů.

Další informace o ověřování ve službě Azure Databricks Automation najdete v tématu Ověřování pro automatizaci Azure Databricks – přehled.

Přehled řízení přístupu

V Azure Databricks existují různé systémy řízení přístupu pro různé zabezpečitelné objekty. Následující tabulka ukazuje, který systém řízení přístupu řídí typ zabezpečitelného objektu.

Zabezpečitelný objekt	Systém řízení přístupu
Zabezpečitelné objekty na úrovni pracovního prostoru	Seznamy řízení přístupu
Zabezpečitelné objekty na úrovni účtu	Řízení přístupu na základě role účtu
Zabezpečitelné objekty dat	Katalog Unity

Azure Databricks také poskytuje role a oprávnění správce, které jsou přiřazené přímo uživatelům, instančním objektům a skupinám.

Informace o zabezpečení dat najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.

Seznamy řízení přístupu

V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k objektům pracovního prostoru, jako jsou poznámkové bloky a SQL Warehouse. Všichni uživatelé správců pracovního prostoru můžou spravovat seznamy řízení přístupu, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě seznamů řízení přístupu. Další informace o seznamech řízení přístupu najdete v tématu Seznamy řízení přístupu.

Řízení přístupu na základě role účtu

Řízení přístupu na základě role účtu můžete použít ke konfiguraci oprávnění k používání objektů na úrovni účtu, jako jsou instanční objekty a skupiny. Role účtu se definují jednou ve vašem účtu a použijí se ve všech pracovních prostorech. Všichni uživatelé správců účtů můžou spravovat role účtů, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě, jako jsou správci skupin a správci instančních objektů.

Další informace o rolích účtů u konkrétních objektů na úrovni účtu najdete v těchto článcích:

• Role pro správu instančních objektů
• Správa rolí ve skupině pomocí konzoly účtu

Role správce Databricks

Kromě řízení přístupu k zabezpečitelným objektům jsou na platformě Azure Databricks předdefinované role. Role mohou být přiřazeny uživatelům, instančním objektům a skupinám.

Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:

• Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity, zřizování uživatelů a správy identit na úrovni účtu.

• Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.

Kromě toho je možné uživatelům přiřadit tyto role správce specifické pro funkce, které mají užší sady oprávnění:

• Správci Marketplace: Spravují profil poskytovatele Databricks Marketplace svého účtu, včetně vytváření a správy výpisů z Marketplace.
• Správci metastoru: Spravují oprávnění a vlastnictví pro všechny zabezpečitelné objekty v metastoru katalogu Unity, například kdo může vytvářet katalogy nebo dotazovat tabulku.

Uživatelům je také možné přiřadit uživatele pracovního prostoru. Uživatel pracovního prostoru se může přihlásit k pracovnímu prostoru, kde může mít udělená oprávnění na úrovni pracovního prostoru.

Další informace najdete v tématu Nastavení jednotného přihlašování (SSO).

Nároky pracovního prostoru

Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Správci pracovního prostoru přiřazují oprávnění uživatelům, instančním objektům a skupinám na úrovni pracovního prostoru. Další informace najdete v tématu Správa nároků.