Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Oprávnění řídí, co můžou uživatelé dělat s aplikací Databricks, jako je přístup, správa a sdílení aplikací. Liší se od ověřování, které ověřuje identitu uživatele. Oprávnění určují, jaké akce má uživatel oprávnění provádět v aplikaci.
Úrovně oprávnění
-
CAN MANAGE– Může spravovat nastavení a oprávnění aplikace, včetně možnosti upravit a odstranit aplikaci. -
CAN USE– Může aplikaci spustit a pracovat s ní, ale nemůže ji upravovat ani spravovat.
Oprávnění můžou přiřadit nebo odvolat jenom uživatelé s oprávněními CAN MANAGE v aplikaci.
Oprávnění organizace
Pokud nastavíte oprávnění organizace aplikace pro uživatele v mé organizaci, budou mít všichni uživatelé v aktuálním účtu Azure Databricks přístup k aplikaci. To zahrnuje uživatele přidané ručně, synchronizované prostřednictvím systému pro správu identit napříč doménou (SCIM) nebo vytvořené pomocí zřizování JIT (just-in-time) prostřednictvím zprostředkovatele identity.
Uživatelé JIT musí stále ověřit se prostřednictvím poskytovatele identit vaší organizace a být rozpoznáni Azure Databricks jako uživatelé účtu. Těmto uživatelům můžete udělit přístup k aplikacím CAN USE , i když nemají přístup k žádnému pracovnímu prostoru. Přístup ale závisí na zásadách ověřování pracovního prostoru. Pokud je například povolený PrivateLink, azure Databricks se může vrátit k ověřování na úrovni pracovního prostoru. V tomto případě je přístup blokovaný pro uživatele, kteří se připojují přes veřejný koncový bod Azure Databricks.
Aplikace Databricks nemůžete nastavit jako veřejné. Anonymní přístup a obejití jednotného přihlašování (SSO) se nepodporuje. Pokud chcete udělit přístup externím spolupracovníkům, použijte federaci identit s nasazením pomocí SCIM a JIT pro zavedení uživatelů prostřednictvím vašeho poskytovatele identit, aniž byste udělili úplný přístup k pracovnímu prostoru.
Přiřazení oprávnění v uživatelském rozhraní aplikací Databricks
Spravovat, kdo může zobrazit, spustit nebo upravit aplikaci Databricks přiřazením oprávnění přímo v uživatelském rozhraní Databricks Apps.
- Přejděte na stránku podrobností aplikace.
- Klikněte na kartu Oprávnění .
- Pomocí rozevíracího seznamu Vybrat uživatele, skupinu nebo instanční objekt... vyberte uživatele, skupinu nebo instanční objekt.
- Vyberte odpovídající úroveň oprávnění (
CAN USEneboCAN MANAGE). - Klikněte na Přidat a potom uložte , aby se změny použily.
Oprávnění versus autorizace
V Databricks Apps je důležité rozlišovat mezi oprávněními a autorizací, které souvisejí, ale samostatné koncepty.
Oprávnění se přiřazují na úrovni pracovního prostoru a definují, kdo v rámci pracovního prostoru může spravovat nebo používat aplikaci. Oprávnění řídí přístup k samotné aplikaci, například kdo ji může nasadit, aktualizovat nebo spustit. Oprávnění neřídí, k jakým datům má aplikace nebo k jakým uživatelům přístup.
Autorizace odkazuje na řízení přístupu k datům a prostředkům a má dvě dílčí kategorie:
- Autorizace uživatele – Když se uživatelé ověřují v aplikaci, Azure Databricks předá svou identitu modulu runtime aplikace. Toto umožňuje Unity katalogu a dalším zásadám přístupu k datům prosazovat oprávnění na základě identity uživatele a omezuje, ke kterým datům může aplikace přistupovat jejich jménem.
- Autorizace aplikace – Aplikace běží pomocí instančního objektu s vlastními oprávněními pro přístup k požadovaným prostředkům Azure Databricks. Tato autorizace určuje, co samotná aplikace může dělat nezávisle na jakémkoli uživateli.
V souhrnu oprávnění řídí přístup na úrovni pracovního prostoru k aplikaci (kdo ji může používat nebo spravovat), zatímco autorizace řídí přístup na úrovni dat a prostředků, včetně přístupu na základě identity uživatele a přístupu k instančnímu objektu aplikace.
Další informace najdete v tématu Konfigurace autorizace v aplikaci Databricks.
Nároky aplikací
Každý uživatel v pracovním prostoru může vytvářet aplikace Databricks, podobně jako jiné bezserverové produkty. Následující nároky ale řídí různé aspekty přístupu k aplikacím:
- Přístup a správa aplikací: Kdo má přístup k aplikaci a může ji spravovat prostřednictvím úrovní oprávnění
- Oprávnění instančního objektu: Oprávnění přiřazená k vyhrazenému instančnímu objektu aplikace
- Souhlas uživatele: Jestli uživatel souhlasí s povolením používání identity aplikace k autorizaci uživatele
- Uživatelská oprávnění: Základní katalog Unity a oprávnění pracovního prostoru uživatelů, kteří k aplikaci přistupují
Osvědčené postupy pro oprávnění
Pokud chcete bezpečně spravovat oprávnění aplikace Databricks, postupujte podle těchto osvědčených postupů:
- Postupujte podle principu nejnižšího oprávnění tím, že udělíte pouze oprávnění potřebná pro každou roli uživatele.
- Pokud uživatelé nevyžadují možnosti správy, upřednostněte přiřazení
CAN USEoprávnění. - Pomocí skupin nebo služebních principálů můžete efektivně řídit oprávnění ve větším rozsahu.