Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek představuje ověřování a řízení přístupu v Azure Databricks. Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí Azure Databricks.
Jednotné přihlašování pomocí Microsoft Entra ID
Jednotné přihlašování ve formě přihlášení založeného na ID Microsoftu je ve výchozím nastavení dostupné v účtu a pracovních prostorech Azure Databricks. Jednotné přihlašování Microsoft Entra ID používáte pro konzolu účtu i pracovní prostory. Vícefaktorové ověřování můžete povolit pomocí ID Microsoft Entra.
Zřizování během běhu (JIT) konfigurujete tak, aby se při prvním přihlášení automaticky vytvářely nové uživatelské účty z Microsoft Entra ID. Viz Automatické zřizování uživatelů (JIT).
Synchronizace uživatelů a skupin z Microsoft Entra ID
Databricks doporučuje synchronizovat identity z Microsoft Entra ID do Azure Databricks pomocí automatické správy identit. Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025.
Pomocí automatizované správy identit můžete přímo vyhledávat uživatele, instanční objekty a skupiny služby Microsoft Entra ID v pracovních prostorech federovaných identit a přidávat je do svého pracovního prostoru a do účtu Azure Databricks. Databricks používá jako zdroj záznamu ID Microsoft Entra, takže všechny změny členství uživatelů nebo skupin se v Azure Databricks respektují. Podrobné pokyny najdete v tématu Automatická synchronizace uživatelů a skupin z Microsoft Entra ID.
Zřizování SCIM můžete také použít k synchronizaci uživatelů a skupin z Microsoft Entra ID do Azure Databricks, viz Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.
Zabezpečení ověřování rozhraní API pomocí OAuth
Azure Databricks OAuth podporuje zabezpečené přihlašovací údaje a přístup k prostředkům a operacím na úrovni pracovního prostoru Azure Databricks a podporuje jemně odstupňovaná oprávnění pro autorizaci.
Databricks také podporuje tokeny patového přístupu(PAT), ale místo toho doporučuje používat OAuth. Pokud chcete monitorovat a spravovat paty, přečtěte si téma Monitorování a odvolávání osobních přístupových tokenů a Správa oprávnění osobního přístupového tokenu.
Další informace o celkovém ověřování ve službě Azure Databricks Automation najdete v tématu Autorizace přístupu k prostředkům Azure Databricks.
Přehled řízení přístupu
V Azure Databricks existují různé systémy řízení přístupu pro různé zabezpečitelné objekty. Následující tabulka ukazuje, který systém řízení přístupu řídí typ zabezpečitelného objektu.
| Zabezpečitelný objekt | Systém řízení přístupu |
|---|---|
| Zabezpečitelné objekty na úrovni pracovního prostoru | Seznamy řízení přístupu |
| Zabezpečitelné objekty na úrovni účtu | Řízení přístupu na základě role účtu |
| Zabezpečitelné objekty dat | Katalog Unity |
Azure Databricks také poskytuje role a oprávnění správce, které jsou přiřazené přímo uživatelům, instančním objektům a skupinám.
Informace o zabezpečení dat najdete v tématu Zásady správného řízení dat pomocí Azure Databricks.
Seznamy řízení přístupu
V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k objektům pracovního prostoru, jako jsou poznámkové bloky a SQL Warehouse. Všichni uživatelé správců pracovního prostoru můžou spravovat seznamy řízení přístupu, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě seznamů řízení přístupu. Další informace o seznamech řízení přístupu najdete v tématu Seznamy řízení přístupu.
Řízení přístupu na základě role účtu
Řízení přístupu na základě role účtu můžete použít ke konfiguraci oprávnění k používání objektů na úrovni účtu, jako jsou instanční objekty a skupiny. Role účtu se definují jednou ve vašem účtu a použijí se ve všech pracovních prostorech. Všichni uživatelé správců účtů můžou spravovat role účtů, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě, jako jsou správci skupin a správci instančních objektů.
Další informace o rolích účtů u konkrétních objektů na úrovni účtu najdete v těchto článcích:
Role správce a oprávnění pracovního prostoru
Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:
- Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity a správy uživatelů.
- Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.
Existují také role správce specifické pro funkce s užší sadou oprávnění. Informace o dostupných rolích najdete v přehledu správy Databricks.
Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Správci pracovního prostoru přiřazují oprávnění uživatelům, instančním objektům a skupinám na úrovni pracovního prostoru. Další informace najdete v tématu Správa nároků.