Ověřování a řízení přístupu
Tento článek představuje ověřování a řízení přístupu v Azure Databricks. Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.
Další informace o tom, jak nejlépe nakonfigurovat uživatele a skupiny v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.
Jednotné přihlašování
Jednotné přihlašování ve formě přihlášení založeného na ID Microsoftu je ve výchozím nastavení dostupné v účtu a pracovních prostorech Azure Databricks. Jednotné přihlašování Microsoft Entra ID používáte pro konzolu účtu i pracovní prostory. Vícefaktorové ověřování můžete povolit prostřednictvím ID Microsoft Entra.
Azure Databricks také podporuje podmíněný přístup Microsoft Entra ID, který správcům umožňuje řídit, kde a kdy se uživatelé můžou přihlásit k Azure Databricks. Viz Podmíněný přístup.
Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí zřizování SCIM
Pro správu identit mezi doménami můžete použít open standard SCIM nebo System, který umožňuje automatizovat zřizování uživatelů a automaticky synchronizovat uživatele a skupiny z Microsoft Entra ID s vaším účtem Azure Databricks. SCIM zjednodušuje onboarding nového zaměstnance nebo týmu pomocí ID Microsoft Entra k vytvoření uživatelů a skupin v Azure Databricks a poskytnutí správné úrovně přístupu. Když uživatel opustí vaši organizaci nebo už nepotřebuje přístup k Azure Databricks, můžou správci uživatele ukončit v Microsoft Entra ID a účet daného uživatele se také odebere z Azure Databricks. Tím se zajistí konzistentní proces odpojování a zabrání neoprávněným uživatelům v přístupu k citlivým datům. Další informace naleznete v tématu Synchronizace uživatelů a skupin z Microsoft Entra ID.
Zabezpečení ověřování rozhraní API pomocí OAuth
Azure Databricks OAuth podporuje zabezpečené přihlašovací údaje a přístup k prostředkům a operacím na úrovni pracovního prostoru Azure Databricks a podporuje jemně odstupňovaná oprávnění pro autorizaci.
Databricks také podporuje tokeny patového přístupu(PAT), ale místo toho doporučuje používat OAuth. Pokud chcete monitorovat a spravovat paty, přečtěte si téma Monitorování a odvolávání tokenů pat a správa oprávnění osobního přístupového tokenu.
Další informace o celkovém ověřování ve službě Azure Databricks Automation najdete v tématu Ověřování přístupu k prostředkům Azure Databricks.
Databricks také podporuje tokeny patového přístupu(PAT), ale místo toho doporučuje používat OAuth. Podrobnosti o používání PAT najdete v tématu Monitorování a odvolávání tokenů pat.
Přehled řízení přístupu
V Azure Databricks existují různé systémy řízení přístupu pro různé zabezpečitelné objekty. Následující tabulka ukazuje, který systém řízení přístupu řídí typ zabezpečitelného objektu.
| Zabezpečitelný objekt | Systém řízení přístupu |
|---|---|
| Zabezpečitelné objekty na úrovni pracovního prostoru | Seznamy řízení přístupu |
| Zabezpečitelné objekty na úrovni účtu | Řízení přístupu na základě role účtu |
| Zabezpečitelné objekty dat | Katalog Unity |
Azure Databricks také poskytuje role a oprávnění správce, které jsou přiřazené přímo uživatelům, instančním objektům a skupinám.
Informace o zabezpečení dat najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.
Seznamy řízení přístupu
V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k objektům pracovního prostoru, jako jsou poznámkové bloky a SQL Warehouse. Všichni uživatelé správců pracovního prostoru můžou spravovat seznamy řízení přístupu, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě seznamů řízení přístupu. Další informace o seznamech řízení přístupu najdete v tématu Seznamy řízení přístupu.
Řízení přístupu na základě role účtu
Řízení přístupu na základě role účtu můžete použít ke konfiguraci oprávnění k používání objektů na úrovni účtu, jako jsou instanční objekty a skupiny. Role účtu se definují jednou ve vašem účtu a použijí se ve všech pracovních prostorech. Všichni uživatelé správců účtů můžou spravovat role účtů, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě, jako jsou správci skupin a správci instančních objektů.
Další informace o rolích účtů u konkrétních objektů na úrovni účtu najdete v těchto článcích:
Role správce Databricks
Kromě řízení přístupu k zabezpečitelným objektům jsou na platformě Azure Databricks předdefinované role. Role mohou být přiřazeny uživatelům, instančním objektům a skupinám.
Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:
Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity, zřizování uživatelů a správy identit na úrovni účtu.
Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.
Kromě toho je možné uživatelům přiřadit tyto role správce specifické pro funkce, které mají užší sady oprávnění:
- Správci Marketplace: Spravují profil poskytovatele Databricks Marketplace svého účtu, včetně vytváření a správy výpisů z Marketplace.
- Správci metastoru: Spravují oprávnění a vlastnictví pro všechny zabezpečitelné objekty v metastoru katalogu Unity, například kdo může vytvářet katalogy nebo dotazovat tabulku.
Uživatelům je také možné přiřadit uživatele pracovního prostoru. Uživatel pracovního prostoru se může přihlásit k pracovnímu prostoru, kde může mít udělená oprávnění na úrovni pracovního prostoru.
Další informace najdete v tématu Nastavení jednotného přihlašování (SSO).
Nároky pracovního prostoru
Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Správci pracovního prostoru přiřazují oprávnění uživatelům, instančním objektům a skupinám na úrovni pracovního prostoru. Další informace najdete v tématu Správa nároků.