Freigeben über


Authentifizierung und Zugriffssteuerung

In diesem Artikel werden die Authentifizierung und die Zugriffssteuerung in Azure Databricks vorgestellt. Informationen zum Sichern des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.

Weitere Informationen zum sicheren Konfigurieren von Benutzer*innen und Gruppen in Azure Databricks finden Sie unter Best Practices für Identitäten.

Einmaliges Anmelden

Das einmalige Anmelden (SSO) in Form der durch Microsoft Entra ID-gestützten Anmeldung ist in Azure Databricks-Konten und -Arbeitsbereichen standardmäßig verfügbar. Sie verwenden einmaliges Anmelden von Microsoft Entra ID sowohl für die Kontokonsole als auch für Arbeitsbereiche. Sie können die Multi-Faktor-Authentifizierung über Microsoft Entra ID aktivieren.

Azure Databricks unterstützt den bedingten Zugriff von Microsoft Entra ID, mit dem Administrator*innen steuern können, wo und wann Benutzer*innen sich bei Azure Databricks anmelden dürfen. Weitere Informationen finden Sie unter Bedingter Zugriff.

Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID mithilfe der SCIM-Bereitstellung

Sie könnenSCIM (System for Cross-Domain Identity Management) verwenden, einen offenen Standard zum Automatisieren der Bereitstellung von Benutzer*innen, verwenden, um Benutzer*innen und Gruppen automatisch von Microsoft Entra ID mit Ihrem Azure Databricks-Konto zu synchronisieren. SCIM optimiert das Onboarding neuer Mitarbeiter*innen oder Teams, indem es mithilfe von Microsoft Entra ID Benutzer*innen und Gruppen in Azure Databricks erstellt und ihnen die richtige Zugriffsebene zuweist. Wenn Benutzer*innen Ihre Organisation verlassen oder keinen Zugriff mehr auf Azure Databricks benötigen, können Administrator*innen die Benutzer*innen in Microsoft Entra ID kündigen. Die Konten dieser Benutzer*innen werden dann auch aus Azure Databricks entfernt. Dies gewährleistet einen konsistenten Offboarding-Prozess und verhindert, dass unbefugte Benutzer auf sensible Daten zugreifen. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen aus Microsoft Entra ID.

Sichere API-Authentifizierung mit OAuth

Azure Databricks OAuth unterstützt sichere Anmeldedaten und den Zugriff auf Ressourcen und Vorgänge auf Azure Databricks-Arbeitsbereichsebene sowie unterstützt differenzierte Berechtigungen für die Autorisierung.

Databricks unterstützt auch persönliche Zugriffstoken (PATs), empfiehlt jedoch stattdessen die Verwendung von OAuth. Informationen zum Überwachen und Verwalten von PATs finden Sie unter Überwachen und Widerrufen von persönlichen Zugriffstoken und Verwalten von Berechtigungen für persönliche Zugriffstoken.

Weitere Informationen zur allgemeinen Authentifizierung bei der Azure Databricks-Automatisierung finden Sie unter Authentifizierung des Zugriffs auf Azure Databricks-Ressourcen.

Databricks unterstützt auch persönliche Zugriffstoken (PATs), empfiehlt jedoch stattdessen die Verwendung von OAuth. Ausführliche Informationen zur Verwendung von PATs finden Sie unter Überwachen und Widerrufen von persönlichen Zugriffstoken.

Übersicht über die Zugriffssteuerung

In Azure Databricks gibt es unterschiedliche Zugriffssteuerungssysteme für verschiedene sicherungsfähige Objekte. Die folgende Tabelle zeigt, welches Zugriffssteuerungssystem für welche sicherungsfähigen Objekten verwendet wird.

Sicherungsfähiges Objekt Zgriffssteuerungssystem
Sicherungsfähige Objekte auf Arbeitsbereichsebene Zugriffssteuerungslisten
Sicherungsfähige Objekte auf Kontoebene Rollenbasierte Zugriffssteuerung für Konten
Sicherungsfähige Datenobjekte Unity Catalog

In Azure Databricks gibt es außerdem Administratorrollen und Berechtigungen, die Benutzer*innen, Dienstprinzipalen und Gruppen direkt zugewiesen werden.

Weitere Informationen zum Schützen des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.

Zugriffssteuerungslisten

In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf Arbeitsbereichsobjekte wie Notebooks und SQL-Warehouses zu konfigurieren. Neben allen Arbeitsbereich-Administratorbenutzern können auch Benutzer Zugriffssteuerungslisten verwalten, denen delegierte Berechtigungen zum Verwalten von Zugriffssteuerungslisten erteilt wurden. Weitere Informationen zu Zugriffssteuerungslisten finden Sie unter Zugriffssteuerungslisten.

Rollenbasierte Zugriffssteuerung für Konten

Sie können die zugriffsbasierte Zugriffssteuerung für Konten verwenden, um die Berechtigung für die Verwendung von Objekten auf Kontoebene zu konfigurieren, z. B. Dienstprinzipale und Gruppen. Kontorollen werden einmal in Ihrem Konto definiert und gelten für alle Arbeitsbereiche. Alle Kontoadministrator*innen können Kontorollen verwalten, ebenso wie Benutzer*innen, denen delegierte Berechtigungen zum Verwalten erteilt wurden, z. B. Gruppenmanager*innen und Dienstprinzipalmanager*innen.

Lesen Sie die folgenden Artikeln, um weitere Informationen zu Kontorollen für bestimmte Objekte auf Kontoebene zu erhalten:

Databricks-Administratorrollen

Zusätzlich zur Zugriffssteuerung für sicherungsfähige Objekte gibt es integrierte Rollen auf der Azure Databricks-Plattform. Benutzer*innen, Dienstprinzipalen und Gruppen können Rollen zugewiesen werden.

Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:

  • Kontoadministratoren: Verwalten das Azure Databricks-Konto, einschließlich Aktivierung von Unity Catalog, Benutzerbereitstellung und Identitätsverwaltung auf Kontoebene.

  • Arbeitsbereichsadministratoren: Verwalten Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.

Darüber hinaus können Benutzern diese funktionsspezifischen Administratorrollen zugewiesen werden, die einen engeren Kreis von Privilegien haben:

  • Marketplace-Administratoren: Verwalten das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Angeboten.
  • Metastore-Administratoren: Verwalten die Privilegien und Eigentumsrechte für alle sicherheitsrelevanten Objekte innerhalb eines Unity Catalog Metaspeichers, z. B. wer Kataloge erstellen oder eine Tabelle abfragen darf.

Benutzer*innen können auch zu Arbeitsbereichsbenutzer*innen ernannt werden. Arbeitsbereichsbenutzer*innen können sich bei einem Arbeitsbereich anmelden, für den ihnen Berechtigungen auf Arbeitsbereichsebene erteilt werden können.

Weitere Informationen finden Sie unter Einrichten des einmaligen Anmeldens (Single Sign-On, SSO).

Arbeitsbereichsberechtigungen

Eine Berechtigung ist eine Eigenschaft, die einem Benutzer, einem Dienstprinzipal oder einer Gruppe die Interaktion mit Azure Databricks auf eine bestimmte Weise gestattet. Arbeitsbereichsadministrator*innen weisen Benutzer*innen, Dienstprinzipalen und Gruppen Berechtigungen auf Arbeitsbereichsebene zu. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.