Authentifizierung und Zugriffssteuerung
In diesem Artikel werden die Authentifizierung und die Zugriffssteuerung in Azure Databricks vorgestellt. Informationen zum Sichern des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.
Weitere Informationen zum sicheren Konfigurieren von Benutzer*innen und Gruppen in Azure Databricks finden Sie unter Best Practices für Identitäten.
Einmaliges Anmelden (SSO)
Das einmalige Anmelden (SSO) in Form der durch Microsoft Entra ID (früher Azure Active Directory) unterstützten Anmeldung ist in Azure Databricks-Konten und -Arbeitsbereichen standardmäßig verfügbar. Sie verwenden einmaliges Anmelden von Microsoft Entra ID sowohl für die Kontokonsole als auch für Arbeitsbereiche. Sie können die Multi-Faktor-Authentifizierung über Microsoft Entra ID aktivieren.
Azure Databricks unterstützt den bedingten Zugriff von Microsoft Entra ID, mit dem Administrator*innen steuern können, wo und wann Benutzer*innen sich bei Azure Databricks anmelden dürfen. Weitere Informationen finden Sie unter Bedingter Zugriff.
Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID mithilfe der SCIM-Bereitstellung
Sie könnenSCIM (System for Cross-Domain Identity Management) verwenden, einen offenen Standard zum Automatisieren der Bereitstellung von Benutzer*innen, verwenden, um Benutzer*innen und Gruppen automatisch von Microsoft Entra ID mit Ihrem Azure Databricks-Konto zu synchronisieren. SCIM optimiert das Onboarding neuer Mitarbeiter*innen oder Teams, indem es mithilfe von Microsoft Entra ID Benutzer*innen und Gruppen in Azure Databricks erstellt und ihnen die richtige Zugriffsebene zuweist. Wenn Benutzer*innen Ihre Organisation verlassen oder keinen Zugriff mehr auf Azure Databricks benötigen, können Administrator*innen die Benutzer*innen in Microsoft Entra ID kündigen. Die Konten dieser Benutzer*innen werden dann auch aus Azure Databricks entfernt. Dies gewährleistet einen konsistenten Offboarding-Prozess und verhindert, dass unbefugte Benutzer auf sensible Daten zugreifen. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen aus Microsoft Entra ID.
Sichere API-Authentifizierung
Persönliche Zugriffstoken in Azure Databricks gehören zu den am besten unterstützten Arten von Anmeldeinformationen für Ressourcen und Vorgänge auf der Azure Databricks-Arbeitsbereichsebene. Um die API-Authentifizierung zu schützen, können Arbeitsbereichsadministrator*innen steuern, welche Benutzer*innen, Dienstprinzipale und Gruppen persönliche Zugriffstoken von Azure Databricks erstellen und verwenden können.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf die Azure Databricks-Automatisierung.
Arbeitsbereichsadministrator*innen können persönliche Azure Databricks-Zugriffstoken auch überprüfen und Token löschen sowie die maximale Lebensdauer neuer Token für ihren Arbeitsbereich festzulegen. Siehe Überwachen und Verwalten von persönlichen Zugriffstoken.
Weitere Informationen zur Authentifizierung bei der Azure Databricks-Automatisierung finden Sie unter Authentifizierung für Azure Databricks-Automatisierung - Übersicht.
Übersicht über die Zugriffssteuerung
In Azure Databricks gibt es unterschiedliche Zugriffssteuerungssysteme für verschiedene sicherungsfähige Objekte. Die folgende Tabelle zeigt, welches Zugriffssteuerungssystem für welche sicherungsfähigen Objekten verwendet wird.
| Sicherungsfähiges Objekt | Zgriffssteuerungssystem |
|---|---|
| Sicherungsfähige Objekte auf Arbeitsbereichsebene | Zugriffssteuerungslisten |
| Sicherungsfähige Objekte auf Kontoebene | Rollenbasierte Zugriffssteuerung für Konten |
| Sicherungsfähige Datenobjekte | Unity Catalog |
In Azure Databricks gibt es außerdem Administratorrollen und Berechtigungen, die Benutzer*innen, Dienstprinzipalen und Gruppen direkt zugewiesen werden.
Weitere Informationen zum Schützen des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.
Zugriffssteuerungslisten
In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf Arbeitsbereichsobjekte wie Notebooks und SQL-Warehouses zu konfigurieren. Neben allen Arbeitsbereich-Administratorbenutzern können auch Benutzer Zugriffssteuerungslisten verwalten, denen delegierte Berechtigungen zum Verwalten von Zugriffssteuerungslisten erteilt wurden. Weitere Informationen zu Zugriffssteuerungslisten finden Sie unter Zugriffssteuerungslisten.
Rollenbasierte Zugriffssteuerung für Konten
Sie können die zugriffsbasierte Zugriffssteuerung für Konten verwenden, um die Berechtigung für die Verwendung von Objekten auf Kontoebene zu konfigurieren, z. B. Dienstprinzipale und Gruppen. Kontorollen werden einmal in Ihrem Konto definiert und gelten für alle Arbeitsbereiche. Alle Kontoadministrator*innen können Kontorollen verwalten, ebenso wie Benutzer*innen, denen delegierte Berechtigungen zum Verwalten erteilt wurden, z. B. Gruppenmanager*innen und Dienstprinzipalmanager*innen.
Lesen Sie die folgenden Artikeln, um weitere Informationen zu Kontorollen für bestimmte Objekte auf Kontoebene zu erhalten:
- Rollen für die Verwaltung von Dienstprinzipalen
- Verwalten von Rollen in einer Gruppe mithilfe der Kontokonsole
Databricks-Administratorrollen
Zusätzlich zur Zugriffssteuerung für sicherungsfähige Objekte gibt es integrierte Rollen auf der Azure Databricks-Plattform. Benutzer*innen, Dienstprinzipalen und Gruppen können Rollen zugewiesen werden.
Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:
Kontoadministratoren: Verwalten das Azure Databricks-Konto, einschließlich Aktivierung von Unity Catalog, Benutzerbereitstellung und Identitätsverwaltung auf Kontoebene.
Arbeitsbereichsadministratoren: Verwalten Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.
Darüber hinaus können Benutzern diese funktionsspezifischen Administratorrollen zugewiesen werden, die einen engeren Kreis von Privilegien haben:
- Marketplace-Administratoren: Verwalten das Databricks Marketplace-Anbieterprofil ihres Kontos, einschließlich der Erstellung und Verwaltung von Marketplace-Angeboten.
- Metastore-Administratoren: Verwalten die Privilegien und Eigentumsrechte für alle sicherheitsrelevanten Objekte innerhalb eines Unity Catalog Metaspeichers, z. B. wer Kataloge erstellen oder eine Tabelle abfragen darf.
Benutzer*innen können auch zu Arbeitsbereichsbenutzer*innen ernannt werden. Arbeitsbereichsbenutzer*innen können sich bei einem Arbeitsbereich anmelden, für den ihnen Berechtigungen auf Arbeitsbereichsebene erteilt werden können.
Weitere Informationen finden Sie unter Einrichten des einmaligen Anmeldens (Single Sign-On, SSO).
Arbeitsbereichsberechtigungen
Eine Berechtigung ist eine Eigenschaft, die einem Benutzer, einem Dienstprinzipal oder einer Gruppe die Interaktion mit Azure Databricks auf eine bestimmte Weise gestattet. Arbeitsbereichsadministrator*innen weisen Benutzer*innen, Dienstprinzipalen und Gruppen Berechtigungen auf Arbeitsbereichsebene zu. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.