Verwalten des Zugriffs auf die Azure Databricks-Automatisierung
In diesem Artikel wird beschrieben, wie Sie Berechtigungen für Azure Databricks-Anmeldeinformationen konfigurieren. Informationen zum Verwenden von Anmeldeinformationen zur Authentifizierung bei Azure Databricks finden Sie unter Authentifizierung für die Azure Databricks-Automatisierung – Übersicht.
Hinweis
Berechtigungen für die Authentifizierung für die Azure Databricks-Automatisierung sind nur im Premium-Plan verfügbar.
Berechtigungen für persönliche Zugriffstoken
Arbeitsbereichsadministratoren können Berechtigungen für persönliche Zugriffstoken festlegen, um zu steuern, welche Benutzer, Dienstprinzipale und Gruppen Token erstellen und verwenden können. Bevor Sie die Tokenzugriffssteuerung verwenden können, muss der*die Administrator*in für Azure Databricks-Arbeitsbereiche persönliches Zugriffstoken für den Arbeitsbereich aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Authentifizierung mit persönlichen Zugriffstoken für den Arbeitsbereich.
Ein Arbeitsbereichsbenutzer kann über eine der folgenden Tokenberechtigungen verfügen:
- KEINE BERECHTIGUNGEN: Benutzer können keine persönlichen Zugriffstoken erstellen oder verwenden, um sich beim Azure Databricks-Arbeitsbereich zu authentifizieren.
- KANN VERWENDEN: Benutzer können ein persönliches Zugriffstoken erstellen und verwenden, um sich beim Arbeitsbereich zu authentifizieren.
- KANN VERWALTEN (nur Arbeitsbereichsadministratoren): Benutzer können persönliche Zugriffstoken aller Arbeitsbereichsbenutzer und die Berechtigung für ihre Verwendung verwalten. Benutzer in der Arbeitsbereichsgruppe
adminsverfügen standardmäßig über diese Berechtigung, diese kann nicht von Ihnen widerrufen werden. Diese Berechtigung kann keinen anderen Benutzern, Dienstprinzipalen oder Gruppen zugewiesen werden.
In dieser Tabelle sind die Berechtigungen aufgeführt, die für jede Aufgabe mit Tokenbezug erforderlich sind:
| Aufgabe | KEINE BERECHTIGUNGEN | KANN VERWENDEN | KANN VERWALTEN |
|---|---|---|---|
| Erstellen Sie ein Token | x | x | |
| Einen Token für die Authentifizierung verwenden | x | x | |
| Eigenen Token widerrufen | x | x | |
| Widerrufen des Token eines beliebigen Benutzers oder Dienstprinzipals | x | ||
| Alle Token auflisten | x | ||
| Tokenberechtigungen ändern | x |
Tokenberechtigungen mithilfe der Seite „Administratoreinstellungen“ verwalten
In diesem Abschnitt wird beschrieben, wie Sie Berechtigungen über die Benutzeroberfläche des Arbeitsbereichs verwalten. Sie können auch die Berechtigungs-API oder den Databricks-Terraform-Anbieter verwenden.
Navigieren Sie zur Seite Einstellungen.
Klicken Sie auf die Registerkarte Erweitert.
Klicken Sie neben Persönliche Zugriffstoken auf die Schaltfläche Berechtigungen, um den Tokenberechtigungs-Editor zu öffnen.
Suchen Sie nach dem Benutzer, Dienstprinzipal oder der Gruppe, und wählen Sie diese(n) aus, und wählen Sie die zuzuweisende Berechtigung.
Wenn die
users-Gruppe über die Berechtigung KANN VERWENDEN verfügt und Sie differenziertere Zugriffsberechtigungen für Benutzer ohne Administratorrechte anwenden möchten, entfernen Sie die KANN VERWENDEN-Berechtigung aus derusers-Gruppe, indem Sie neben dem Berechtigungs-Dropdown-Feld in der Zeile Benutzer auf das X klicken.Klicken Sie auf + Hinzufügen.
Klicken Sie auf Speichern.
Warnung
Nach dem Speichern ihrer Änderungen wird allen Benutzern, die zuvor die Berechtigung KANN VERWENDEN oder KANN VERWALTEN hatten und nun über keine der Berechtigungen mehr verfügen, der Zugriff auf die Authentifizierung mit persönlichen Zugriffstoken verweigert, und ihre aktiven Token werden sofort gelöscht (widerrufen). Gelöschte Token können nicht wiederhergestellt werden.