Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presenta la autenticación y el control de acceso en Azure Databricks. Para obtener información sobre cómo proteger el acceso a los datos, consulte Gobernanza de datos con Azure Databricks.
Inicio de sesión único con el identificador de Microsoft Entra
El inicio de sesión único en la forma de inicio de sesión respaldado por Microsoft Entra ID está disponible en las áreas de trabajo y la cuenta de Azure Databricks de forma predeterminada. Puede usar el inicio de sesión único de Microsoft Entra ID tanto para la consola de la cuenta como para las áreas de trabajo. Puede habilitar la autenticación multifactor mediante el identificador de Entra de Microsoft.
Puede configurar el aprovisionamiento Just-In-Time (JIT) para crear automáticamente nuevas cuentas de usuario a partir de Microsoft Entra ID tras su primer inicio de sesión. Consulte Aprovisionamiento automático de usuarios (JIT).
Sincronizar usuarios y grupos desde el identificador de Microsoft Entra
Databricks recomienda sincronizar identidades de Microsoft Entra ID a Azure Databricks mediante la administración automática de identidades (versión preliminar pública).
Si usa la administración de identidades automática, puede buscar directamente en áreas de trabajo federadas de identidad para usuarios, entidades de servicio y grupos de Microsoft Entra y agregarlas al área de trabajo y a la cuenta de Azure Databricks. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. Para obtener instrucciones detalladas, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.
También puede usar el aprovisionamiento de SCIM para sincronizar usuarios y grupos de Microsoft Entra ID con Azure Databricks, consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronización de usuarios y grupos de Microsoft Entra ID mediante SCIM).
Protección de la autenticación de API con OAuth
OAuth de Azure Databricks admite credenciales seguras y acceso a recursos y operaciones en el nivel de área de trabajo de Azure Databricks y admite permisos avanzados para la autorización.
Databricks también admite tokens de acceso personal (PAT), pero recomienda usar OAuth en su lugar. Para supervisar y administrar PAT, consulte Supervisión y revocación de tokens de acceso personal y Administración de permisos de token de acceso personal.
Para más información sobre cómo autenticarse en la automatización general de Azure Databricks, consulte Autorización para acceder a los recursos de Azure Databricks.
Información general sobre el control de acceso
En Azure Databricks, hay diferentes sistemas de control de acceso para diferentes objetos protegibles. En la tabla siguiente se muestra qué sistema de control de acceso rige qué tipo de objeto protegible.
| Objeto protegible | Sistema de control de acceso |
|---|---|
| Objetos protegibles de nivel de área de trabajo | Listas de control de acceso |
| Objetos protegibles de nivel de cuenta | Control de acceso basado en rol de cuenta |
| Objetos protegibles de datos | Catálogo de Unity |
Azure Databricks también proporciona roles de administrador y derechos que se asignan directamente a usuarios, entidades de servicio y grupos.
Para más información sobre cómo proteger los datos, consulte Gobernanza de datos con Azure Databricks.
Listas de control de acceso
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos del área de trabajo, como cuadernos y SQL Warehouses. Todos los usuarios administradores de áreas de trabajo pueden administrar las listas de control de acceso, al igual que los usuarios que tienen permisos delegados para administrar las listas de control de acceso. Para obtener más información sobre las listas de control de acceso, consulte Listas de control de acceso.
Control de acceso basado en rol de cuenta
Puede usar el control de acceso basado en roles de cuenta para configurar el permiso para usar objetos de nivel de cuenta, como entidades de servicio y grupos. Los roles de cuenta se definen una vez, en la cuenta, y se aplican en todas las áreas de trabajo. Todos los usuarios administradores de cuentas pueden administrar roles de cuenta, como los usuarios a los que se les han concedido permisos delegados para administrarlos, como administradores de grupos y administradores de entidades de servicio.
Siga estos artículos para obtener más información sobre los roles de cuenta en objetos específicos de nivel de cuenta:
Roles de administrador y derechos de área de trabajo
Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:
- Administradores de cuentas: administre la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity y la administración de usuarios.
- Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.
También hay roles de administrador específicos de características con un conjunto más limitado de privilegios. Para más información sobre los roles disponibles, consulte Introducción a la administración de Azure Databricks.
Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los administradores del área de trabajo asignan derechos a usuarios, entidades de servicio y grupos a nivel de área de trabajo. Para obtener más información, consulte Administrar derechos.