Compartir vía


Autenticación y control de acceso

En este artículo se presenta la autenticación y el control de acceso en Azure Databricks. Para obtener información sobre cómo proteger el acceso a los datos, consulte Gobernanza de datos con Unity Catalog.

Para más información sobre la mejor forma de configurar el usuario y los grupos en Azure Databricks, consulte Procedimientos recomendados de identidad.

Inicio de sesión único

El inicio de sesión único en la forma de inicio de sesión respaldado por Microsoft Entra ID está disponible en las áreas de trabajo y la cuenta de Azure Databricks de forma predeterminada. Puede usar el inicio de sesión único de Microsoft Entra ID tanto para la consola de la cuenta como para las áreas de trabajo. Puede habilitar la autenticación multifactor mediante Microsoft Entra ID.

Azure Databricks también admite el acceso condicional de Microsoft Entra ID, lo que permite que los administradores controlen dónde y cuándo los usuarios pueden iniciar sesión en Azure Databricks. Consulte Acceso condicional.

Sincronización de usuarios y grupos desde Microsoft Entra ID con el aprovisionamiento de SCIM

Puede usar SCIM, o System for Cross-domain Identity Management, un estándar abierto que le permite automatizar el aprovisionamiento de usuarios, para sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID a la cuenta de Azure Databricks. SCIM optimiza la incorporación de un nuevo empleado o equipo mediante Microsoft Entra ID para crear usuarios y grupos en Azure Databricks y proporcionarles el nivel de acceso adecuado. Cuando un usuario abandona la organización o ya no necesita acceder a Azure Databricks, los administradores pueden finalizar el usuario en Microsoft Entra ID, y la cuenta del usuario también se quita de Azure Databricks. Así, se garantiza un proceso de retirada coherente y se evita que los usuarios no autorizados accedan a datos confidenciales. Para más información, consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.

Protección de la autenticación de API con OAuth

OAuth de Azure Databricks admite credenciales seguras y acceso a recursos y operaciones en el nivel de área de trabajo de Azure Databricks y admite permisos avanzados para la autorización.

Databricks también admite tokens de acceso personal (PAT), pero recomienda usar OAuth en su lugar. Para supervisar y administrar PAT, consulte Supervisión y revocación de tokens de acceso personal y Administración de permisos de token de acceso personal.

Para obtener más información sobre la autenticación en la automatización de Azure Databricks, consulte Autenticación del acceso a los recursos de Azure Databricks.

Databricks también admite tokens de acceso personal (PAT), pero recomienda usar OAuth en su lugar. Para más información sobre el uso de PAT, consulte Supervisión y revocación de tokens de acceso personal.

Información general sobre el control de acceso

En Azure Databricks, hay diferentes sistemas de control de acceso para diferentes objetos protegibles. En la tabla siguiente se muestra qué sistema de control de acceso rige qué tipo de objeto protegible.

Objeto protegible Sistema de control de acceso
Objetos protegibles de nivel de área de trabajo Listas de control de acceso
Objetos protegibles de nivel de cuenta Control de acceso basado en rol de cuenta
Objetos protegibles de datos Unity Catalog

Azure Databricks también proporciona roles de administrador y derechos que se asignan directamente a usuarios, entidades de servicio y grupos.

Para obtener información sobre cómo proteger los datos, consulte Gobernanza de datos con Unity Catalog.

Listas de control de acceso

En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos del área de trabajo, como cuadernos y SQL Warehouses. Todos los usuarios administradores de áreas de trabajo pueden administrar las listas de control de acceso, al igual que los usuarios que tienen permisos delegados para administrar las listas de control de acceso. Para obtener más información sobre las listas de control de acceso, consulte Listas de control de acceso.

Control de acceso basado en rol de cuenta

Puede usar el control de acceso basado en roles de cuenta para configurar el permiso para usar objetos de nivel de cuenta, como entidades de servicio y grupos. Los roles de cuenta se definen una vez, en la cuenta, y se aplican en todas las áreas de trabajo. Todos los usuarios administradores de cuentas pueden administrar roles de cuenta, como los usuarios a los que se les han concedido permisos delegados para administrarlos, como administradores de grupos y administradores de entidades de servicio.

Siga estos artículos para obtener más información sobre los roles de cuenta en objetos específicos de nivel de cuenta:

Roles de administrador de Databricks

Además del control de acceso en objetos protegibles, hay roles integrados en la plataforma de Azure Databricks. A los usuarios, entidades de servicio y grupos se les pueden asignar roles.

Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:

  • Administradores de cuentas: administran la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity, el aprovisionamiento de usuarios y la administración de identidades de nivel de cuenta.

  • Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.

Además, a los usuarios se les pueden asignar estos roles de administrador específicos de características, que tienen conjuntos de privilegios más estrechos:

  • Administradores de Marketplace: administre el perfil de proveedor de Marketplace de Databricks de su cuenta, incluida la creación y administración de listados de Marketplace.
  • Administradores de Metastore: administre los privilegios y la propiedad de todos los objetos asegurables dentro de una metastore de Unity Catalog, como quién puede crear catálogos o consultar una tabla.

Los usuarios también se pueden asignar para que sean usuarios del área de trabajo. Un usuario del área de trabajo puede iniciar sesión en un área de trabajo, donde se le pueden conceder permisos a nivel de área de trabajo.

Para obtener más información, consulte Configuración del inicio de sesión único (SSO).

Derechos del área de trabajo

Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los administradores del área de trabajo asignan derechos a usuarios, entidades de servicio y grupos a nivel de área de trabajo. Para obtener más información, consulte Administrar derechos.