Hitelesítés és hozzáféréskezelés
Ez a cikk bemutatja a hitelesítést és a hozzáférés-vezérlést az Azure Databricksben. Az adatokhoz való hozzáférés biztonságossá tételével kapcsolatos információkért tekintse meg az adatszabályozást a Unity Katalógusban.
A felhasználók és csoportok Azure Databricksben való legjobb konfigurálásáról további információt az identitással kapcsolatos ajánlott eljárásokban talál.
Egyszeri bejelentkezés
A Microsoft Entra ID-alapú bejelentkezés formájában történő egyszeri bejelentkezés alapértelmezés szerint elérhető az Azure Databricks-fiókban és a munkaterületeken. A Microsoft Entra ID egyszeri bejelentkezést használ a fiókkonzolhoz és a munkaterületekhez is. A többtényezős hitelesítést a Microsoft Entra-azonosítón keresztül engedélyezheti.
Az Azure Databricks támogatja a Microsoft Entra ID feltételes hozzáférését is, amely lehetővé teszi a rendszergazdák számára annak ellenőrzését, hogy a felhasználók hol és mikor jelentkezhetnek be az Azure Databricksbe. Lásd a feltételes hozzáférést.
Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból SCIM-kiépítéssel
Az SCIM vagy a System for Cross-domain Identity Management egy nyílt szabvány, amely lehetővé teszi a felhasználók kiépítésének automatizálását, a felhasználók és csoportok automatikus szinkronizálását a Microsoft Entra ID-ból az Azure Databricks-fiókba. Az SCIM leegyszerűsíti egy új alkalmazott vagy csapat előkészítését a Microsoft Entra ID használatával, amellyel felhasználókat és csoportokat hozhat létre az Azure Databricksben, és megfelelő szintű hozzáférést biztosíthat számukra. Ha egy felhasználó elhagyja a szervezetét, vagy már nincs szüksége az Azure Databrickshez való hozzáférésre, a rendszergazdák megszüntethetik a felhasználót a Microsoft Entra-azonosítóban, és a felhasználó fiókja is törlődik az Azure Databricksből. Ez biztosítja a konzisztens előkészítési folyamatot, és megakadályozza, hogy illetéktelen felhasználók hozzáférjenek a bizalmas adatokhoz. További információ: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból.
Biztonságos API-hitelesítés az OAuth használatával
Az Azure Databricks OAuth az Azure Databricks-munkaterület szintjén támogatja az erőforrások és műveletek biztonságos hitelesítő adatait és hozzáférését, és támogatja a részletes engedélyezési engedélyeket.
További információ: Személyes hozzáférési jogkivonat-engedélyek kezelése.
Az Azure Databricks-automatizálás általános hitelesítéséről további információt az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítése című témakörben talál.
A Databricks a személyes hozzáférési jogkivonatokat (PAT-okat) is támogatja, de inkább az OAuth használatát javasolja. A PAT-k használatáról további információt a személyes hozzáférési jogkivonatokhoz való hozzáférés figyelése és kezelése című témakörben talál.
Hozzáférés-vezérlés áttekintése
Az Azure Databricksben különböző hozzáférés-vezérlési rendszerek léteznek különböző biztonságos objektumokhoz. Az alábbi táblázat azt mutatja be, hogy melyik hozzáférés-vezérlési rendszer szabályozza a biztonságos objektumok típusát.
| Biztonságos objektum | Hozzáférés-vezérlési rendszer |
|---|---|
| Munkaterületszintű biztonságos objektumok | Hozzáférés-vezérlési listák |
| Fiókszintű biztonságos objektumok | Fiókszerepkör-alapú hozzáférés-vezérlés |
| Adatvédhető objektumok | Unity Catalog |
Az Azure Databricks rendszergazdai szerepköröket és jogosultságokat is biztosít, amelyek közvetlenül a felhasználókhoz, szolgáltatásnevekhez és csoportokhoz vannak hozzárendelve.
Az adatok biztonságossá tételével kapcsolatos információkért tekintse meg az adatszabályozást a Unity Katalógusban.
Hozzáférés-vezérlési listák
Az Azure Databricksben hozzáférés-vezérlési listákkal (ACL-ekkel) konfigurálhatja a munkaterület-objektumok, például a jegyzetfüzetek és az SQL Warehouse-ok hozzáférésére vonatkozó engedélyeket. A munkaterület összes rendszergazdai felhasználója kezelheti a hozzáférés-vezérlési listákat, valamint a hozzáférés-vezérlési listák kezeléséhez delegált engedélyekkel rendelkező felhasználókat is. A hozzáférés-vezérlési listákról további információt a Hozzáférés-vezérlési listák című témakörben talál.
Fiókszerepkör-alapú hozzáférés-vezérlés
Fiókszerepkör-alapú hozzáférés-vezérléssel konfigurálhatja a fiókszintű objektumok, például szolgáltatásnevek és csoportok használatára vonatkozó engedélyeket. A fiókszerepkörök egyszer vannak definiálva a fiókjában, és minden munkaterületre érvényesek. Minden fiókadminisztrátor kezelheti a fiókszerepköröket, valamint azokat a felhasználókat is, akik delegált engedélyeket kaptak a kezelésükhöz, például a csoportmenedzserek és a szolgáltatásnév-kezelők.
Az alábbi cikkekben további információt talál a fiókszerepkörökről adott fiókszintű objektumok esetében:
- Szerepkörök a szolgáltatásnevek kezeléséhez
- Szerepkörök kezelése csoporton a fiókkonzol használatával
Databricks-rendszergazdai szerepkörök
A biztonságos objektumok hozzáférés-vezérlése mellett beépített szerepkörök is vannak az Azure Databricks platformon. Felhasználók, szolgáltatásnevek és csoportok hozzárendelhetők szerepkörökhöz.
A rendszergazdai jogosultságok két fő szintje érhető el az Azure Databricks platformon:
Fiókgazdák: Az Azure Databricks-fiók kezelése, beleértve a Unity Catalog engedélyezését, a felhasználók kiépítését és a fiókszintű identitáskezelést.
Munkaterület-rendszergazdák: Munkaterületi identitások, hozzáférés-vezérlés, beállítások és funkciók kezelése a fiókban lévő egyes munkaterületekhez.
Emellett a felhasználók hozzárendelhetők ezekhez a funkcióspecifikus rendszergazdai szerepkörökhöz, amelyek a jogosultságok szűkebb halmazával rendelkeznek:
- Marketplace-rendszergazdák: Kezelheti fiókjuk Databricks Marketplace-szolgáltatói profilját, beleértve a Marketplace-listák létrehozását és kezelését.
- Metaadattár-rendszergazdák: A Unity Catalog metaadattárában lévő összes biztonságos objektum jogosultságainak és tulajdonjogának kezelése, például ki hozhat létre katalógusokat vagy kérdezhet le egy táblát.
A felhasználók munkaterület-felhasználókként is hozzárendelhetők. A munkaterület-felhasználók bejelentkezhetnek egy munkaterületre, ahol munkaterületszintű engedélyeket kaphatnak.
További információ: Egyszeri bejelentkezés (SSO) beállítása.
Munkaterületi jogosultságok
A jogosultság olyan tulajdonság, amely lehetővé teszi, hogy egy felhasználó, szolgáltatásnév vagy csoport meghatározott módon kommunikáljon az Azure Databricks szolgáltatással. A munkaterület rendszergazdái jogosultságokat rendelnek a felhasználókhoz, a szolgáltatásnevekhez és a csoportokhoz a munkaterület szintjén. További információ: Jogosultságok kezelése.