Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Izin mengontrol apa yang dapat dilakukan pengguna dengan aplikasi Databricks, seperti mengakses, mengelola, dan berbagi aplikasi. Ini berbeda dari autentikasi, yang memverifikasi identitas pengguna. Izin menentukan tindakan apa yang diizinkan pengguna untuk dilakukan dalam aplikasi.
Tingkat izin
-
CAN MANAGE- Dapat mengelola pengaturan dan izin aplikasi, termasuk kemampuan untuk mengedit dan menghapus aplikasi. -
CAN USE- Dapat menjalankan dan berinteraksi dengan aplikasi tetapi tidak dapat memodifikasi atau mengelolanya.
Hanya pengguna dengan CAN MANAGE izin yang dapat menetapkan atau mencabut izin di aplikasi.
Izin organisasi
Jika Anda mengatur izin organisasi aplikasi ke Siapa pun di organisasi saya dapat menggunakan, semua pengguna di akun Azure Databricks saat ini dapat mengakses aplikasi. Ini termasuk pengguna yang ditambahkan secara manual, disinkronkan melalui System for Cross-domain Identity Management (SCIM), atau dibuat menggunakan penyediaan just-in-time (JIT) melalui IdP Anda.
Pengguna yang disediakan JIT masih harus mengautentikasi melalui penyedia identitas organisasi Anda dan dikenali oleh Azure Databricks sebagai pengguna terdaftar. Anda dapat memberi pengguna CAN USE ini akses ke aplikasi, meskipun mereka tidak memiliki akses ke ruang kerja apa pun. Namun, akses bergantung pada kebijakan autentikasi ruang kerja. Misalnya, jika PrivateLink diaktifkan, Azure Databricks mungkin kembali ke autentikasi tingkat ruang kerja. Dalam hal ini, akses diblokir untuk pengguna yang terhubung melalui titik akhir publik Azure Databricks.
Anda tidak dapat membuat aplikasi Databricks menjadi publik. Akses anonim dan melewati proses masuk tunggal (SSO) tidak didukung. Untuk memberikan akses ke kolaborator eksternal, gunakan federasi identitas dengan SCIM dan penyediaan JIT untuk menambahkan pengguna melalui penyedia identitas Anda tanpa memberikan akses ruang kerja penuh.
Menetapkan izin di antarmuka pengguna aplikasi Databricks
Kelola siapa yang dapat melihat, menjalankan, atau memodifikasi aplikasi Databricks dengan menetapkan izin langsung di UI Aplikasi Databricks.
- Navigasi ke halaman detail aplikasi.
- Klik tab Izin.
- Gunakan menu dropdown Pilih Pengguna, Grup, atau Perwakilan Layanan... untuk memilih pengguna, grup, atau perwakilan layanan.
- Pilih tingkat izin yang sesuai (
CAN USEatauCAN MANAGE). - Klik Tambahkan, lalu Simpan untuk menerapkan perubahan.
Izin versus otorisasi
Di Databricks Apps, penting untuk membedakan antara izin dan otorisasi, yang terkait tetapi konsep terpisah.
Izin ditetapkan di tingkat ruang kerja dan menentukan siapa di dalam ruang kerja yang dapat mengelola atau menggunakan aplikasi. Izin mengontrol akses ke aplikasi itu sendiri, seperti siapa yang dapat menyebarkan, memperbarui, atau menjalankannya. Izin tidak mengontrol data apa yang dapat diakses aplikasi atau penggunanya.
Otorisasi mengacu pada mengontrol akses ke data dan sumber daya, dan memiliki dua sub-kategori:
- Otorisasi pengguna - Saat pengguna mengautentikasi ke aplikasi, Azure Databricks meneruskan identitas mereka ke runtime aplikasi. Ini memungkinkan Katalog Unity dan kebijakan akses data lainnya untuk memberlakukan izin berdasarkan identitas pengguna, membatasi data apa yang dapat diakses aplikasi atas nama mereka.
- Otorisasi Aplikasi - Aplikasi berjalan menggunakan service principal yang memiliki izin tersendiri untuk mengakses sumber daya Azure Databricks yang diperlukan. Otorisasi ini mengatur apa yang dapat dilakukan aplikasi itu sendiri secara independen dari pengguna mana pun.
Singkatnya, izin mengontrol akses tingkat ruang kerja ke aplikasi (siapa yang dapat menggunakan atau mengelolanya), sementara otorisasi mengatur akses tingkat data dan sumber daya, termasuk akses berbasis identitas pengguna dan akses perwakilan layanan aplikasi.
Untuk informasi selengkapnya, lihat Mengonfigurasi otorisasi di aplikasi Databricks.
Hak Akses Aplikasi
Setiap pengguna di ruang kerja dapat membuat Aplikasi Databricks, mirip dengan produk tanpa server lainnya. Namun, hak berikut mengontrol berbagai aspek akses aplikasi:
- Akses dan manajemen aplikasi: Siapa yang dapat mengakses dan mengelola aplikasi, dikontrol melalui tingkat izin
- Izin perwakilan layanan: Izin yang ditetapkan ke perwakilan layanan khusus aplikasi
- Persetujuan pengguna: Apakah pengguna menyetujui untuk mengizinkan aplikasi menggunakan identitas mereka untuk otorisasi pengguna
- Izin pengguna: Katalog Unity yang mendasar dan izin ruang kerja pengguna yang mengakses aplikasi
Praktik terbaik untuk izin
Ikuti praktik terbaik ini untuk mengelola izin aplikasi Databricks dengan aman:
- Ikuti prinsip hak istimewa paling sedikit dengan hanya memberikan izin yang diperlukan untuk peran setiap pengguna.
- Lebih suka menetapkan
CAN USEizin kecuali pengguna memerlukan kemampuan manajemen. - Gunakan grup atau perwakilan layanan untuk mengelola izin secara efisien dalam skala besar.