Autentikasi dan kontrol akses
Artikel ini memperkenalkan autentikasi dan kontrol akses di Azure Databricks. Untuk informasi tentang mengamankan akses ke data Anda, lihat Tata kelola data dengan Unity Catalog.
Untuk informasi selengkapnya tentang cara terbaik mengonfigurasi pengguna dan grup di Azure Databricks, lihat Praktik terbaik identitas.
Akses menyeluruh
Akses menyeluruh dalam bentuk login yang didukung ID Microsoft Entra tersedia di akun Dan ruang kerja Azure Databricks secara default. Anda menggunakan akses menyeluruh MICROSOFT Entra ID untuk konsol akun dan ruang kerja. Anda dapat mengaktifkan autentikasi multifaktor melalui ID Microsoft Entra.
Azure Databricks juga mendukung akses bersyarat ID Microsoft Entra, yang memungkinkan administrator mengontrol di mana dan kapan pengguna diizinkan masuk ke Azure Databricks. Lihat Akses bersyarat.
Menyinkronkan pengguna dan grup dari ID Microsoft Entra menggunakan provisi SCIM
Anda dapat menggunakan SCIM, atau System for Cross-domain Identity Management, standar terbuka yang memungkinkan Anda mengotomatiskan provisi pengguna, untuk menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra ke akun Azure Databricks Anda. SCIM menyederhanakan orientasi karyawan atau tim baru dengan menggunakan ID Microsoft Entra untuk membuat pengguna dan grup di Azure Databricks dan memberi mereka tingkat akses yang tepat. Saat pengguna meninggalkan organisasi Anda atau tidak lagi memerlukan akses ke Azure Databricks, admin dapat mengakhiri pengguna di ID Microsoft Entra, dan akun pengguna tersebut juga dihapus dari Azure Databricks. Ini memastikan proses offboarding yang konsisten dan mencegah pengguna yang tidak diotorisasi mengakses data sensitif. Untuk informasi selengkapnya, lihat Menyinkronkan pengguna dan grup dari ID Microsoft Entra.
Autentikasi API aman dengan OAuth
Azure Databricks OAuth mendukung kredensial dan akses yang aman untuk sumber daya dan operasi di tingkat ruang kerja Azure Databricks dan mendukung izin menenangkan untuk otorisasi.
Untuk informasi selengkapnya, lihat Mengelola izin token akses pribadi.
Untuk informasi selengkapnya tentang mengautentikasi ke otomatisasi Azure Databricks secara keseluruhan, lihat Mengautentikasi akses ke sumber daya Azure Databricks.
Databricks juga mendukung token akses pribadi (PATs), tetapi merekomendasikan Anda menggunakan OAuth sebagai gantinya. Untuk detail tentang menggunakan PATs, lihat Memantau dan mengelola akses ke token akses pribadi.
Gambaran umum kontrol akses
Di Azure Databricks, ada sistem kontrol akses yang berbeda untuk objek yang dapat diamankan yang berbeda. Tabel di bawah ini menunjukkan sistem kontrol akses mana yang mengatur jenis objek yang dapat diamankan.
Objek yang dapat diamankan | Sistem kontrol akses |
---|---|
Objek yang dapat diamankan tingkat ruang kerja | Daftar kontrol akses |
Objek yang dapat diamankan tingkat akun | Kontrol akses berbasis peran akun |
Objek yang dapat diamankan data | Katalog Unity |
Azure Databricks juga menyediakan peran dan hak admin yang ditetapkan langsung kepada pengguna, perwakilan layanan, dan grup.
Untuk informasi tentang mengamankan data, lihat Tata kelola data dengan Unity Catalog.
Daftar kontrol akses
Di Azure Databricks, Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengonfigurasi izin untuk mengakses objek ruang kerja seperti notebook dan SQL Warehouses. Semua pengguna admin ruang kerja dapat mengelola daftar kontrol akses, seperti halnya pengguna yang telah diberi izin yang didelegasikan untuk mengelola daftar kontrol akses. Untuk informasi selengkapnya tentang daftar kontrol akses, lihat Daftar kontrol akses.
Kontrol akses berbasis peran akun
Anda dapat menggunakan kontrol akses berbasis peran akun untuk mengonfigurasi izin untuk menggunakan objek tingkat akun seperti perwakilan layanan dan grup. Peran akun ditentukan sekali, di akun Anda, dan berlaku di semua ruang kerja. Semua pengguna admin akun dapat mengelola peran akun, seperti halnya pengguna yang telah diberi izin yang didelegasikan untuk mengelolanya, seperti manajer grup dan manajer perwakilan layanan.
Ikuti artikel ini untuk informasi selengkapnya tentang peran akun pada objek tingkat akun tertentu:
Peran admin Databricks
Selain kontrol akses pada objek yang dapat diamankan, ada peran bawaan pada platform Azure Databricks. Pengguna, perwakilan layanan, dan grup dapat diberi peran.
Ada dua tingkat utama hak istimewa admin yang tersedia di platform Azure Databricks:
Admin akun: Kelola akun Azure Databricks, termasuk mengaktifkan Unity Catalog, provisi pengguna, dan manajemen identitas tingkat akun.
Admin ruang kerja: Mengelola identitas ruang kerja, kontrol akses, pengaturan, dan fitur untuk ruang kerja individual di akun.
Selain itu, pengguna dapat diberi peran admin khusus fitur ini, yang memiliki serangkaian hak istimewa yang lebih sempit:
- Admin marketplace: Mengelola profil penyedia Marketplace Databricks akun mereka, termasuk membuat dan mengelola daftar Marketplace.
- Admin metastore: Mengelola hak istimewa dan kepemilikan untuk semua objek yang dapat diamankan dalam metastore Katalog Unity, seperti siapa yang dapat membuat katalog atau mengkueri tabel.
Pengguna juga dapat ditetapkan untuk menjadi pengguna ruang kerja. Pengguna ruang kerja memiliki kemampuan untuk masuk ke ruang kerja, di mana mereka dapat diberikan izin tingkat ruang kerja.
Untuk informasi selengkapnya, lihat Menyiapkan akses menyeluruh (SSO).
Pemberian izin ruang kerja
Hak merupakan properti yang mengizinkan agar pengguna, perwakilan layanan, atau grup dapat berinteraksi dengan Azure Databricks dengan cara tertentu. Admin ruang kerja menetapkan hak kepada pengguna, perwakilan layanan, dan grup di tingkat ruang kerja. Untuk informasi selengkapnya, lihat Mengelola pemberian izin.