Autentikasi dan kontrol akses

Artikel ini memperkenalkan autentikasi dan kontrol akses di Azure Databricks. Untuk informasi tentang mengamankan akses ke data Anda, lihat Tata kelola data dengan Unity Catalog.

Untuk informasi selengkapnya tentang cara terbaik mengonfigurasi pengguna dan grup di Azure Databricks, lihat Praktik terbaik identitas.

Akses menyeluruh

Akses menyeluruh dalam bentuk login yang didukung Microsoft Entra ID (sebelumnya Azure Active Directory) tersedia di akun Dan ruang kerja Azure Databricks secara default. Anda menggunakan akses menyeluruh MICROSOFT Entra ID untuk konsol akun dan ruang kerja. Anda dapat mengaktifkan autentikasi multifaktor melalui ID Microsoft Entra.

Azure Databricks juga mendukung akses bersyarat ID Microsoft Entra, yang memungkinkan administrator mengontrol di mana dan kapan pengguna diizinkan masuk ke Azure Databricks. Lihat Akses bersyarat.

Menyinkronkan pengguna dan grup dari ID Microsoft Entra menggunakan provisi SCIM

Anda dapat menggunakan SCIM, atau System for Cross-domain Identity Management, standar terbuka yang memungkinkan Anda mengotomatiskan provisi pengguna, untuk menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra ke akun Azure Databricks Anda. SCIM menyederhanakan orientasi karyawan atau tim baru dengan menggunakan ID Microsoft Entra untuk membuat pengguna dan grup di Azure Databricks dan memberi mereka tingkat akses yang tepat. Saat pengguna meninggalkan organisasi Anda atau tidak lagi memerlukan akses ke Azure Databricks, admin dapat mengakhiri pengguna di ID Microsoft Entra, dan akun pengguna tersebut juga dihapus dari Azure Databricks. Ini memastikan proses offboarding yang konsisten dan mencegah pengguna yang tidak diotorisasi mengakses data sensitif. Untuk informasi selengkapnya, lihat Menyinkronkan pengguna dan grup dari ID Microsoft Entra.

Autentikasi API aman

Token akses pribadi Azure Databricks adalah salah satu jenis kredensial yang paling didukung dengan baik untuk sumber daya dan operasi pada tingkat ruang kerja Azure Databricks. Untuk mengamankan autentikasi API, admin ruang kerja dapat mengontrol pengguna, perwakilan layanan, dan grup mana yang dapat membuat dan menggunakan token akses pribadi Azure Databricks.

Untuk informasi selengkapnya, lihat Mengelola akses ke otomatisasi Azure Databricks.

Admin ruang kerja juga dapat meninjau token akses pribadi Azure Databricks, menghapus token, dan mengatur masa pakai maksimum token baru untuk ruang kerja mereka. Lihat Memantau dan mengelola token akses pribadi.

Untuk informasi selengkapnya tentang mengautentikasi ke otomatisasi Azure Databricks, lihat Autentikasi untuk otomatisasi Azure Databricks - gambaran umum.

Gambaran umum kontrol akses

Di Azure Databricks, ada sistem kontrol akses yang berbeda untuk objek yang dapat diamankan yang berbeda. Tabel di bawah ini menunjukkan sistem kontrol akses mana yang mengatur jenis objek yang dapat diamankan.

Objek yang dapat diamankan	Sistem kontrol akses
Objek yang dapat diamankan tingkat ruang kerja	Daftar kontrol akses
Objek yang dapat diamankan tingkat akun	Kontrol akses berbasis peran akun
Objek yang dapat diamankan data	Katalog Unity

Azure Databricks juga menyediakan peran dan hak admin yang ditetapkan langsung kepada pengguna, perwakilan layanan, dan grup.

Untuk informasi tentang mengamankan data, lihat Tata kelola data dengan Unity Catalog.

Daftar kontrol akses

Di Azure Databricks, Anda dapat menggunakan daftar kontrol akses (ACL) untuk mengonfigurasi izin untuk mengakses objek ruang kerja seperti notebook dan SQL Warehouses. Semua pengguna admin ruang kerja dapat mengelola daftar kontrol akses, seperti halnya pengguna yang telah diberi izin yang didelegasikan untuk mengelola daftar kontrol akses. Untuk informasi selengkapnya tentang daftar kontrol akses, lihat Daftar kontrol akses.

Kontrol akses berbasis peran akun

Anda dapat menggunakan kontrol akses berbasis peran akun untuk mengonfigurasi izin untuk menggunakan objek tingkat akun seperti perwakilan layanan dan grup. Peran akun ditentukan sekali, di akun Anda, dan berlaku di semua ruang kerja. Semua pengguna admin akun dapat mengelola peran akun, seperti halnya pengguna yang telah diberi izin yang didelegasikan untuk mengelolanya, seperti manajer grup dan manajer perwakilan layanan.

Ikuti artikel ini untuk informasi selengkapnya tentang peran akun pada objek tingkat akun tertentu:

• Peran untuk mengelola perwakilan layanan
• Mengelola peran di grup menggunakan konsol akun

Peran admin Databricks

Selain kontrol akses pada objek yang dapat diamankan, ada peran bawaan pada platform Azure Databricks. Pengguna, perwakilan layanan, dan grup dapat diberi peran.

Ada dua tingkat utama hak istimewa admin yang tersedia di platform Azure Databricks:

• Admin akun: Kelola akun Azure Databricks, termasuk mengaktifkan Unity Catalog, provisi pengguna, dan manajemen identitas tingkat akun.

• Admin ruang kerja: Mengelola identitas ruang kerja, kontrol akses, pengaturan, dan fitur untuk ruang kerja individual di akun.

Selain itu, pengguna dapat diberi peran admin khusus fitur ini, yang memiliki serangkaian hak istimewa yang lebih sempit:

• Admin marketplace: Mengelola profil penyedia Marketplace Databricks akun mereka, termasuk membuat dan mengelola daftar Marketplace.
• Admin metastore: Mengelola hak istimewa dan kepemilikan untuk semua objek yang dapat diamankan dalam metastore Katalog Unity, seperti siapa yang dapat membuat katalog atau mengkueri tabel.

Pengguna juga dapat ditetapkan untuk menjadi pengguna ruang kerja. Pengguna ruang kerja memiliki kemampuan untuk masuk ke ruang kerja, di mana mereka dapat diberikan izin tingkat ruang kerja.

Untuk informasi selengkapnya, lihat Menyiapkan akses menyeluruh (SSO).

Pemberian izin ruang kerja

Hak merupakan properti yang mengizinkan agar pengguna, perwakilan layanan, atau grup dapat berinteraksi dengan Azure Databricks dengan cara tertentu. Admin ruang kerja menetapkan hak kepada pengguna, perwakilan layanan, dan grup di tingkat ruang kerja. Untuk informasi selengkapnya, lihat Mengelola pemberian izin.