Autenticazione e controllo di accesso
Questo articolo presenta l'autenticazione e il controllo di accesso in Azure Databricks. Per informazioni sulla protezione dell'accesso ai dati, vedere Governance dei dati con Unity Catalog.
Per altre informazioni su come configurare al meglio utenti e gruppi in Azure Databricks, vedere Procedure consigliate per le identità.
Single Sign-On
L'accesso Single Sign-On sotto forma di ID Microsoft Entra (in precedenza Azure Active Directory) è disponibile nell'account e nelle aree di lavoro di Azure Databricks per impostazione predefinita. Si usa l'accesso Single Sign-On di Microsoft Entra ID sia per la console dell'account che per le aree di lavoro. È possibile abilitare l'autenticazione a più fattori tramite Microsoft Entra ID.
Azure Databricks supporta anche l'accesso condizionale di Microsoft Entra ID, che consente agli amministratori di controllare dove e quando gli utenti possono accedere ad Azure Databricks. Vedere Accesso condizionale.
Sincronizzare utenti e gruppi da Microsoft Entra ID usando il provisioning SCIM
È possibile usare SCIM o System for Cross-domain Identity Management, uno standard aperto che consente di automatizzare il provisioning degli utenti, di sincronizzare automaticamente utenti e gruppi dall'ID Microsoft Entra all'account Azure Databricks. SCIM semplifica l'onboarding di un nuovo dipendente o team usando Microsoft Entra ID per creare utenti e gruppi in Azure Databricks e concedere loro il livello di accesso appropriato. Quando un utente lascia l'organizzazione o non ha più bisogno dell'accesso ad Azure Databricks, gli amministratori possono terminare l'utente in Microsoft Entra ID e l'account dell'utente viene rimosso anche da Azure Databricks. In questo modo si garantisce un processo di offboarding coerente e impedisce agli utenti non autorizzati di accedere ai dati sensibili. Per altre informazioni, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID.
Proteggere l'autenticazione api
I token di accesso personale di Azure Databricks sono uno dei tipi di credenziali meglio supportati per le risorse e le operazioni a livello di area di lavoro di Azure Databricks. Per proteggere l'autenticazione api, gli amministratori dell'area di lavoro possono controllare quali utenti, entità servizio e gruppi possono creare e usare i token di accesso personale di Azure Databricks.
Per altre informazioni, vedere Gestire l'accesso all'automazione di Azure Databricks.
Gli amministratori dell'area di lavoro possono anche esaminare i token di accesso personali di Azure Databricks, eliminare i token e impostare la durata massima dei nuovi token per l'area di lavoro. Vedere Monitorare e gestire i token di accesso personali.
Per altre informazioni sull'autenticazione all'automazione di Azure Databricks, vedere Autenticazione per l'automazione di Azure Databricks - Panoramica.
Panoramica del controllo di accesso
In Azure Databricks sono disponibili diversi sistemi di controllo di accesso per oggetti a protezione diretta diversi. La tabella seguente illustra il sistema di controllo di accesso che regola il tipo di oggetto a protezione diretta.
| Oggetto a protezione diretta | Sistema di controllo di accesso |
|---|---|
| Oggetti a protezione diretta a livello di area di lavoro | Elenchi di controllo di accesso |
| Oggetti a protezione diretta a livello di account | Controllo degli accessi in base al ruolo dell'account |
| Oggetti a protezione diretta dei dati | Catalogo Unity |
Azure Databricks fornisce anche ruoli di amministratore e diritti assegnati direttamente a utenti, entità servizio e gruppi.
Per informazioni sulla protezione dei dati, vedere Governance dei dati con Unity Catalog.
Elenchi di controllo di accesso
In Azure Databricks è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione per accedere agli oggetti dell'area di lavoro, ad esempio notebook e SQL Warehouse. Tutti gli utenti amministratori dell'area di lavoro possono gestire gli elenchi di controllo di accesso, così come gli utenti a cui sono state concesse autorizzazioni delegate per gestire gli elenchi di controllo di accesso. Per altre informazioni sugli elenchi di controllo di accesso, vedere Elenchi di controllo di accesso.
Controllo degli accessi in base al ruolo dell'account
È possibile usare il controllo degli accessi in base al ruolo dell'account per configurare l'autorizzazione per l'uso di oggetti a livello di account, ad esempio entità servizio e gruppi. I ruoli dell'account vengono definiti una sola volta, nell'account e si applicano in tutte le aree di lavoro. Tutti gli utenti amministratori dell'account possono gestire i ruoli dell'account, così come gli utenti a cui sono state concesse autorizzazioni delegate per gestirli, ad esempio i gestori di gruppi e i responsabili dell'entità servizio.
Per altre informazioni sui ruoli dell'account su oggetti specifici a livello di account, seguire questi articoli:
- Ruoli per la gestione delle entità servizio
- Gestire i ruoli in un gruppo usando la console dell'account
Ruoli di amministratore di Databricks
Oltre al controllo di accesso su oggetti a protezione diretta, nella piattaforma Azure Databricks sono disponibili ruoli predefiniti. È possibile assegnare ruoli a utenti, entità servizio e gruppi.
Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:
Amministratori account: gestire l'account Azure Databricks, inclusa l'abilitazione di Unity Catalog, il provisioning utenti e la gestione delle identità a livello di account.
Amministratori dell'area di lavoro: gestire le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le funzionalità per le singole aree di lavoro nell'account.
Inoltre, agli utenti possono essere assegnati questi ruoli di amministratore specifici delle funzionalità, che hanno set di privilegi più ristretti:
- Amministratori del Marketplace: gestire il profilo del provider di Databricks Marketplace del proprio account, inclusa la creazione e la gestione delle presentazioni nel Marketplace.
- Amministratori metastore: gestire privilegi e proprietà per tutti gli oggetti a protezione diretta all'interno di un metastore del catalogo Unity, ad esempio chi può creare cataloghi o eseguire query su una tabella.
Gli utenti possono anche essere assegnati come utenti dell'area di lavoro. Un utente dell'area di lavoro ha la possibilità di accedere a un'area di lavoro, in cui è possibile concedere autorizzazioni a livello di area di lavoro.
Per altre informazioni, vedere Configurazione dell'accesso Single Sign-On (SSO).
Diritti dell'area di lavoro
Un entitlement è una proprietà che consente a un utente, a un'entità servizio o a un gruppo di interagire con Azure Databricks in modo specifico. Gli amministratori dell'area di lavoro assegnano diritti a utenti, entità servizio e gruppi a livello di area di lavoro. Per altre informazioni, vedere Gestire i diritti.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per