Autenticazione e controllo di accesso
Questo articolo presenta l'autenticazione e il controllo di accesso in Azure Databricks. Per informazioni sulla protezione dell'accesso ai dati, vedere Governance dei dati con Unity Catalog.
Per altre informazioni su come configurare al meglio utenti e gruppi in Azure Databricks, vedere Procedure consigliate per le identità.
Single Sign-On
Il Single Sign-On sotto forma di accesso supportato da Microsoft Entra ID è disponibile per impostazione predefinita nell'account e nelle aree di lavoro di Azure Databricks. Si usa l'accesso Single Sign-On di Microsoft Entra ID sia per la console dell'account che per le aree di lavoro. Per gli utenti di Microsoft Entra ID, è possibile abilitare la Multi-Factor Authentication.
Azure Databricks supporta l'accesso condizionale di Microsoft Entra ID che consente agli amministratori di controllare dove e quando gli utenti sono autorizzati ad accedere ad Azure Databricks. Vedere Accesso condizionale.
Sincronizzare utenti e gruppi da Microsoft Entra ID usando il provisioning SCIM
Per sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID all'account Azure Databricks, è possibile usare SCIM o System for Cross-domain Identity Management, uno standard aperto che consente di automatizzare il provisioning degli utenti. SCIM semplifica l'onboarding di un nuovo dipendente o team usando Microsoft Entra ID per creare utenti e gruppi in Azure Databricks e concedere loro il livello di accesso appropriato. Quando un utente lascia l'organizzazione o non ha più bisogno dell'accesso ad Azure Databricks, gli amministratori possono terminare l'utente in Microsoft Entra ID e l'account dell'utente viene rimosso anche da Azure Databricks. In questo modo, si garantisce un processo di offboarding coerente e impedisce agli utenti non autorizzati di accedere ai dati sensibili. Per altre informazioni, vedere Sincronizzare utenti e gruppi in Microsoft Entra ID.
Proteggere l'autenticazione API con OAuth
Azure Databricks OAuth supporta credenziali e accesso sicuri per le risorse e le operazioni a livello di area di lavoro di Azure Databricks e autorizzazioni specifiche per l'autorizzazione.
Per altre informazioni, vedere Gestiore le autorizzazioni dei token di accesso personali.
Per altre informazioni sull'autenticazione all'automazione di Azure Databricks in generale, vedere Autenticare l'accesso alle risorse di Azure Databricks.
Databricks supporta anche token di accesso personali (PAT), ma consiglia di usare OAuth. Per informazioni dettagliate sull'uso dei token di accesso personale, vedere Monitorare e gestire l'accesso ai token di accesso personali.
Panoramica del controllo di accesso
In Azure Databricks sono disponibili diversi sistemi di controllo di accesso per oggetti a protezione diretta diversi. La tabella seguente illustra quale sistema di controllo di accesso regola quale tipo di oggetto a protezione diretta.
| Oggetto a protezione diretta | Sistemi di controllo di accesso |
|---|---|
| Oggetti a protezione diretta a livello di area di lavoro | Elenchi di controllo di accesso |
| Oggetti a protezione diretta a livello di account | Controllo dell'accesso basato sul ruolo dell'account |
| Oggetti a protezione diretta con i dati | Catalogo Unity |
Azure Databricks fornisce anche ruoli di amministratore ed entitlement assegnati direttamente a utenti, entità servizio e gruppi.
Per informazioni sulla protezione dei dati, vedere Governance dei dati con Unity Catalog.
Elenchi di controllo di accesso
In Azure Databricks, è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione di accesso a oggetti a livello di area di lavoro come notebook ed SQL. Tutti gli utenti amministratore dell'area di lavoro possono gestire gli elenchi di controllo di accesso, così come gli utenti a cui sono state concesse autorizzazioni delegate per gestire tali elenchi. Per altre informazioni sugli elenchi di controllo di accesso, vedere Gestire gli elenchi di accesso.
Controllo dell'accesso basato sul ruolo dell'account
È possibile usare il controllo di accesso in base al ruolo dell'account per configurare l'autorizzazione per l'uso di oggetti a livello di account, ad esempio entità servizio e gruppi. I ruoli dell'account vengono definiti una sola volta, nell'account, e si applicano a tutte le aree di lavoro. Tutti gli utenti amministratori dell'account possono gestire i ruoli dell'account, così come gli utenti a cui sono stati delegati i permessi di gestione, come i manager dei gruppi e i manager delle entità servizio.
Per altre informazioni sui ruoli dell'account su oggetti specifici a livello di account, consultare questi articoli:
- Ruoli per la gestione delle entità servizio
- Gestire i ruoli in un gruppo usando la console dell'account
Ruoli di amministratore in Databricks
Oltre al controllo di accesso su oggetti a protezione diretta, nella piattaforma Azure Databricks sono disponibili ruoli predefiniti. Questi ruoli possono essere assegnati a utenti, entità servizio e fruppi.
Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:
Amministratore degli account: gestisce l'account Azure Databricks, inclusa l'abilitazione di Unity Catalog, il provisioning utenti e la gestione delle identità a livello di account.
Amministratore dell'area di lavoro: gestisce le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le caratteristiche per le singole aree di lavoro nell'account.
Inoltre, agli utenti possono essere assegnati questi ruoli di amministratore specifici delle caratteristiche, che hanno set di privilegi più ristretti:
- Amministratore del Marketplace: gestisce il profilo del provider di Databricks Marketplace del proprio account, inclusa la creazione e la gestione delle presentazioni nel Marketplace.
- Amministratore del metastore: può gestire i privilegi per tutti gli oggetti a protezione diretta all'interno di un metastore del Catalogo Unity, ad esempio chi può creare cataloghi o eseguire query su una tabella.
Gli utenti possono anche essere assegnati come utenti dell'area di lavoro. Un utente dell'area di lavoro ha la possibilità di accedere a un'area di lavoro in cui è possibile concedere autorizzazioni a livello di area di lavoro.
Per altre informazioni, vedere Single Sign-On (SSO).
Diritti dell'area di lavoro
Un entitlement è una proprietà che consente a un utente, a un'entità servizio o a un gruppo di interagire con Azure Databricks in un modo specifico. Gli amministratori dell'area di lavoro assegnano diritti a utenti, entità servizio e gruppi a livello di area di lavoro. Per altre informazioni, vedere Gestione dell'entitlement.