認証とアクセス制御
この記事では、Azure Databricks での認証とワークスペース オブジェクトのアクセス制御について説明します。 データへのアクセスのセキュリティ保護の詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。
Azure Databricks でユーザーとグループを最も効果的に構成する方法については、「ID のベスト プラクティス」を参照してください。
すべての価格レベルですべてのセキュリティ機能を使用できるわけではありません。 次の表には、機能の概要と各機能に対応する価格プランがまとめてあります。
| 機能 | 価格レベル |
|---|---|
| シングル サインオン | Standard |
| SCIM でのプロビジョニング | Premium |
| 条件付きアクセス | Premium |
| Azure Databricks 自動化認証アクセス許可 | Premium |
| Azure Databricks 個人用アクセス トークン管理 | Premium |
| アクセス制御リスト | Premium |
シングル サインオン
Microsoft Entra ID (旧称 Azure Active Directory) を利用したログイン形式であるシングル サインオンは、既定で Azure Databricks アカウントおよびワークスペースで利用できます。 アカウント コンソールおよびワークスペースの両方で Microsoft Entra ID シングル サインオンを使用します。 Microsoft Entra ID を使用して多要素認証を有効にすることができます。
Azure Databricks では、Microsoft Entra ID 条件付きアクセスもサポートされています。これにより、ユーザーが Azure Databricks へのサインインを許可される場所やタイミングを管理者が制御することができます。 「条件付きアクセス」を参照してください。
SCIM プロビジョニングを使用して Microsoft Entra ID からユーザーとグループを同期する
ユーザー プロビジョニングを自動化できるオープン標準である SCIM (クロスドメイン ID 管理システム) を使用して、Microsoft Entra ID から Azure Databricks アカウントにユーザーとグループを自動的に同期できます。 Microsoft Entra ID を使って Azure Databricks にユーザーとグループを作成し、適切なレベルのアクセス権を付与すると、SCIM によって新しい従業員またはチームのオンボードを効率化することができます。 ユーザーが組織を離れた場合、または Azure Databricks へのアクセスが不要になった場合、管理者は Microsoft Entra ID でそのユーザーを終了とすることができます。そのユーザーのアカウントは Azure Databricks からも削除されます。 こうすることで、一貫したオフボード プロセスを実現し、権限のないユーザーによる機密データへのアクセスを防ぎます。 詳細については、「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。
安全な API 認証
Azure Databricks 個人用アクセス トークンは、Azure Databricks ワークスペース レベルのリソースと操作に対して最も広くサポートされている種類の資格情報の 1 つです。 API 認証をセキュリティで保護するために、ワークスペース管理者は、Azure Databricks 個人用アクセス トークンを作成して使用できるユーザー、サービス プリンシパル、グループを制御できます。
詳細については、「Azure Databricks 自動化へのアクセスを管理する」を参照してください。
ワークスペース管理者は、Azure Databricks 個人用アクセス トークンを確認したり、トークンを削除したり、ワークスペースに新しいトークンの最長有効期間を設定したりできます。 「個人用アクセス トークンの監視と管理」を参照してください。
Azure Databricks 自動化に対する認証の詳細については、「Azure Databricks 自動化の認証 - 概要」を参照してください。
アクセス制御
Azure Databricks では、セキュリティ保護可能なオブジェクトが異なると、使われるアクセス制御システムも異なります。 詳細については、「アクセス制御の概要」をご覧ください。