この記事では、Azure Databricks での認証とアクセス制御について説明します。 データへのアクセスをセキュリティで保護する方法については、「 Azure Databricks を使用したデータ ガバナンス」を参照してください。
Microsoft Entra ID を使用したシングル サインオン
Microsoft Entra ID を利用したログイン形式であるシングル サインオンは、既定で Azure Databricks アカウントおよびワークスペースで利用できます。 アカウント コンソールおよびワークスペースの両方で Microsoft Entra ID シングル サインオンを使用します。 Microsoft Entra ID を使用して多要素認証を有効にすることができます。
Just-In-Time (JIT) プロビジョニングを構成して、最初のログイン時に Microsoft Entra ID から新しいユーザー アカウントを自動的に作成できます。 「 ユーザーの自動プロビジョニング (JIT)」を参照してください。
Microsoft Entra ID からユーザーとグループを同期する
Databricks では、自動 ID 管理 (パブリック プレビュー) を使用して、Microsoft Entra ID から Azure Databricks に ID を同期することをお勧めします。
自動 ID 管理を使用すると、Microsoft Entra ID ユーザー、サービス プリンシパル、およびグループの ID フェデレーション ワークスペースを直接検索し、ワークスペースと Azure Databricks アカウントに追加できます。 Databricks は Microsoft Entra ID をレコードのソースとして使用するため、ユーザーまたはグループ メンバーシップに対する変更は Azure Databricks で尊重されます。 詳細な手順については、「Microsoft Entra IDからユーザーとグループを自動的に同期する」を参照してください。
SCIM プロビジョニングを使用して、Microsoft Entra ID から Azure Databricks にユーザーとグループを同期することもできます。 SCIM を使用した Microsoft Entra ID からのユーザーとグループの同期に関するページを参照してください。
OAuth を使用した Security API 認証
Azure Databricks OAuth は、Azure Databricks ワークスペースレベルでのリソースおよび操作に対する安全な認証情報とアクセスをサポートし、認証のための詳細に設定されたアクセス許可をサポートします。
Databricks では個人用アクセス トークン (AT) もサポートされていますが、代わりに OAuth の使用をお勧めします。 AT を監視および管理するには、「Monitor」を参照し、個人用アクセス トークンの取り消しおよび個人用アクセス トークンのアクセス許可の管理。
Azure Databricks の自動化全体に対する認証の詳細については、「Azure Databricks リソースへのアクセスの承認」を参照してください。
アクセス制御の概要
Azure Databricks では、セキュリティ保護可能なオブジェクトが異なると、使われるアクセス制御システムも異なります。 次の表は、セキュリティ保護可能なオブジェクトの種類ごとに、それを管理するアクセス制御システムを示したものです。
| セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
| ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
| アカウント レベルのセキュリティ保護可能なオブジェクト | アカウントのロールベースのアクセス制御 |
| データのセキュリティ保護可能なオブジェクト | Unity カタログ |
Azure Databricks には、ユーザー、サービス プリンシパル、グループに直接割り当てられる管理者ロールとエンタイトルメントも用意されています。
データのセキュリティ保護の詳細については、「 Azure Databricks を使用したデータ ガバナンス」を参照してください。
アクセス制御リスト
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ノートブックや SQL Warehouse などのワークスペースのオブジェクトにアクセスするためのアクセス許可を構成できます。 アクセス制御リストを管理できるのは、すべてのワークスペース管理者ユーザーと、アクセス制御リストを管理する権限を委任されたユーザーです。 アクセス制御リストの詳細については、「アクセス制御リスト」を参照してください。
アカウントのロールベースのアクセス制御
アカウントのロールベースのアクセス制御を使用して、サービス プリンシパルやグループなどのアカウント レベルのオブジェクトを使うためのアクセス許可を構成できます。 アカウントのロールはアカウント内で 1 回定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービス プリンシパル マネージャーなど、アカウントのロールを管理するための委任されたアクセス許可を付与されたユーザーと同様に、アカウントのロールを管理できます。
特定のアカウント レベルのオブジェクトに対するアカウントのロールについて詳しくは、以下の記事をご覧ください。
管理者ロールとワークスペースの権利
Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。
- アカウント管理者: Unity カタログの有効化やユーザー管理など、Azure Databricks アカウントを管理します。
- ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。
また、より狭い権限セットを持つ機能固有の管理者ロールもあります。 使用可能なロールの詳細については、「 Azure Databricks 管理の概要を参照してください。
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービス プリンシパル、グループにエンタイトルメントを割り当てます。 詳細については、「エンタイトルメントを管理する」を参照してください。