Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Machtigingen bepalen wat gebruikers kunnen doen met de Databricks-app, zoals het openen, beheren en delen van apps. Dit verschilt van verificatie, waarmee de identiteit van een gebruiker wordt geverifieerd. Machtigingen bepalen welke acties de gebruiker mag uitvoeren in de app.
Machtigingsniveaus
-
CAN MANAGE- Kan app-instellingen en -machtigingen beheren, inclusief de mogelijkheid om de app te bewerken en te verwijderen. -
CAN USE- Kan de app uitvoeren en ermee werken, maar kan deze niet wijzigen of beheren.
Alleen gebruikers met CAN MANAGE machtigingen kunnen machtigingen voor een app toewijzen of intrekken.
Organisatiemachtigingen
Als u de organisatiemachtigingen van een app instelt op Iedereen in mijn organisatie, hebben alle gebruikers in het huidige Azure Databricks-account toegang tot de app. Dit omvat gebruikers die handmatig zijn toegevoegd, gesynchroniseerd via System for Cross-Domain Identity Management (SCIM) of die zijn gemaakt met Just-In-Time-inrichting (JIT) via uw id-provider .
JIT-ingerichte gebruikers moeten zich nog steeds verifiëren via de id-provider van uw organisatie en worden herkend door Azure Databricks als accountgebruikers. U kunt deze gebruikers CAN USE toegang verlenen tot apps, zelfs als ze geen toegang hebben tot een werkruimte. Toegang is echter afhankelijk van het verificatiebeleid voor werkruimten. Als PrivateLink bijvoorbeeld is ingeschakeld, kan Azure Databricks terugvallen op verificatie op werkruimteniveau. In dit geval wordt de toegang geblokkeerd voor gebruikers die verbinding maken via het openbare Azure Databricks-eindpunt.
U kunt Databricks-apps niet openbaar maken. Anonieme toegang en het omzeilen van eenmalige aanmelding (SSO) worden niet ondersteund. Als u toegang wilt verlenen aan externe medewerkers, gebruikt u identiteitsfederatie met SCIM- en JIT-inrichting om gebruikers via uw id-provider te onboarden zonder volledige werkruimtetoegang te verlenen.
Machtigingen toewijzen in de gebruikersinterface van Databricks-apps
Beheren wie een Databricks-app kan bekijken, uitvoeren of wijzigen door machtigingen rechtstreeks toe te wijzen in de gebruikersinterface van Databricks-apps.
- Navigeer naar de pagina met app-details.
- Klik op het tabblad Machtigingen .
- Gebruik de vervolgkeuzelijst Gebruiker, Groep of Service-principal selecteren... om een gebruiker, groep of service-principal te kiezen.
- Selecteer het juiste machtigingsniveau (
CAN USEofCAN MANAGE). - Klik op Toevoegen en klik vervolgens op Opslaan om wijzigingen toe te passen.
Machtigingen versus autorisatie
In Databricks-apps is het belangrijk om onderscheid te maken tussen machtigingen en autorisatie, die gerelateerde maar afzonderlijke concepten zijn.
Machtigingen worden toegewezen op werkruimteniveau en bepalen wie binnen de werkruimte een app kan beheren of gebruiken. Machtigingen beheren de toegang tot de app zelf, zoals wie deze kan implementeren, bijwerken of uitvoeren. Machtigingen bepalen niet welke gegevens de app of de gebruikers ervan kunnen openen.
Autorisatie verwijst naar het beheren van de toegang tot gegevens en resources en heeft twee subcategorieën:
- Gebruikersautorisatie : wanneer gebruikers zich verifiëren bij een app, stuurt Azure Databricks hun identiteit door naar de app-runtime. Hierdoor kunnen Unity Catalog en ander beleid voor gegevenstoegang machtigingen afdwingen op basis van de identiteit van de gebruiker, waardoor wordt beperkt tot welke gegevens de app namens hen toegang heeft.
- App-autorisatie : de app wordt uitgevoerd met behulp van een service-principal met eigen machtigingen voor toegang tot vereiste Azure Databricks-resources. Deze autorisatie bepaalt wat de app zelf onafhankelijk van elke gebruiker kan doen.
Kortom, machtigingen beheren toegang op werkruimteniveau tot de app (die deze kan gebruiken of beheren), terwijl autorisatie van toepassing is op gegevensniveau en toegang tot resources, waaronder toegang op basis van identiteiten van gebruikers en toegang tot app-service-principals.
Zie Autorisatie configureren in een Databricks-app voor meer informatie.
** App-toegangsrechten
Elke gebruiker in een werkruimte kan Databricks-apps maken, vergelijkbaar met andere serverloze producten. De volgende rechten beheren echter verschillende aspecten van app-toegang:
- App-toegang en -beheer: Wie de app kan openen en beheren, beheerd via machtigingsniveaus
- Machtigingen voor de service-principal: De machtigingen die zijn toegewezen aan de toegewezen service-principal van de app
- Gebruikerstoestemming: Of een gebruiker toestemming geeft om de app toe te staan zijn identiteit te gebruiken voor gebruikersautorisatie
- Gebruikersmachtigingen: De onderliggende unity-catalogus- en werkruimtemachtigingen van gebruikers die toegang hebben tot de app
Aanbevolen procedures voor machtigingen
Volg deze aanbevolen procedures voor het veilig beheren van machtigingen voor Databricks-apps:
- Volg het principe van minimale bevoegdheden door alleen de machtigingen te verlenen die nodig zijn voor de rol van elke gebruiker.
- Geef de voorkeur aan het toewijzen van
CAN USEmachtigingen, tenzij gebruikers beheermogelijkheden vereisen. - Gebruik groepen of service-principals om machtigingen op schaal efficiënt te beheren.