Delen via


Verificatie en toegangsbeheer

In dit artikel maakt u kennis met verificatie en toegangsbeheer in Azure Databricks. Zie Gegevensbeheer met Unity Catalog voor informatie over het beveiligen van de toegang tot uw gegevens.

Zie best practices voor identiteiten voor meer informatie over het configureren van gebruikers en groepen in Azure Databricks.

Eenmalige aanmelding

Eenmalige aanmelding in de vorm van door Microsoft Entra ID ondersteunde aanmelding is standaard beschikbaar in het Azure Databricks-account en werkruimten. U gebruikt eenmalige aanmelding van Microsoft Entra ID voor zowel de accountconsole als werkruimten. U kunt meervoudige verificatie inschakelen via Microsoft Entra-id.

Azure Databricks biedt ook ondersteuning voor voorwaardelijke toegang tot Microsoft Entra ID, waarmee beheerders kunnen bepalen waar en wanneer gebruikers zich mogen aanmelden bij Azure Databricks. Zie Voorwaardelijke toegang.

Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id met behulp van SCIM-inrichting

U kunt SCIM of System for Cross-domain Identity Management gebruiken, een open standaard waarmee u het inrichten van gebruikers kunt automatiseren, gebruikers en groepen automatisch kunt synchroniseren van Microsoft Entra ID naar uw Azure Databricks-account. SCIM stroomlijnt de onboarding van een nieuwe werknemer of een nieuw team met behulp van Microsoft Entra ID om gebruikers en groepen te maken in Azure Databricks en hen het juiste toegangsniveau te geven. Wanneer een gebruiker uw organisatie verlaat of geen toegang meer nodig heeft tot Azure Databricks, kunnen beheerders de gebruiker beƫindigen in Microsoft Entra-id en wordt het account van die gebruiker ook verwijderd uit Azure Databricks. Dit zorgt voor een consistent offboardingproces en voorkomt dat onbevoegde gebruikers toegang hebben tot gevoelige gegevens. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra ID voor meer informatie.

API-verificatie beveiligen met OAuth

Azure Databricks OAuth biedt ondersteuning voor beveiligde referenties en toegang voor resources en bewerkingen op het niveau van de Azure Databricks-werkruimte en biedt ondersteuning voor verfijnde machtigingen voor autorisatie.

Zie Persoonlijke toegangstokenmachtigingen beheren voor meer informatie.

Zie Toegang tot Azure Databricks-resources verifiƫren voor meer informatie over verificatie bij Azure Databricks-automatisering.

Databricks ondersteunt ook persoonlijke toegangstokens (PAT's), maar raadt u aan OAuth te gebruiken. Zie Toegang tot persoonlijke toegangstokens bewaken en beheren voor meer informatie over het gebruik van PAW's.

Overzicht van toegangsbeheer

In Azure Databricks zijn er verschillende toegangscontrolesystemen voor verschillende beveiligbare objecten. In de onderstaande tabel ziet u welk toegangsbeheersysteem bepaalt welk type beveiligbaar object.

Beveiligbaar object Toegangsbeheersysteem
Beveiligbare objecten op werkruimteniveau Toegangsbeheerlijsten
Beveiligbare objecten op accountniveau Toegangsbeheer op basis van accountrollen
Beveiligbare gegevensobjecten Unity-catalogus

Azure Databricks biedt ook beheerdersrollen en -rechten die rechtstreeks worden toegewezen aan gebruikers, service-principals en groepen.

Zie Gegevensbeheer met Unity Catalog voor informatie over het beveiligen van gegevens.

Toegangsbeheerlijsten

In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot werkruimteobjecten, zoals notebooks en SQL Warehouses. Alle gebruikers van werkruimtebeheerders kunnen toegangsbeheerlijsten beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen voor het beheren van toegangsbeheerlijsten. Zie Toegangsbeheerlijsten voor meer informatie over toegangsbeheerlijsten.

Toegangsbeheer op basis van accountrollen

U kunt op accountrollen gebaseerd toegangsbeheer gebruiken om machtigingen te configureren voor het gebruik van objecten op accountniveau, zoals service-principals en groepen. Accountrollen worden eenmaal gedefinieerd, in uw account en zijn van toepassing op alle werkruimten. Alle gebruikers van accountbeheerders kunnen accountrollen beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen om ze te beheren, zoals groepsbeheerders en service-principalmanagers.

Volg deze artikelen voor meer informatie over accountrollen voor specifieke objecten op accountniveau:

Databricks-beheerdersrollen

Naast toegangsbeheer voor beveiligbare objecten zijn er ingebouwde rollen op het Azure Databricks-platform. Gebruikers, service-principals en groepen kunnen rollen toewijzen.

Er zijn twee hoofdniveaus met beheerdersbevoegdheden beschikbaar op het Azure Databricks-platform:

Daarnaast kunnen gebruikers deze functiespecifieke beheerdersrollen toewijzen, met beperktere sets bevoegdheden:

  • Marketplace-beheerders: het Databricks Marketplace-providerprofiel van hun account beheren, waaronder het maken en beheren van Marketplace-vermeldingen.
  • Metastore-beheerders: beheer bevoegdheden en eigendom voor alle beveiligbare objecten in een Unity Catalog-metastore, zoals wie catalogi kan maken of een query op een tabel kan uitvoeren.

Gebruikers kunnen ook worden toegewezen aan werkruimtegebruikers. Een werkruimtegebruiker heeft de mogelijkheid zich aan te melden bij een werkruimte, waar ze machtigingen op werkruimteniveau kunnen krijgen.

Zie Eenmalige aanmelding (SSO) instellen voor meer informatie.

Werkruimte rechten

Een recht is een eigenschap waarmee een gebruiker, service-principal of groep op een opgegeven manier kan communiceren met Azure Databricks. Werkruimtebeheerders wijzen rechten toe aan gebruikers, service-principals en groepen op werkruimteniveau. Zie Rechten beheren voor meer informatie.