Uwierzytelnianie i kontrola dostępu
W tym artykule przedstawiono uwierzytelnianie i kontrolę dostępu w usłudze Azure Databricks. Aby uzyskać informacje na temat zabezpieczania dostępu do danych, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.
Aby uzyskać więcej informacji na temat najlepszego konfigurowania użytkowników i grup w usłudze Azure Databricks, zobacz Najlepsze rozwiązania dotyczące tożsamości.
Logowanie jednokrotne
Logowanie jednokrotne w postaci logowania opartego na identyfikatorze Entra firmy Microsoft jest domyślnie dostępne na koncie usługi Azure Databricks i obszarach roboczych. Używasz logowania jednokrotnego Microsoft Entra ID dla konsoli konta i obszarów roboczych. Uwierzytelnianie wieloskładnikowe można włączyć za pomocą identyfikatora Entra firmy Microsoft.
Usługa Azure Databricks obsługuje również dostęp warunkowy identyfikatora Entra firmy Microsoft, który umożliwia administratorom kontrolowanie, gdzie i kiedy użytkownicy mogą logować się do usługi Azure Databricks. Zobacz Dostęp warunkowy.
Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft przy użyciu aprowizacji SCIM
Możesz użyć standardu SCIM lub System for Cross-domain Identity Management, otwartego standardu, który umożliwia zautomatyzowanie aprowizacji użytkowników, automatyczne synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft z kontem usługi Azure Databricks. Program SCIM usprawnia dołączanie nowego pracownika lub zespołu przy użyciu identyfikatora Entra firmy Microsoft w celu tworzenia użytkowników i grup w usłudze Azure Databricks oraz zapewniania im odpowiedniego poziomu dostępu. Gdy użytkownik opuści organizację lub nie potrzebuje już dostępu do usługi Azure Databricks, administratorzy mogą zakończyć użytkownika w identyfikatorze Entra firmy Microsoft, a konto tego użytkownika zostanie również usunięte z usługi Azure Databricks. Zapewnia to spójny proces odłączania i uniemożliwia nieautoryzowanym użytkownikom dostęp do poufnych danych. Aby uzyskać więcej informacji, zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.
Bezpieczne uwierzytelnianie interfejsu API za pomocą protokołu OAuth
Usługa Azure Databricks OAuth obsługuje bezpieczne poświadczenia i dostęp do zasobów i operacji na poziomie obszaru roboczego usługi Azure Databricks oraz obsługuje szczegółowe uprawnienia do autoryzacji.
Usługa Databricks obsługuje również osobiste tokeny dostępu (PAT), ale zaleca użycie protokołu OAuth. Aby monitorować usługi PAT i zarządzać nimi, zobacz Monitorowanie i odwoływanie osobistych tokenów dostępu oraz Zarządzanie uprawnieniami osobistego tokenu dostępu.
Aby uzyskać więcej informacji na temat uwierzytelniania w automatyzacji usługi Azure Databricks, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Databricks.
Usługa Databricks obsługuje również osobiste tokeny dostępu (PAT), ale zaleca użycie protokołu OAuth. Aby uzyskać szczegółowe informacje na temat korzystania z paT, zobacz Monitorowanie i odwoływanie osobistych tokenów dostępu.
Omówienie kontroli dostępu
W usłudze Azure Databricks istnieją różne systemy kontroli dostępu dla różnych zabezpieczanych obiektów. W poniższej tabeli przedstawiono, który system kontroli dostępu zarządza typem zabezpieczanego obiektu.
| Zabezpieczany obiekt | system kontroli dostępu; |
|---|---|
| Zabezpieczane obiekty na poziomie obszaru roboczego | Listy kontroli dostępu |
| Zabezpieczane obiekty na poziomie konta | Kontrola dostępu oparta na rolach konta |
| Zabezpieczane obiekty danych | Unity Catalog |
Usługa Azure Databricks udostępnia również role administratora i uprawnienia przypisane bezpośrednio do użytkowników, jednostek usługi i grup.
Aby uzyskać informacje na temat zabezpieczania danych, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.
Listy kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów obszaru roboczego, takich jak notesy i usługi SQL Warehouse. Wszyscy użytkownicy administratorzy obszaru roboczego mogą zarządzać listami kontroli dostępu, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania listami kontroli dostępu. Aby uzyskać więcej informacji na temat list kontroli dostępu, zobacz Listy kontroli dostępu.
Kontrola dostępu oparta na rolach konta
Możesz użyć kontroli dostępu opartej na rolach konta, aby skonfigurować uprawnienia do używania obiektów na poziomie konta, takich jak jednostki usługi i grupy. Role konta są definiowane raz na koncie i stosowane we wszystkich obszarach roboczych. Wszyscy użytkownicy administracyjni konta mogą zarządzać rolami konta, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania nimi, takimi jak menedżerowie grup i menedżerowie jednostki usługi.
Postępuj zgodnie z następującymi artykułami, aby uzyskać więcej informacji na temat ról kont dla określonych obiektów na poziomie konta:
Role administratora usługi Databricks
Oprócz kontroli dostępu do zabezpieczanych obiektów istnieją wbudowane role na platformie Azure Databricks. Role można przypisywać użytkownikom, jednostkom usługi i grupom.
Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:
Administratorzy konta: zarządzaj kontem usługi Azure Databricks, w tym włączaniem katalogu aparatu Unity, aprowizowaniem użytkowników i zarządzaniem tożsamościami na poziomie konta.
Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Ponadto użytkownicy mogą mieć przypisane te role administratora specyficzne dla funkcji, które mają węższe zestawy uprawnień:
- Administratorzy witryny Marketplace: zarządzaj profilem dostawcy usługi Databricks Marketplace konta, w tym tworzeniem list w witrynie Marketplace i zarządzaniem nimi.
- Administratorzy magazynu metadanych: zarządzaj uprawnieniami i własnością wszystkich zabezpieczanych obiektów w magazynie metadanych wykazu aparatu Unity, takich jak kto może tworzyć wykazy lub wykonywać zapytania dotyczące tabeli.
Użytkownicy mogą być również przypisywani do użytkowników obszaru roboczego. Użytkownik obszaru roboczego może zalogować się do obszaru roboczego, w którym może mieć przyznane uprawnienia na poziomie obszaru roboczego.
Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania jednokrotnego (SSO).
Uprawnienia obszaru roboczego
Uprawnienie to właściwość, która umożliwia użytkownikowi, jednostce usługi lub grupie interakcję z usługą Azure Databricks w określony sposób. Administratorzy obszaru roboczego przypisują uprawnienia użytkownikom, jednostkom usługi i grupom na poziomie obszaru roboczego. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami.