Controlo de acesso e autenticação
Este artigo apresenta a autenticação e o controle de acesso no Azure Databricks. Para obter informações sobre como proteger o acesso aos seus dados, consulte Governança de dados com o Unity Catalog.
Para obter mais informações sobre como configurar melhor usuários e grupos no Azure Databricks, consulte Práticas recomendadas de identidade.
Logon único
O logon único na forma de logon apoiado por ID do Microsoft Entra está disponível na conta e nos espaços de trabalho do Azure Databricks por padrão. Você usa o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho. Você pode habilitar a autenticação multifator por meio do Microsoft Entra ID.
O Azure Databricks também dá suporte ao acesso condicional do Microsoft Entra ID, que permite que os administradores controlem onde e quando os usuários têm permissão para entrar no Azure Databricks. Consulte Acesso condicional.
Sincronizar usuários e grupos do Microsoft Entra ID usando o provisionamento SCIM
Você pode usar SCIM, ou System for Cross-domain Identity Management, um padrão aberto que permite automatizar o provisionamento de usuários, sincronizar usuários e grupos automaticamente da ID do Microsoft Entra para sua conta do Azure Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe usando a ID do Microsoft Entra para criar usuários e grupos no Azure Databricks e dar-lhes o nível adequado de acesso. Quando um usuário sai da sua organização ou não precisa mais acessar o Azure Databricks, os administradores podem encerrar o usuário na ID do Microsoft Entra e a conta desse usuário também é removida do Azure Databricks. Isso garante um processo de desembarque consistente e impede que usuários não autorizados acessem dados confidenciais. Para obter mais informações, consulte Sincronizar usuários e grupos do Microsoft Entra ID.
Autenticação de API segura com OAuth
O Azure Databricks OAuth dá suporte a credenciais seguras e acesso para recursos e operações no nível do espaço de trabalho do Azure Databricks e dá suporte a permissões refinadas para autorização.
Para obter mais informações, consulte Gerenciar permissões de token de acesso pessoal.
Para obter mais informações sobre a autenticação na automação geral do Azure Databricks, consulte Autenticar o acesso aos recursos do Azure Databricks.
O Databricks também suporta tokens de acesso pessoal (PATs), mas recomenda que você use OAuth. Para obter detalhes sobre como usar PATs, consulte Monitorar e gerenciar o acesso a tokens de acesso pessoal.
Visão geral do controle de acesso
No Azure Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso governa qual tipo de objeto protegível.
Objeto protegível | Sistema de controlo de acessos |
---|---|
Objetos protegíveis no nível do espaço de trabalho | Listas de controlo de acesso |
Objetos protegíveis no nível da conta | Controle de acesso baseado na função da conta |
Objetos protegíveis de dados | Catálogo do Unity |
O Azure Databricks também fornece funções e direitos de administrador que são atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre como proteger dados, consulte Governança de dados com o Unity Catalog.
Listas de controlo de acesso
No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos de espaço de trabalho, como blocos de anotações e SQL Warehouses. Todos os usuários administradores do espaço de trabalho podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
Controle de acesso baseado na função da conta
Você pode usar o controle de acesso baseado em função de conta para configurar a permissão para usar objetos no nível da conta, como entidades de serviço e grupos. As funções da conta são definidas uma vez, na sua conta, e aplicam-se a todos os espaços de trabalho. Todos os usuários administradores de conta podem gerenciar funções de conta, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidade de serviço.
Siga estes artigos para obter mais informações sobre funções de conta em objetos específicos no nível da conta:
Funções de administrador do Databricks
Além do controle de acesso em objetos protegíveis, há funções internas na plataforma Azure Databricks. Usuários, entidades de serviço e grupos podem receber funções.
Há dois níveis principais de privilégios de administrador disponíveis na plataforma Azure Databricks:
Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo Unity, o provisionamento de usuários e o gerenciamento de identidades no nível da conta.
Administradores de espaço de trabalho: gerencie identidades de espaço de trabalho, controle de acesso, configurações e recursos para espaços de trabalho individuais na conta.
Além disso, os usuários podem receber essas funções de administrador específicas do recurso, que têm conjuntos mais restritos de privilégios:
- Administradores do Marketplace: gerencie o perfil de provedor do Databricks Marketplace de sua conta, incluindo a criação e o gerenciamento de listagens do Marketplace.
- Administradores de metastore: gerencie privilégios e propriedade para todos os objetos protegíveis dentro de um metastore do Unity Catalog, como quem pode criar catálogos ou consultar uma tabela.
Os usuários também podem ser atribuídos para serem usuários do espaço de trabalho. Um usuário de espaço de trabalho tem a capacidade de fazer login em um espaço de trabalho, onde podem receber permissões no nível do espaço de trabalho.
Para obter mais informações, consulte Configurando o logon único (SSO).
Direitos de espaço de trabalho
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o Azure Databricks de uma maneira especificada. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível do espaço de trabalho. Para obter mais informações, consulte Gerenciar direitos.