Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разрешения управляют тем, что пользователи могут делать с приложением Databricks, например доступом, управлением и общим доступом к приложениям. Это отличается от проверки подлинности, которая проверяет удостоверение пользователя. Разрешения определяют действия, которые пользователь может выполнять в приложении.
Уровни разрешений
-
CAN MANAGE— Может управлять параметрами и разрешениями приложения, включая возможность редактирования и удаления приложения. -
CAN USE— может запускать и взаимодействовать с приложением, но не может изменять или управлять им.
Только пользователи с CAN MANAGE разрешениями могут назначать или отзывать разрешения для приложения.
Разрешения организации
Если вы установили разрешения приложения для организации на Любой в моей организации может использовать, все пользователи в текущей учетной записи Azure Databricks могут получить доступ к приложению. К ним относятся пользователи, добавленные вручную, синхронизированные с помощью системы управления междоменной идентификацией (SCIM) или созданные с помощью развертывания в режиме JIT через вашего поставщика удостоверений.
Пользователи, созданные с помощью JIT, по-прежнему должны проходить проверку подлинности через поставщика удостоверений вашей организации и распознаваться в Azure Databricks как пользователи учетной записи. Вы можете предоставить этим пользователям CAN USE доступ к приложениям, даже если у них нет доступа к какой-либо рабочей области. Однако доступ зависит от политики проверки подлинности рабочей области. Например, если PrivateLink включен, Azure Databricks может вернуться к проверке подлинности на уровне рабочей области. В этом случае доступ блокируется для пользователей, которые подключаются через общедоступную конечную точку Azure Databricks.
Вы не можете сделать приложения Databricks общедоступными. Анонимный доступ и обход единого входа не поддерживаются. Чтобы предоставить доступ внешним участникам совместной работы, используйте федерацию удостоверений с подготовкой пользователей по протоколам SCIM и JIT для интеграции пользователей через вашего поставщика удостоверений без необходимости предоставления полного доступа к рабочей области.
Назначение разрешений в пользовательском интерфейсе приложений Databricks
Управление пользователями, которые могут просматривать, запускать или изменять приложение Databricks, назначая разрешения непосредственно в пользовательском интерфейсе Databricks Apps.
- Перейдите на страницу сведений о приложении.
- Выберите вкладку Разрешения .
- Используйте раскрывающийся список Выбор пользователя, группы или принципала службы... для выбора пользователя, группы или принципала службы.
- Выберите соответствующий уровень разрешений (
CAN USEилиCAN MANAGE). - Нажмите кнопку "Добавить", а затем нажмите кнопку "Сохранить ", чтобы применить изменения.
Разрешения и авторизация
В Databricks Apps важно различать разрешения и авторизацию, которые связаны, но отдельные понятия.
Разрешения назначаются на уровне рабочей области и определяют, кто в рабочей области может управлять или использовать приложение. Разрешения управляют доступом к самому приложению, например, которые могут развертывать, обновлять или запускать его. Разрешения не управляют доступом к данным приложения или его пользователям.
Авторизация относится к управлению доступом к данным и ресурсам и имеет две подкатегории:
- Авторизация пользователей - Когда пользователи проходят проверку подлинности в приложении, Azure Databricks передаёт их удостоверение в среду выполнения приложения. Это позволяет каталогу Unity и другим политикам доступа к данным применять разрешения на основе удостоверений пользователя, ограничивая доступ к данным, которые приложение может получить от их имени.
- Авторизация приложения - Приложение запускается с использованием служебного принципала, обладающего собственными разрешениями для доступа к необходимым ресурсам Azure Databricks. Эта авторизация управляет тем, что само приложение может делать независимо от любого пользователя.
В итоге разрешения управляют доступом на уровне рабочей области к приложению (кто может использовать или управлять им), а авторизация управляет доступом к данным и ресурсам, включая доступ на основе удостоверений пользователей и доступ на основе служебных учетных записей приложения.
Дополнительные сведения см. в разделе "Настройка авторизации" в приложении Databricks.
Права приложений
Любой пользователь в рабочей области может создавать приложения Databricks, аналогичные другим бессерверным продуктам. Однако следующие права управляют различными аспектами доступа к приложению:
- Доступ к приложениям и управление ими: Доступ к приложению и управление им с помощью уровней разрешений
- Разрешения субъекта-службы: Разрешения, назначенные выделенному субъекту-службе приложения
- Согласие пользователя: Дает ли пользователю согласие разрешить приложению использовать свое удостоверение для авторизации пользователей
- Разрешения пользователя: Базовые разрешения каталога Unity и рабочих областей пользователей, обращающихся к приложению
Рекомендации по разрешениям
Выполните следующие рекомендации по безопасному управлению разрешениями приложения Databricks:
- Следуйте принципу наименьших привилегий, предоставив только разрешения, необходимые для каждой роли пользователя.
- Предпочитайте назначать
CAN USEразрешения, если пользователям не требуются возможности управления. - Используйте группы или служебные учетные записи для эффективного управления разрешениями в больших масштабах.