Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается проверка подлинности и управление доступом в Azure Databricks. Сведения о защите доступа к данным см. в разделе "Управление данными" с помощью Azure Databricks.
Единый вход с помощью идентификатора Microsoft Entra
По умолчанию в учетной записи Azure Databricks и рабочих областях доступен единый вход на основе Microsoft Entra ID. Вы используете единый вход Microsoft Entra ID как для консоли учетной записи, так и для рабочих областей. Вы можете включить многофакторную проверку подлинности с помощью идентификатора Microsoft Entra.
Вы можете настроить JIT-подготовку для автоматического создания учетных записей пользователей из идентификатора Microsoft Entra при первом входе. См. Автоматическая подготовка пользователей (JIT).
Синхронизация пользователей и групп из идентификатора Microsoft Entra
Databricks рекомендует синхронизировать удостоверения из идентификатора Microsoft Entra с Azure Databricks с помощью автоматического управления удостоверениями. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г.
С помощью автоматического управления удостоверениями можно осуществлять прямой поиск в рабочих областях федерации удостоверений для пользователей, служебных принципалов и групп Microsoft Entra ID, а также добавлять их в рабочую область и учетную запись Azure Databricks. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Подробные инструкции см. в статье "Автоматическое управление удостоверениями".
Вы также можете использовать подготовку SCIM для синхронизации пользователей и групп из идентификатора Microsoft Entra в Azure Databricks, см. статью "Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM".
Безопасная проверка подлинности API с помощью OAuth
Azure Databricks OAuth поддерживает безопасные учетные данные и доступ к ресурсам и операциям на уровне рабочей области Azure Databricks и поддерживает подробные разрешения для авторизации.
Databricks также поддерживает личные маркеры доступа (PATs), но рекомендует вместо этого использовать OAuth. Сведения о мониторинге и управлении маркерами личного доступа см. в статье Мониторинг и отмена маркеров личного доступа и Управление разрешениями маркера личного доступа.
Дополнительные сведения об аутентификации в службе автоматизации Azure Databricks см. в статье "Авторизация доступа к ресурсам Azure Databricks".
Обзор управления доступом
В Azure Databricks существуют различные системы управления доступом для различных защищаемых объектов. В таблице ниже показано, какая система управления доступом управляет типом защищаемого объекта.
| Защищаемый объект | Система управления доступом |
|---|---|
| Защищаемые объекты на уровне рабочей области | Доступ к спискам управления |
| Защищаемые объекты на уровне учетной записи | Управление доступом на основе ролей учетной записи |
| Защищаемые объекты данных | Каталог Unity |
Azure Databricks также предоставляет роли администратора и разрешения, которые назначаются непосредственно пользователям, субъектам-службам и группам.
Сведения о защите данных см. в разделе "Управление данными" с помощью Azure Databricks.
Доступ к спискам управления
В Azure Databricks можно использовать списки управления доступом (ACL), чтобы настроить разрешение на доступ к объектам рабочей области, таким как записные книжки и хранилища SQL. Все администраторы рабочего пространства могут управлять списками управления доступом, как и пользователи, которым были делегированы разрешения на управление списками управления доступом. Дополнительные сведения о списках управления доступом см. в разделе Списки управления доступом.
Управление доступом на основе ролей учетной записи
С помощью управления доступом на основе ролей учетной записи можно настроить разрешение на использование объектов уровня учетной записи, таких как субъекты-службы и группы. Роли учетной записи определяются один раз в учетной записи и применяются ко всем рабочим областям. Все пользователи с ролью администратора учетной записи могут управлять ролями учетной записи, а также пользователи, которым были предоставлены делегированные права на управление этими ролями, например руководители групп и администраторы субъектов-служб.
Дополнительные сведения о ролях учетных записей в определенных объектах уровня учетной записи см. в следующих статьях:
Роли администраторов и права рабочего пространства
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
- Администраторы учетных записей: управление учетной записью Azure Databricks, включая включение каталога Unity и управления пользователями.
- Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.
Кроме того, существуют администраторские роли с более узким набором привилегий. Дополнительные сведения о доступных ролях см. в обзоре администрирования Databricks.
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Администраторы рабочей области назначают разрешения пользователям, субъектам-служб и группам на уровне рабочей области. Дополнительные сведения см. в разделе "Управление правами".