Autentisering och åtkomstproblem
Den här artikeln beskriver autentisering och åtkomstkontroll i Azure Databricks. Information om hur du skyddar åtkomsten till dina data finns i Datastyrning med Unity Catalog.
Mer information om hur du konfigurerar användare och grupper i Azure Databricks finns i Metodtips för identitet.
Enkel inloggning
Enkel inloggning i form av Microsoft Entra ID-säkerhetskopierad inloggning är som standard tillgängligt i Azure Databricks-konto och arbetsytor. Du använder enkel inloggning med Microsoft Entra-ID för både kontokonsolen och arbetsytor. Du kan aktivera multifaktorautentisering via Microsoft Entra-ID.
Azure Databricks stöder även villkorsstyrd åtkomst för Microsoft Entra-ID, vilket gör att administratörer kan styra var och när användare tillåts logga in på Azure Databricks. Se Villkorsstyrd åtkomst.
Synkronisera användare och grupper från Microsoft Entra-ID med SCIM-etablering
Du kan använda SCIM, eller System for Cross-domain Identity Management, en öppen standard som gör att du kan automatisera användaretablering för att synkronisera användare och grupper automatiskt från Microsoft Entra-ID till ditt Azure Databricks-konto. SCIM effektiviserar registreringen av en ny anställd eller ett nytt team med hjälp av Microsoft Entra-ID för att skapa användare och grupper i Azure Databricks och ge dem rätt åtkomstnivå. När en användare lämnar organisationen eller inte längre behöver åtkomst till Azure Databricks kan administratörer avsluta användaren i Microsoft Entra-ID och att användarens konto också tas bort från Azure Databricks. Detta säkerställer en konsekvent offboarding-process och förhindrar obehöriga användare från att komma åt känsliga data. Mer information finns i Synkronisera användare och grupper från Microsoft Entra-ID.
Säker API-autentisering med OAuth
Azure Databricks OAuth stöder säkra autentiseringsuppgifter och åtkomst för resurser och åtgärder på Azure Databricks-arbetsytans nivå och har stöd för detaljerade behörigheter för auktorisering.
Databricks stöder även personliga åtkomsttoken (PAT), men rekommenderar att du använder OAuth i stället. Information om hur du övervakar och hanterar PAT:er finns i Övervaka och återkalla personliga åtkomsttoken och Hantera personliga åtkomsttokenbehörigheter.
Mer information om hur du autentiserar till Azure Databricks-automatisering finns i Autentisera åtkomst till Azure Databricks-resurser.
Databricks stöder även personliga åtkomsttoken (PAT), men rekommenderar att du använder OAuth i stället. Mer information om hur du använder PAT finns i Övervaka och återkalla personliga åtkomsttoken.
Översikt över åtkomstkontroll
I Azure Databricks finns det olika åtkomstkontrollsystem för olika skyddsbara objekt. Tabellen nedan visar vilket åtkomstkontrollsystem som styr vilken typ av skyddsbart objekt.
| Skyddsbart objekt | Åtkomstkontrollsystem |
|---|---|
| Skyddsbara objekt på arbetsytenivå | Listor för åtkomstkontroll |
| Skyddsbara objekt på kontonivå | Kontorollbaserad åtkomstkontroll |
| Data som kan skyddas | Unity Catalog |
Azure Databricks tillhandahåller även administratörsroller och rättigheter som tilldelas direkt till användare, tjänstens huvudnamn och grupper.
Information om hur du skyddar data finns i Datastyrning med Unity Catalog.
Listor för åtkomstkontroll
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt arbetsyteobjekt som notebook-filer och SQL Warehouses. Alla arbetsyteadministratörsanvändare kan hantera åtkomstkontrollistor, liksom användare som har fått delegerade behörigheter för att hantera åtkomstkontrollistor. Mer information om åtkomstkontrollistor finns i Åtkomstkontrollistor.
Kontorollbaserad åtkomstkontroll
Du kan använda kontorollbaserad åtkomstkontroll för att konfigurera behörighet att använda objekt på kontonivå, till exempel tjänstens huvudnamn och grupper. Kontoroller definieras en gång, i ditt konto och tillämpas på alla arbetsytor. Alla kontoadministratörsanvändare kan hantera kontoroller, liksom användare som har fått delegerade behörigheter för att hantera dem, till exempel gruppchefer och cheferna för tjänstens huvudnamn.
Följ de här artiklarna om du vill ha mer information om kontoroller för specifika objekt på kontonivå:
Databricks-administratörsroller
Förutom åtkomstkontroll för skyddsbara objekt finns det inbyggda roller på Azure Databricks-plattformen. Användare, tjänstens huvudnamn och grupper kan tilldelas roller.
Det finns två huvudsakliga nivåer av administratörsbehörigheter tillgängliga på Azure Databricks-plattformen:
Kontoadministratörer: Hantera Azure Databricks-kontot, inklusive aktivering av Unity Catalog, användaretablering och identitetshantering på kontonivå.
Arbetsyteadministratörer: Hantera arbetsyteidentiteter, åtkomstkontroll, inställningar och funktioner för enskilda arbetsytor i kontot.
Dessutom kan användare tilldelas dessa funktionsspecifika administratörsroller, som har smalare uppsättningar med behörigheter:
- Marketplace-administratörer: Hantera kontots Databricks Marketplace-providerprofil, inklusive att skapa och hantera Marketplace-listor.
- Metaarkivadministratörer: Hantera behörigheter och ägarskap för alla skyddsbara objekt i ett Unity Catalog-metaarkiv, till exempel vem som kan skapa kataloger eller köra frågor mot en tabell.
Användare kan också tilldelas till att vara arbetsyteanvändare. En arbetsyteanvändare har möjlighet att logga in på en arbetsyta, där de kan beviljas behörigheter på arbetsytenivå.
Mer information finns i Konfigurera enkel inloggning (SSO).
Berättigande för arbetsyta
En rättighet är en egenskap som gör att en användare, tjänstens huvudnamn eller grupp kan interagera med Azure Databricks på ett angivet sätt. Arbetsyteadministratörer tilldelar rättigheter till användare, tjänstens huvudnamn och grupper på arbetsytans nivå. Mer information finns i Hantera berättiganden.