驗證和存取控制
本文介紹 Azure Databricks 中的驗證和存取控制。 如需保護資料存取權的相關信息,請參閱 使用 Unity 目錄進行資料控管。
如需有關如何在 Azure Databricks 中設定使用者和群組的詳細資訊,請參閱身分識別最佳做法。
單一登入
根據預設,Azure Databricks 帳戶和工作區會以 Microsoft Entra ID 支援的登入形式提供單一登入。 您會針對帳戶控制台和工作區使用 Microsoft Entra ID 單一登入。 您可以透過 Microsoft Entra ID 來啟用多重要素驗證。
Azure Databricks 亦支援 Microsoft Entra ID 條件式存取,以讓管理員控制使用者可於何處與何時登入 Azure Databricks。 請參閱條件式存取。
使用 SCIM 佈建同步處理來自 Microsoft Entra ID 的使用者和群組
您可以使用 SCIM 或「跨網域身分識別管理系統」,這是一個開放標準,可讓您將使用者佈建自動化,以自動將使用者和群組從 Microsoft Entra ID 同步至 Azure Databricks 帳戶。 SCIM 會使用 Microsoft Entra ID 在 Azure Databricks 中建立使用者和群組,併為他們提供適當的存取層級,以簡化新員工或小組的上線。 當使用者離開 貴組織或不再需要存取 Azure Databricks 時,系統管理員可以在 Microsoft Entra ID 中終止使用者,而且該使用者帳戶也會從 Azure Databricks 中移除。 這可確保一致的下架程式,並防止未經授權的使用者存取敏感資料。 如需詳細資訊,請參閱同步處理來自 Microsoft Entra ID 的使用者和群組。
使用 OAuth 保護 API 驗證
Azure Databricks OAuth 支援 Azure Databricks 工作區層級資源與作業的安全認證和存取權,並支援授權的微調權限。
Databricks 也支援個人存取權杖(PAT),但建議您改用 OAuth。 若要監視和管理 PAT,請參閱 監視和撤銷個人存取令牌 和 管理個人存取令牌許可權。
如需整體向 Azure Databricks 自動化進行驗證的詳細資訊,請參閱驗證 Azure Databricks 資源的存取權。
Databricks 也支援個人存取權杖(PAT),但建議您改用 OAuth。 如需使用 PAT 的詳細資訊,請參閱 監視和撤銷個人存取令牌。
存取控制概觀
在 Azure Databricks 中,不同的安全物件有不同的存取控制系統。 下表顯示哪些存取控制系統會控管哪種類型的安全物件。
安全物件 | 存取控制系統 |
---|---|
工作區層級安全物件 | 存取控制清單 |
帳戶層級安全物件 | 帳戶角色型存取控制 |
資料安全物件 | Unity 目錄 |
Azure Databricks 也提供直接指派給使用者、服務主體和群組的系統管理員角色和權利。
如需保護資料的資訊,請參閱 使用 Unity 目錄進行資料控管。
存取控制清單
在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區物件 (例如 notebook 和 SQL 資料倉儲) 的權限。 所有工作區系統管理員使用者均可管理存取控制清單,因為已獲得委派權限來管理存取控制清單的使用者。 如需有關存取控制清單的詳細資訊,請參閱存取控制清單。
帳戶角色型存取控制
您可以使用帳戶角色型存取控制來設定權限,以使用帳戶層級物件,例如服務主體和群組。 帳戶角色會在您的帳戶中定義一次,並套用至所有工作區。 所有帳戶管理員使用者均可管理帳戶角色,因為已獲得委派權限來管理帳戶角色的使用者,例如群組管理員和服務主體管理員。
請遵循下列文章,以取得特定帳戶層級物件帳戶角色的詳細資訊:
Databricks 系統管理員角色
除了安全性實體對象的存取控制之外,Azure Databricks 平台上還有內建角色。 使用者、服務主體和群組可以獲派角色。
Azure Databricks 平台上有兩個主要層級的系統管理員權限:
帳戶管理員:管理 Azure Databricks 帳戶,包含啟用 Unity 目錄、使用者佈建和帳戶層級身分識別管理。
工作區系統管理員:管理帳戶中個別工作區的工作區身分識別、存取控制、設定和功能。
此外,使用者可以指派這些特定功能的系統管理員角色,這些角色具有較限縮的權限集:
- Marketplace 系統管理員:管理其帳戶的 Databricks Marketplace 提供者配置檔,包含建立和管理 Marketplace 列表。
- 中繼存放區管理員:管理 Unity 目錄中繼存放區內所有安全物件的權限和所有權,例如誰可以建立目錄或查詢資料表。
使用者也可以指派給工作區使用者。 工作區使用者能夠登入工作區,您可以在其中獲得工作區層級權限。
如需詳細資訊,請參閱設定設定單一登入 (SSO)。
工作區權利
權利是一種屬性,可讓使用者、服務主體或群組以指定的方式與 Azure Databricks 互動。 工作區系統管理員會將權利指派給工作區層級的使用者、服務主體和群組。 如需詳細資訊,請參閱管理權利。