驗證和存取控制
本文介紹 Azure Databricks 中的驗證和訪問控制。 如需保護數據存取權的相關信息,請參閱 使用 Unity 目錄進行數據控管。
如需有關如何在 Azure Databricks 中設定使用者和群組的詳細資訊,請參閱 身分識別最佳做法。
單一登錄
根據預設,Azure Databricks 帳戶和工作區會以 Microsoft Entra ID(先前稱為 Azure Active Directory)為基礎的單一登錄形式提供。 您會針對帳戶主控台和工作區使用 Microsoft Entra ID 單一登錄。 您可以透過 Microsoft Entra ID 啟用多重要素驗證。
Azure Databricks 也支援 Microsoft Entra ID 條件式存取,可讓系統管理員控制使用者登入 Azure Databricks 的位置和時機。 請參閱 條件式存取。
使用 SCIM 布建從 Microsoft Entra ID 同步使用者和群組
您可以使用 SCIM 或 System for Cross-domain Identity Management,這是一個開放標準,可讓您將使用者布建自動化,自動將使用者和群組從 Microsoft Entra ID 同步至 Azure Databricks 帳戶。 SCIM 使用 Microsoft Entra ID 在 Azure Databricks 中建立使用者和群組,併為他們提供適當的存取層級,以簡化新員工或小組的上線。 當使用者離開您的組織或不再需要存取 Azure Databricks 時,系統管理員可以終止 Microsoft Entra ID 中的使用者,而且該用戶帳戶也會從 Azure Databricks 中移除。 這可確保一致的下架程式,並防止未經授權的使用者存取敏感數據。 如需詳細資訊,請參閱 從 Microsoft Entra ID 同步使用者和群組。
安全 API 驗證
Azure Databricks 個人存取權杖 是 Azure Databricks 工作區層級的資源和作業最支援的認證類型之一。 為了保護 API 驗證,工作區管理員可以控制哪些用戶、服務主體和群組可以建立和使用 Azure Databricks 個人存取令牌。
如需詳細資訊,請參閱 管理 Azure Databricks 自動化的存取權。
工作區系統管理員也可以檢閱 Azure Databricks 個人存取令牌、刪除令牌,以及為其工作區設定新令牌的最大存留期。 請參閱 監視和管理個人存取令牌。
如需向 Azure Databricks 自動化進行驗證的詳細資訊,請參閱 Azure Databricks 自動化的驗證 - 概觀。
訪問控制概觀
在 Azure Databricks 中,不同的安全性實體物件有不同的訪問控制系統。 下表顯示哪些訪問控制系統會控管哪種類型的安全性實體物件。
| 安全性實體物件 | 訪問控制系統 |
|---|---|
| 工作區層級安全性實體物件 | 存取控制清單 |
| 帳戶層級安全性實體物件 | 帳戶角色型訪問控制 |
| 數據安全性實體物件 | Unity 目錄 |
Azure Databricks 也提供直接指派給用戶、服務主體和群組的系統管理員角色和權利。
如需保護數據的資訊,請參閱 使用 Unity 目錄進行數據控管。
存取控制清單
在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區物件的許可權,例如筆記本和 SQL 倉儲。 所有工作區系統管理員使用者可以管理訪問控制清單,以及已獲得委派許可權來管理訪問控制清單的使用者。 如需訪問控制清單的詳細資訊,請參閱 訪問控制清單。
帳戶角色型訪問控制
您可以使用帳戶角色型訪問控制來設定許可權,以使用帳戶層級物件,例如服務主體和群組。 帳戶角色會在您的帳戶中定義一次,並套用至所有工作區。 所有帳戶管理員使用者可以管理帳戶角色,因為已獲得委派許可權來管理帳戶角色的使用者,例如群組管理員和服務主體管理員。
請遵循下列文章,以取得特定帳戶層級物件帳戶角色的詳細資訊:
Databricks 系統管理員角色
除了安全性實體對象的訪問控制之外,Azure Databricks 平臺上還有內建角色。 用戶可以指派用戶、服務主體和群組。
Azure Databricks 平臺上有兩個主要層級的系統管理員許可權:
帳戶管理員:管理 Azure Databricks 帳戶,包括啟用 Unity 目錄、使用者布建和帳戶層級身分識別管理。
工作區系統管理員:管理帳戶中個別工作區的工作區身分識別、訪問控制、設定和功能。
此外,使用者可以指派這些功能特定的系統管理員角色,這些角色具有較窄的許可權集:
- Marketplace 系統管理員:管理其帳戶的 Databricks Marketplace 提供者配置檔,包括建立和管理 Marketplace 列表。
- 中繼存放區系統管理員:管理 Unity 目錄中繼存放區內所有安全性實體對象的許可權和擁有權,例如誰可以建立目錄或查詢數據表。
使用者也可以指派給工作區使用者。 工作區用戶能夠登入工作區,您可以在其中獲得工作區層級許可權。
如需詳細資訊,請參閱 設定單一登入 (SSO) 。
工作區權利
權利是一種屬性,可讓用戶、服務主體或群組以指定的方式與 Azure Databricks 互動。 工作區系統管理員會將權利指派給工作區層級的用戶、服務主體和群組。 如需詳細資訊,請參閱 管理權利。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應