Ověřování a řízení přístupu
Tento článek představuje ověřování a řízení přístupu v Azure Databricks. Informace o zabezpečení přístupu k datům najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.
Jednotné přihlašování pomocí Microsoft Entra ID
Jednotné přihlašování ve formě přihlášení založeného na ID Microsoftu je ve výchozím nastavení dostupné v účtu a pracovních prostorech Azure Databricks. Jednotné přihlašování Microsoft Entra ID používáte pro konzolu účtu i pracovní prostory. Vícefaktorové ověřování můžete povolit prostřednictvím ID Microsoft Entra.
Azure Databricks také podporuje podmíněný přístup Microsoft Entra ID, který správcům umožňuje řídit, kde a kdy se uživatelé můžou přihlásit k Azure Databricks. Viz Podmíněný přístup.
Synchronizace uživatelů a skupin z Microsoft Entra ID
Uživatele a skupiny můžete automaticky synchronizovat z ID Microsoft Entra s účtem Azure Databricks pomocí SCIM. SCIM je otevřený standard, který umožňuje automatizovat zřizování uživatelů. SCIM umožňuje konzistentní proces onboardingu a offboardingu. Používá Microsoft Entra ID k vytváření uživatelů a skupin v Azure Databricks a dává jim správnou úroveň přístupu. Když uživatel opustí vaši organizaci nebo už nepotřebuje přístup k Azure Databricks, můžou správci uživatele ukončit v Microsoft Entra ID a účet daného uživatele se také odebere z Azure Databricks. Tím zabráníte neoprávněným uživatelům v přístupu k citlivým datům. Další informace naleznete v tématu Synchronizace uživatelů a skupin z Microsoft Entra ID.
Další informace o tom, jak nejlépe nakonfigurovat uživatele a skupiny v Azure Databricks, najdete v tématu Osvědčené postupy pro identity.
Zabezpečení ověřování rozhraní API pomocí OAuth
Azure Databricks OAuth podporuje zabezpečené přihlašovací údaje a přístup k prostředkům a operacím na úrovni pracovního prostoru Azure Databricks a podporuje jemně odstupňovaná oprávnění pro autorizaci.
Databricks také podporuje tokeny patového přístupu(PAT), ale místo toho doporučuje používat OAuth. Pokud chcete monitorovat a spravovat paty, přečtěte si téma Monitorování a odvolávání tokenů pat a správa oprávnění osobního přístupového tokenu.
Další informace o celkovém ověřování ve službě Azure Databricks Automation najdete v tématu Ověřování přístupu k prostředkům Azure Databricks.
Přehled řízení přístupu
V Azure Databricks existují různé systémy řízení přístupu pro různé zabezpečitelné objekty. Následující tabulka ukazuje, který systém řízení přístupu řídí typ zabezpečitelného objektu.
| Zabezpečitelný objekt | Systém řízení přístupu |
|---|---|
| Zabezpečitelné objekty na úrovni pracovního prostoru | Seznamy řízení přístupu |
| Zabezpečitelné objekty na úrovni účtu | Řízení přístupu na základě role účtu |
| Zabezpečitelné objekty dat | Katalog Unity |
Azure Databricks také poskytuje role a oprávnění správce, které jsou přiřazené přímo uživatelům, instančním objektům a skupinám.
Informace o zabezpečení dat najdete v tématu Zásady správného řízení dat pomocí katalogu Unity.
Seznamy řízení přístupu
V Azure Databricks můžete pomocí seznamů řízení přístupu (ACL) nakonfigurovat oprávnění pro přístup k objektům pracovního prostoru, jako jsou poznámkové bloky a SQL Warehouse. Všichni uživatelé správců pracovního prostoru můžou spravovat seznamy řízení přístupu, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě seznamů řízení přístupu. Další informace o seznamech řízení přístupu najdete v tématu Seznamy řízení přístupu.
Řízení přístupu na základě role účtu
Řízení přístupu na základě role účtu můžete použít ke konfiguraci oprávnění k používání objektů na úrovni účtu, jako jsou instanční objekty a skupiny. Role účtu se definují jednou ve vašem účtu a použijí se ve všech pracovních prostorech. Všichni uživatelé správců účtů můžou spravovat role účtů, stejně jako uživatelé, kterým byla udělena delegovaná oprávnění ke správě, jako jsou správci skupin a správci instančních objektů.
Další informace o rolích účtů u konkrétních objektů na úrovni účtu najdete v těchto článcích:
Role správce a oprávnění pracovního prostoru
Na platformě Azure Databricks jsou k dispozici dvě hlavní úrovně oprávnění správce:
Správci účtů: Spravují účet Azure Databricks, včetně povolení katalogu Unity a správy uživatelů.
Správci pracovního prostoru: Správa identit pracovních prostorů, řízení přístupu, nastavení a funkcí pro jednotlivé pracovní prostory v účtu.
Existují také role správce specifické pro funkce s užší sadou oprávnění. Informace o dostupných rolích najdete v úvodu ke správě Azure Databricks.
Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Správci pracovního prostoru přiřazují oprávnění uživatelům, instančním objektům a skupinám na úrovni pracovního prostoru. Další informace najdete v tématu Správa nároků.