Authentifizierung und Zugriffssteuerung
In diesem Artikel werden die Authentifizierung und die Zugriffssteuerung in Azure Databricks vorgestellt. Informationen zum Sichern des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.
Einmaliges Anmelden mit Der Microsoft Entra-ID
Das einmalige Anmelden (SSO) in Form der durch Microsoft Entra ID-gestützten Anmeldung ist in Azure Databricks-Konten und -Arbeitsbereichen standardmäßig verfügbar. Sie verwenden einmaliges Anmelden von Microsoft Entra ID sowohl für die Kontokonsole als auch für Arbeitsbereiche. Sie können die Multi-Faktor-Authentifizierung über Microsoft Entra ID aktivieren.
Azure Databricks unterstützt den bedingten Zugriff von Microsoft Entra ID, mit dem Administrator*innen steuern können, wo und wann Benutzer*innen sich bei Azure Databricks anmelden dürfen. Weitere Informationen finden Sie unter Bedingter Zugriff.
Synchronisieren von Benutzern und Gruppen aus der Microsoft Entra-ID
Sie können Benutzer und Gruppen automatisch von Microsoft Entra ID mit Ihrem Azure Databricks-Konto mithilfe von SCIM synchronisieren. SCIM ist ein offener Standard, mit dem Sie die Benutzerbereitstellung automatisieren können. SCIM ermöglicht einen konsistenten Onboarding- und Offboarding-Prozess. Es verwendet Microsoft Entra-ID, um Benutzer und Gruppen in Azure Databricks zu erstellen und ihnen den richtigen Zugriff zu gewähren. Wenn Benutzer*innen Ihre Organisation verlassen oder keinen Zugriff mehr auf Azure Databricks benötigen, können Administrator*innen die Benutzer*innen in Microsoft Entra ID kündigen. Die Konten dieser Benutzer*innen werden dann auch aus Azure Databricks entfernt. Dadurch wird verhindert, dass nicht autorisierte Benutzer auf vertrauliche Daten zugreifen. Weitere Informationen finden Sie unter Synchronisieren von Benutzer*innen und Gruppen aus Microsoft Entra ID.
Weitere Informationen zum optimalen Konfigurieren von Benutzern und Gruppen in Azure Databricks finden Sie unter "Bewährte Methoden für Identitäten".
Sichere API-Authentifizierung mit OAuth
Azure Databricks OAuth unterstützt sichere Anmeldedaten und den Zugriff auf Ressourcen und Vorgänge auf Azure Databricks-Arbeitsbereichsebene sowie unterstützt differenzierte Berechtigungen für die Autorisierung.
Databricks unterstützt auch persönliche Zugriffstoken (PATs), empfiehlt jedoch stattdessen die Verwendung von OAuth. Informationen zum Überwachen und Verwalten von PATs finden Sie unter Überwachen und Widerrufen von persönlichen Zugriffstoken und Verwalten von Berechtigungen für persönliche Zugriffstoken.
Weitere Informationen zur allgemeinen Authentifizierung bei der Azure Databricks-Automatisierung finden Sie unter Authentifizierung des Zugriffs auf Azure Databricks-Ressourcen.
Übersicht über die Zugriffssteuerung
In Azure Databricks gibt es unterschiedliche Zugriffssteuerungssysteme für verschiedene sicherungsfähige Objekte. Die folgende Tabelle zeigt, welches Zugriffssteuerungssystem für welche sicherungsfähigen Objekten verwendet wird.
| Sicherungsfähiges Objekt | Zgriffssteuerungssystem |
|---|---|
| Sicherungsfähige Objekte auf Arbeitsbereichsebene | Zugriffssteuerungslisten |
| Sicherungsfähige Objekte auf Kontoebene | Rollenbasierte Zugriffssteuerung für Konten |
| Sicherungsfähige Datenobjekte | Unity Catalog |
In Azure Databricks gibt es außerdem Administratorrollen und Berechtigungen, die Benutzer*innen, Dienstprinzipalen und Gruppen direkt zugewiesen werden.
Weitere Informationen zum Schützen des Zugriffs auf Ihre Daten finden Sie unter Datengovernance mit Unity Catalog.
Zugriffssteuerungslisten
In Azure Databricks können Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Berechtigung für den Zugriff auf Arbeitsbereichsobjekte wie Notebooks und SQL-Warehouses zu konfigurieren. Neben allen Arbeitsbereich-Administratorbenutzern können auch Benutzer Zugriffssteuerungslisten verwalten, denen delegierte Berechtigungen zum Verwalten von Zugriffssteuerungslisten erteilt wurden. Weitere Informationen zu Zugriffssteuerungslisten finden Sie unter Zugriffssteuerungslisten.
Rollenbasierte Zugriffssteuerung für Konten
Sie können die zugriffsbasierte Zugriffssteuerung für Konten verwenden, um die Berechtigung für die Verwendung von Objekten auf Kontoebene zu konfigurieren, z. B. Dienstprinzipale und Gruppen. Kontorollen werden einmal in Ihrem Konto definiert und gelten für alle Arbeitsbereiche. Alle Kontoadministrator*innen können Kontorollen verwalten, ebenso wie Benutzer*innen, denen delegierte Berechtigungen zum Verwalten erteilt wurden, z. B. Gruppenmanager*innen und Dienstprinzipalmanager*innen.
Lesen Sie die folgenden Artikeln, um weitere Informationen zu Kontorollen für bestimmte Objekte auf Kontoebene zu erhalten:
- Rollen für die Verwaltung von Dienstprinzipalen
- Verwalten von Rollen in einer Gruppe mithilfe der Kontokonsole
Administratorrollen und Arbeitsbereichsberechtigungen
Auf der Azure Databricks-Plattform gibt es zwei Hauptstufen von Administratorrechten:
Kontoadministratoren: Verwalten Sie das Azure Databricks-Konto, einschließlich der Aktivierung des Unity-Katalogs und der Benutzerverwaltung.
Arbeitsbereichsadministratoren: Verwalten Arbeitsbereichsidentitäten, Zugriffssteuerung, Einstellungen und Features für einzelne Arbeitsbereiche im Konto.
Es gibt auch featurespezifische Administratorrollen mit einer engeren Gruppe von Berechtigungen. Informationen zu den verfügbaren Rollen finden Sie in der Azure Databricks-Verwaltungseinführung.
Eine Berechtigung ist eine Eigenschaft, die einem Benutzer, einem Dienstprinzipal oder einer Gruppe die Interaktion mit Azure Databricks auf eine bestimmte Weise gestattet. Arbeitsbereichsadministrator*innen weisen Benutzer*innen, Dienstprinzipalen und Gruppen Berechtigungen auf Arbeitsbereichsebene zu. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.