Autenticación y control de acceso
En este artículo se presenta la autenticación y el control de acceso en Azure Databricks. Para obtener información sobre cómo proteger el acceso a los datos, consulte Gobernanza de datos con Unity Catalog.
Para más información sobre la mejor forma de configurar el usuario y los grupos en Azure Databricks, consulte Procedimientos recomendados de identidad.
Inicio de sesión único
El inicio de sesión único en la forma de inicio de sesión respaldado por Microsoft Entra ID está disponible en las áreas de trabajo y la cuenta de Azure Databricks de forma predeterminada. Puede usar el inicio de sesión único de Microsoft Entra ID tanto para la consola de la cuenta como para las áreas de trabajo. Puede habilitar la autenticación multifactor mediante Microsoft Entra ID.
Azure Databricks también admite el acceso condicional de Microsoft Entra ID, lo que permite que los administradores controlen dónde y cuándo los usuarios pueden iniciar sesión en Azure Databricks. Consulte Acceso condicional.
Sincronización de usuarios y grupos desde Microsoft Entra ID con el aprovisionamiento de SCIM
Puede usar SCIM, o System for Cross-domain Identity Management, un estándar abierto que le permite automatizar el aprovisionamiento de usuarios, para sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID a la cuenta de Azure Databricks. SCIM optimiza la incorporación de un nuevo empleado o equipo mediante Microsoft Entra ID para crear usuarios y grupos en Azure Databricks y proporcionarles el nivel de acceso adecuado. Cuando un usuario abandona la organización o ya no necesita acceder a Azure Databricks, los administradores pueden finalizar el usuario en Microsoft Entra ID, y la cuenta del usuario también se quita de Azure Databricks. Así, se garantiza un proceso de retirada coherente y se evita que los usuarios no autorizados accedan a datos confidenciales. Para más información, consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.
Protección de la autenticación de API con OAuth
OAuth de Azure Databricks admite credenciales seguras y acceso a recursos y operaciones en el nivel de área de trabajo de Azure Databricks y admite permisos avanzados para la autorización.
Para más información, consulte Administración de permisos de token de acceso personal.
Para obtener más información sobre la autenticación en la automatización de Azure Databricks, consulte Autenticación del acceso a los recursos de Azure Databricks.
Databricks también admite tokens de acceso personal (PAT), pero recomienda usar OAuth en su lugar. Para obtener más información sobre el uso de PAT, consulte Supervisión y administración de acceso a tokens de acceso personales.
Información general sobre el control de acceso
En Azure Databricks, hay diferentes sistemas de control de acceso para diferentes objetos protegibles. En la tabla siguiente se muestra qué sistema de control de acceso rige qué tipo de objeto protegible.
Objeto protegible | Sistema de control de acceso |
---|---|
Objetos protegibles de nivel de área de trabajo | Listas de control de acceso |
Objetos protegibles de nivel de cuenta | Control de acceso basado en rol de cuenta |
Objetos protegibles de datos | Unity Catalog |
Azure Databricks también proporciona roles de administrador y derechos que se asignan directamente a usuarios, entidades de servicio y grupos.
Para obtener información sobre cómo proteger los datos, consulte Gobernanza de datos con Unity Catalog.
Listas de control de acceso
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos del área de trabajo, como cuadernos y SQL Warehouses. Todos los usuarios administradores de áreas de trabajo pueden administrar las listas de control de acceso, al igual que los usuarios que tienen permisos delegados para administrar las listas de control de acceso. Para obtener más información sobre las listas de control de acceso, consulte Listas de control de acceso.
Control de acceso basado en rol de cuenta
Puede usar el control de acceso basado en roles de cuenta para configurar el permiso para usar objetos de nivel de cuenta, como entidades de servicio y grupos. Los roles de cuenta se definen una vez, en la cuenta, y se aplican en todas las áreas de trabajo. Todos los usuarios administradores de cuentas pueden administrar roles de cuenta, como los usuarios a los que se les han concedido permisos delegados para administrarlos, como administradores de grupos y administradores de entidades de servicio.
Siga estos artículos para obtener más información sobre los roles de cuenta en objetos específicos de nivel de cuenta:
- Roles para administrar entidades de servicio
- Administración de roles en un grupo usando la consola de cuentas
Roles de administrador de Databricks
Además del control de acceso en objetos protegibles, hay roles integrados en la plataforma de Azure Databricks. A los usuarios, entidades de servicio y grupos se les pueden asignar roles.
Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:
Administradores de cuentas: administran la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity, el aprovisionamiento de usuarios y la administración de identidades de nivel de cuenta.
Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.
Además, a los usuarios se les pueden asignar estos roles de administrador específicos de características, que tienen conjuntos de privilegios más estrechos:
- Administradores de Marketplace: administre el perfil de proveedor de Marketplace de Databricks de su cuenta, incluida la creación y administración de listados de Marketplace.
- Administradores de Metastore: administre los privilegios y la propiedad de todos los objetos asegurables dentro de una metastore de Unity Catalog, como quién puede crear catálogos o consultar una tabla.
Los usuarios también se pueden asignar para que sean usuarios del área de trabajo. Un usuario del área de trabajo puede iniciar sesión en un área de trabajo, donde se le pueden conceder permisos a nivel de área de trabajo.
Para obtener más información, consulte Configuración del inicio de sesión único (SSO).
Derechos del área de trabajo
Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los administradores del área de trabajo asignan derechos a usuarios, entidades de servicio y grupos a nivel de área de trabajo. Para obtener más información, consulte Administrar derechos.