Autenticación y control de acceso
En este artículo se presenta la autenticación y el control de acceso en Azure Databricks. Para obtener información sobre cómo proteger el acceso a los datos, consulte Gobernanza de datos con Unity Catalog.
Inicio de sesión único con el identificador de Microsoft Entra
El inicio de sesión único en la forma de inicio de sesión respaldado por Microsoft Entra ID está disponible en las áreas de trabajo y la cuenta de Azure Databricks de forma predeterminada. Puede usar el inicio de sesión único de Microsoft Entra ID tanto para la consola de la cuenta como para las áreas de trabajo. Puede habilitar la autenticación multifactor mediante Microsoft Entra ID.
Azure Databricks también admite el acceso condicional de Microsoft Entra ID, lo que permite que los administradores controlen dónde y cuándo los usuarios pueden iniciar sesión en Azure Databricks. Consulte Acceso condicional.
Sincronizar usuarios y grupos desde el identificador de Microsoft Entra
Puede sincronizar usuarios y grupos automáticamente desde microsoft Entra ID a su cuenta de Azure Databricks mediante SCIM. SCIM es un estándar abierto que permite automatizar el aprovisionamiento de usuarios. SCIM permite un proceso coherente de incorporación y retirada. Usa Microsoft Entra ID para crear usuarios y grupos en Azure Databricks y darles el nivel de acceso adecuado. Cuando un usuario abandona la organización o ya no necesita acceder a Azure Databricks, los administradores pueden finalizar el usuario en Microsoft Entra ID, y la cuenta del usuario también se quita de Azure Databricks. Esto impide que los usuarios no autorizados accedan a datos confidenciales. Para más información, consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.
Para más información sobre cómo configurar mejor usuarios y grupos en Azure Databricks, consulte Procedimientos recomendados de identidad.
Protección de la autenticación de API con OAuth
OAuth de Azure Databricks admite credenciales seguras y acceso a recursos y operaciones en el nivel de área de trabajo de Azure Databricks y admite permisos avanzados para la autorización.
Databricks también admite tokens de acceso personal (PAT), pero recomienda usar OAuth en su lugar. Para supervisar y administrar PAT, consulte Supervisión y revocación de tokens de acceso personal y Administración de permisos de token de acceso personal.
Para obtener más información sobre la autenticación en la automatización de Azure Databricks, consulte Autenticación del acceso a los recursos de Azure Databricks.
Información general sobre el control de acceso
En Azure Databricks, hay diferentes sistemas de control de acceso para diferentes objetos protegibles. En la tabla siguiente se muestra qué sistema de control de acceso rige qué tipo de objeto protegible.
| Objeto protegible | Sistema de control de acceso |
|---|---|
| Objetos protegibles de nivel de área de trabajo | Listas de control de acceso |
| Objetos protegibles de nivel de cuenta | Control de acceso basado en rol de cuenta |
| Objetos protegibles de datos | Unity Catalog |
Azure Databricks también proporciona roles de administrador y derechos que se asignan directamente a usuarios, entidades de servicio y grupos.
Para obtener información sobre cómo proteger los datos, consulte Gobernanza de datos con Unity Catalog.
Listas de control de acceso
En Azure Databricks, puede usar listas de control de acceso (ACL) para configurar el permiso para acceder a objetos del área de trabajo, como cuadernos y SQL Warehouses. Todos los usuarios administradores de áreas de trabajo pueden administrar las listas de control de acceso, al igual que los usuarios que tienen permisos delegados para administrar las listas de control de acceso. Para obtener más información sobre las listas de control de acceso, consulte Listas de control de acceso.
Control de acceso basado en rol de cuenta
Puede usar el control de acceso basado en roles de cuenta para configurar el permiso para usar objetos de nivel de cuenta, como entidades de servicio y grupos. Los roles de cuenta se definen una vez, en la cuenta, y se aplican en todas las áreas de trabajo. Todos los usuarios administradores de cuentas pueden administrar roles de cuenta, como los usuarios a los que se les han concedido permisos delegados para administrarlos, como administradores de grupos y administradores de entidades de servicio.
Siga estos artículos para obtener más información sobre los roles de cuenta en objetos específicos de nivel de cuenta:
- Roles para administrar entidades de servicio
- Administración de roles en un grupo usando la consola de cuentas
Roles de administrador y derechos de área de trabajo
Hay dos niveles principales de privilegios de administrador disponibles en la plataforma de Azure Databricks:
Administradores de cuentas: administre la cuenta de Azure Databricks, incluida la habilitación del catálogo de Unity y la administración de usuarios.
Administradores de áreas de trabajo: administran las identidades del área de trabajo, el control de acceso, la configuración y las características de las áreas de trabajo individuales de la cuenta.
También hay roles de administrador específicos de características con un conjunto más limitado de privilegios. Para más información sobre los roles disponibles, consulte Introducción a la administración de Azure Databricks.
Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los administradores del área de trabajo asignan derechos a usuarios, entidades de servicio y grupos a nivel de área de trabajo. Para obtener más información, consulte Administrar derechos.