Condividi tramite


Autenticazione e controllo di accesso

Questo articolo presenta l'autenticazione e il controllo di accesso in Azure Databricks. Per informazioni sulla protezione dell'accesso ai dati, vedere Governance dei dati con Unity Catalog.

Single Sign-On con Microsoft Entra ID

Il Single Sign-On sotto forma di accesso supportato da Microsoft Entra ID è disponibile per impostazione predefinita nell'account e nelle aree di lavoro di Azure Databricks. Si usa l'accesso Single Sign-On di Microsoft Entra ID sia per la console dell'account che per le aree di lavoro. Per gli utenti di Microsoft Entra ID, è possibile abilitare la Multi-Factor Authentication.

Azure Databricks supporta l'accesso condizionale di Microsoft Entra ID che consente agli amministratori di controllare dove e quando gli utenti sono autorizzati ad accedere ad Azure Databricks. Vedere Accesso condizionale.

Sincronizzare utenti e gruppi da Microsoft Entra ID

È possibile sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID all'account Azure Databricks usando SCIM. SCIM è uno standard aperto che consente di automatizzare il provisioning utenti. SCIM consente un processo di onboarding e offboarding coerente. Usa Microsoft Entra ID per creare utenti e gruppi in Azure Databricks e concedere loro il livello di accesso appropriato. Quando un utente lascia l'organizzazione o non ha più bisogno dell'accesso ad Azure Databricks, gli amministratori possono terminare l'utente in Microsoft Entra ID e l'account dell'utente viene rimosso anche da Azure Databricks. Ciò impedisce agli utenti non autorizzati di accedere ai dati sensibili. Per altre informazioni, vedere Sincronizzare utenti e gruppi in Microsoft Entra ID.

Per altre informazioni su come configurare al meglio utenti e gruppi in Azure Databricks, vedere Procedure consigliate per l'identità.

Proteggere l'autenticazione API con OAuth

Azure Databricks OAuth supporta credenziali e accesso sicuri per le risorse e le operazioni a livello di area di lavoro di Azure Databricks e autorizzazioni specifiche per l'autorizzazione.

Databricks supporta anche token di accesso personali (PAT), ma consiglia di usare OAuth. Per monitorare e gestire i token di accesso personale, vedere Monitorare e revocare i token di accesso personale e Gestire le autorizzazioni dei token di accesso personale.

Per altre informazioni sull'autenticazione all'automazione di Azure Databricks in generale, vedere Autenticare l'accesso alle risorse di Azure Databricks.

Panoramica del controllo di accesso

In Azure Databricks sono disponibili diversi sistemi di controllo di accesso per oggetti a protezione diretta diversi. La tabella seguente illustra quale sistema di controllo di accesso regola quale tipo di oggetto a protezione diretta.

Oggetto a protezione diretta Sistemi di controllo di accesso
Oggetti a protezione diretta a livello di area di lavoro Elenchi di controllo di accesso
Oggetti a protezione diretta a livello di account Controllo dell'accesso basato sul ruolo dell'account
Oggetti a protezione diretta con i dati Catalogo Unity

Azure Databricks fornisce anche ruoli di amministratore ed entitlement assegnati direttamente a utenti, entità servizio e gruppi.

Per informazioni sulla protezione dei dati, vedere Governance dei dati con Unity Catalog.

Elenchi di controllo di accesso

In Azure Databricks, è possibile usare elenchi di controllo di accesso (ACL) per configurare l'autorizzazione di accesso a oggetti a livello di area di lavoro come notebook ed SQL. Tutti gli utenti amministratore dell'area di lavoro possono gestire gli elenchi di controllo di accesso, così come gli utenti a cui sono state concesse autorizzazioni delegate per gestire tali elenchi. Per altre informazioni sugli elenchi di controllo di accesso, vedere Gestire gli elenchi di accesso.

Controllo dell'accesso basato sul ruolo dell'account

È possibile usare il controllo di accesso in base al ruolo dell'account per configurare l'autorizzazione per l'uso di oggetti a livello di account, ad esempio entità servizio e gruppi. I ruoli dell'account vengono definiti una sola volta, nell'account, e si applicano a tutte le aree di lavoro. Tutti gli utenti amministratori dell'account possono gestire i ruoli dell'account, così come gli utenti a cui sono stati delegati i permessi di gestione, come i manager dei gruppi e i manager delle entità servizio.

Per altre informazioni sui ruoli dell'account su oggetti specifici a livello di account, consultare questi articoli:

Ruoli di amministratore e diritti dell'area di lavoro

Nella piattaforma Azure Databricks sono disponibili due livelli principali di privilegi di amministratore:

  • Amministratori account: gestire l'account Azure Databricks, inclusa l'abilitazione di Unity Catalog e la gestione degli utenti.

  • Amministratore dell'area di lavoro: gestisce le identità dell'area di lavoro, il controllo di accesso, le impostazioni e le caratteristiche per le singole aree di lavoro nell'account.

Esistono anche ruoli di amministratore specifici delle funzionalità con un set di privilegi più ristretto. Per informazioni sui ruoli disponibili, vedere Introduzione all'amministrazione di Azure Databricks.

Un entitlement è una proprietà che consente a un utente, a un'entità servizio o a un gruppo di interagire con Azure Databricks in un modo specifico. Gli amministratori dell'area di lavoro assegnano diritti a utenti, entità servizio e gruppi a livello di area di lavoro. Per altre informazioni, vedere Gestione dell'entitlement.