Verificatie en toegangsbeheer
In dit artikel maakt u kennis met verificatie en toegangsbeheer in Azure Databricks. Zie Gegevensbeheer met Unity Catalogvoor informatie over het beveiligen van de toegang tot uw gegevens.
Eenmalige aanmelding met Microsoft Entra-id
Eenmalige aanmelding in de vorm van door Microsoft Entra ID ondersteunde aanmelding is standaard beschikbaar in het Azure Databricks-account en werkruimten. U gebruikt eenmalige aanmelding van Microsoft Entra ID voor zowel de accountconsole als werkruimten. U kunt meervoudige verificatie inschakelen via Microsoft Entra-id.
Azure Databricks biedt ook ondersteuning voor voorwaardelijke toegang tot Microsoft Entra ID, waarmee beheerders kunnen bepalen waar en wanneer gebruikers zich mogen aanmelden bij Azure Databricks. Zie Voorwaardelijke toegang.
gebruikers en groepen synchroniseren vanuit Microsoft Entra-id
U kunt gebruikers en groepen automatisch synchroniseren van Microsoft Entra ID naar uw Azure Databricks-account met behulp van SCIM. SCIM is een open standaard waarmee u het inrichten van gebruikers kunt automatiseren. SCIM maakt een consistent onboarding- en offboardingproces mogelijk. Microsoft Entra ID wordt gebruikt om gebruikers en groepen te maken in Azure Databricks en hen het juiste toegangsniveau te geven. Wanneer een gebruiker uw organisatie verlaat of geen toegang meer nodig heeft tot Azure Databricks, kunnen beheerders de gebruiker verwijderen uit Microsoft Entra-id en die gebruiker wordt gedeactiveerd in Azure Databricks. Dit voorkomt dat onbevoegde gebruikers toegang hebben tot gevoelige gegevens. Zie Gebruikers en groepen van Microsoft Entra-id synchroniseren met behulp van SCIMvoor meer informatie.
Zie best practices voor identiteiten voor meer informatie over het configureren van gebruikers en groepen in Azure Databricks.
API-verificatie beveiligen met OAuth
Azure Databricks OAuth biedt ondersteuning voor beveiligde referenties en toegang voor resources en bewerkingen op het niveau van de Azure Databricks-werkruimte en biedt ondersteuning voor verfijnde machtigingen voor autorisatie.
Databricks ondersteunt ook persoonlijke toegangstokens (PAT's), maar raadt u aan OAuth te gebruiken. Om persoonlijke toegangstokens te bewaken en te beheren, zie Monitoren en intrekken van persoonlijke toegangstokens en Beheer van persoonlijke toegangstokens.
Voor meer informatie over de authenticatie voor Azure Databricks-automatisering in het algemeen, zie Autorisatie van toegang tot Azure Databricks-resources.
Overzicht van toegangsbeheer
In Azure Databricks zijn er verschillende toegangscontrolesystemen voor verschillende beveiligbare objecten. In de onderstaande tabel ziet u welk toegangsbeheersysteem bepaalt welk type beveiligbaar object.
| Beveiligbaar object | Toegangsbeheersysteem |
|---|---|
| Beveiligbare objecten op werkruimteniveau | Toegangsbeheerlijsten |
| Beveiligbare objecten op accountniveau | Toegangsbeheer op basis van accountrollen |
| Beveiligbare gegevensobjecten | Unity Catalog |
Azure Databricks biedt ook beheerdersrollen en -rechten die rechtstreeks worden toegewezen aan gebruikers, service-principals en groepen.
Zie Gegevensbeheer met Unity Catalogvoor informatie over het beveiligen van gegevens.
Toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot werkruimteobjecten, zoals notebooks en SQL Warehouses. Alle gebruikers van werkruimtebeheerders kunnen toegangsbeheerlijsten beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen voor het beheren van toegangsbeheerlijsten. Zie Toegangsbeheerlijsten voor meer informatie over toegangsbeheerlijsten.
Toegangsbeheer op basis van accountrollen
U kunt op accountrollen gebaseerd toegangsbeheer gebruiken om machtigingen te configureren voor het gebruik van objecten op accountniveau, zoals service-principals en groepen. Accountrollen worden eenmaal gedefinieerd, in uw account en zijn van toepassing op alle werkruimten. Alle gebruikers van accountbeheerders kunnen accountrollen beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen om ze te beheren, zoals groepsbeheerders en service-principalmanagers.
Volg deze artikelen voor meer informatie over accountrollen voor specifieke objecten op accountniveau:
- Rollen voor het beheren van service-principals
- Rollen in een groep beheren met behulp van de accountconsole
Beheerdersrollen en werkruimterechten
Er zijn twee hoofdniveaus met beheerdersbevoegdheden beschikbaar op het Azure Databricks-platform:
Accountbeheerders: beheer het Azure Databricks-account, waaronder het inschakelen van Unity Catalog en gebruikersbeheer.
Werkruimtebeheerders: werkruimte-id's, toegangsbeheer, instellingen en functies voor afzonderlijke werkruimten in het account beheren.
Er zijn ook functiespecifieke beheerdersrollen met een beperktere set bevoegdheden. Zie de inleiding tot Azure Databricks-beheer voor meer informatie over de beschikbare rollen.
Een recht is een eigenschap waarmee een gebruiker, service-principal of groep op een opgegeven manier kan communiceren met Azure Databricks. Werkruimtebeheerders wijzen rechten toe aan gebruikers, service-principals en groepen op werkruimteniveau. Zie Rechten beheren voor meer informatie.