Uwierzytelnianie i kontrola dostępu
W tym artykule przedstawiono uwierzytelnianie i kontrolę dostępu w usłudze Azure Databricks. Aby uzyskać informacje na temat zabezpieczania dostępu do danych, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.
Logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID
Logowanie jednokrotne w postaci logowania opartego na identyfikatorze Entra firmy Microsoft jest domyślnie dostępne na koncie usługi Azure Databricks i obszarach roboczych. Używasz logowania jednokrotnego Microsoft Entra ID dla konsoli konta i obszarów roboczych. Uwierzytelnianie wieloskładnikowe można włączyć za pomocą identyfikatora Entra firmy Microsoft.
Usługa Azure Databricks obsługuje również dostęp warunkowy identyfikatora Entra firmy Microsoft, który umożliwia administratorom kontrolowanie, gdzie i kiedy użytkownicy mogą logować się do usługi Azure Databricks. Zobacz Dostęp warunkowy.
Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft
Możesz automatycznie synchronizować użytkowników i grupy z identyfikatora Entra firmy Microsoft z kontem usługi Azure Databricks przy użyciu rozwiązania SCIM. SCIM to otwarty standard, który umożliwia automatyzację aprowizacji użytkowników. Protokół SCIM umożliwia spójny proces dołączania i odłączania. Używa identyfikatora Entra firmy Microsoft do tworzenia użytkowników i grup w usłudze Azure Databricks i nadawania im odpowiedniego poziomu dostępu. Gdy użytkownik opuści organizację lub nie potrzebuje już dostępu do usługi Azure Databricks, administratorzy mogą zakończyć użytkownika w identyfikatorze Entra firmy Microsoft, a konto tego użytkownika zostanie również usunięte z usługi Azure Databricks. Uniemożliwia to nieautoryzowanym użytkownikom dostęp do poufnych danych. Aby uzyskać więcej informacji, zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.
Aby uzyskać więcej informacji na temat najlepszego konfigurowania użytkowników i grup w usłudze Azure Databricks, zobacz Najlepsze rozwiązania dotyczące tożsamości.
Bezpieczne uwierzytelnianie interfejsu API za pomocą protokołu OAuth
Usługa Azure Databricks OAuth obsługuje bezpieczne poświadczenia i dostęp do zasobów i operacji na poziomie obszaru roboczego usługi Azure Databricks oraz obsługuje szczegółowe uprawnienia do autoryzacji.
Usługa Databricks obsługuje również osobiste tokeny dostępu (PAT), ale zaleca użycie protokołu OAuth. Aby monitorować usługi PAT i zarządzać nimi, zobacz Monitorowanie i odwoływanie osobistych tokenów dostępu oraz Zarządzanie uprawnieniami osobistego tokenu dostępu.
Aby uzyskać więcej informacji na temat uwierzytelniania w automatyzacji usługi Azure Databricks, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Databricks.
Omówienie kontroli dostępu
W usłudze Azure Databricks istnieją różne systemy kontroli dostępu dla różnych zabezpieczanych obiektów. W poniższej tabeli przedstawiono, który system kontroli dostępu zarządza typem zabezpieczanego obiektu.
| Zabezpieczany obiekt | system kontroli dostępu; |
|---|---|
| Zabezpieczane obiekty na poziomie obszaru roboczego | Listy kontroli dostępu |
| Zabezpieczane obiekty na poziomie konta | Kontrola dostępu oparta na rolach konta |
| Zabezpieczane obiekty danych | Unity Catalog |
Usługa Azure Databricks udostępnia również role administratora i uprawnienia przypisane bezpośrednio do użytkowników, jednostek usługi i grup.
Aby uzyskać informacje na temat zabezpieczania danych, zobacz Zarządzanie danymi za pomocą wykazu aparatu Unity.
Listy kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów obszaru roboczego, takich jak notesy i usługi SQL Warehouse. Wszyscy użytkownicy administratorzy obszaru roboczego mogą zarządzać listami kontroli dostępu, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania listami kontroli dostępu. Aby uzyskać więcej informacji na temat list kontroli dostępu, zobacz Listy kontroli dostępu.
Kontrola dostępu oparta na rolach konta
Możesz użyć kontroli dostępu opartej na rolach konta, aby skonfigurować uprawnienia do używania obiektów na poziomie konta, takich jak jednostki usługi i grupy. Role konta są definiowane raz na koncie i stosowane we wszystkich obszarach roboczych. Wszyscy użytkownicy administracyjni konta mogą zarządzać rolami konta, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania nimi, takimi jak menedżerowie grup i menedżerowie jednostki usługi.
Postępuj zgodnie z następującymi artykułami, aby uzyskać więcej informacji na temat ról kont dla określonych obiektów na poziomie konta:
Role administratora i uprawnienia obszaru roboczego
Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:
Administratorzy konta: zarządzaj kontem usługi Azure Databricks, w tym włączaniem wykazu aparatu Unity i zarządzania użytkownikami.
Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Istnieją również role administratora specyficzne dla funkcji z węższym zestawem uprawnień. Aby dowiedzieć się więcej o dostępnych rolach, zobacz Wprowadzenie do administrowania usługą Azure Databricks.
Uprawnienie to właściwość, która umożliwia użytkownikowi, jednostce usługi lub grupie interakcję z usługą Azure Databricks w określony sposób. Administratorzy obszaru roboczego przypisują uprawnienia użytkownikom, jednostkom usługi i grupom na poziomie obszaru roboczego. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami.