Autenticação e controle de acesso
Este artigo apresenta a autenticação e o controle de acesso no Azure Databricks. Para obter informações sobre como proteger o acesso aos dados, consulte Guia de governança com o Catálogo do Unity.
Logon único usando a ID do Microsoft Entra
O logon único na forma de logon com suporte do Microsoft Entra ID está disponível na conta e nos workspaces do Azure Databricks por padrão. Use o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho. Você pode habilitar a autenticação multifator por meio do Microsoft Entra ID.
O Azure Databricks também é compatível com o acesso condicional do Microsoft Entra ID, que permite aos administradores controlar onde e quando os usuários têm permissão para entrar no Azure Databricks. Confira Acesso condicional.
Sincronizar usuários e grupos da ID do Microsoft Entra
Você pode sincronizar usuários e grupos automaticamente da ID do Microsoft Entra com sua conta do Azure Databricks usando o SCIM. O SCIM é um padrão aberto que permite automatizar o provisionamento de usuários. O SCIM permite um processo consistente de integração e desligamento. Ele usa a ID do Microsoft Entra para criar usuários e grupos no Azure Databricks e fornecer a eles o nível adequado de acesso. Quando um usuário deixa sua organização ou não precisa mais de acesso ao Azure Databricks, os administradores podem remover o usuário no Microsoft Entra ID. A conta desse usuário também será removida do Azure Databricks. Isso impede que usuários não autorizados acessem dados confidenciais. Para obter mais informações, confira Sincronizar usuários e grupos do Microsoft Entra ID.
Para obter mais informações sobre como configurar melhor usuários e grupos no Azure Databricks, consulte Práticas recomendadas de identidade.
Autenticação de API segura com OAuth
O OAuth do Azure Databricks oferece suporte a credenciais seguras e acesso a recursos e operações no nível do workspace do Azure Databricks, além de suporte a permissões refinadas para autorização.
O Databricks também oferece suporte a PATs (tokens de acesso pessoais), mas recomenda que você use o OAuth. Para monitorar e gerenciar PATs, consulte Monitorar e revogar tokens de acesso pessoal e Gerenciar permissões de token de acesso pessoal.
Para obter mais informações sobre como autenticar na automação do Azure Databricks de forma geral, consulte Autenticar o acesso a recursos do Azure Databricks.
Visão geral do controle de acesso
No Azure Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegível.
| Objeto protegível | Sistema de controle de acesso |
|---|---|
| Objetos protegíveis no nível do espaço de trabalho | Listas de controle de acesso |
| Objetos protegíveis no nível da conta | Controle de acesso baseado na função da conta |
| Objetos protegíveis por dados | Catálogo do Unity |
O Azure Databricks também fornece funções e direitos de administrador que são atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre como proteger seus dados, consulte Governança de dados com o Catálogo do Unity.
Listas de controle de acesso
No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos de workspace, como notebooks e SQL Warehouses. Todos os usuários administradores do workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
Controle de acesso baseado na função da conta
É possível usar o controle de acesso baseado na função da conta para configurar a permissão de uso de objetos no nível da conta, como entidades e grupos de serviço. As funções de conta são definidas uma vez, em sua conta e se aplicam em todos os espaços de trabalho. Todos os usuários administradores de conta podem gerenciar funções de conta, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes principais de serviço.
Siga estes artigos para obter mais informações sobre funções de conta em objetos específicos no nível da conta:
Funções de administrador e direitos de workspace
Há dois níveis principais de privilégios de administrador disponíveis na plataforma do Azure Databricks:
Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo do Unity e o gerenciamento de usuários.
Administradores de workspace: gerencie identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.
Há também funções de administrador específicas de recursos com um conjunto mais restrito de privilégios. Para saber mais sobre as funções disponíveis, confira Introdução à administração do Azure Databricks.
Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível do espaço de trabalho. Para obter mais informações, confira Gerenciar direitos.