Controlo de acesso e autenticação
Este artigo apresenta a autenticação e o controle de acesso no Azure Databricks. Para obter informações sobre como proteger o acesso aos seus dados, consulte Governança de dados com o Unity Catalog.
Logon único usando o Microsoft Entra ID
O logon único na forma de logon apoiado por ID do Microsoft Entra está disponível na conta e nos espaços de trabalho do Azure Databricks por padrão. Você usa o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho. Você pode habilitar a autenticação multifator por meio do Microsoft Entra ID.
O Azure Databricks também dá suporte ao acesso condicional do Microsoft Entra ID, que permite que os administradores controlem onde e quando os usuários têm permissão para entrar no Azure Databricks. Consulte Acesso condicional.
Sincronizar utilizadores e grupos a partir do Microsoft Entra ID
Você pode sincronizar usuários e grupos automaticamente da ID do Microsoft Entra com sua conta do Azure Databricks usando o SCIM. O SCIM é um padrão aberto que permite automatizar o provisionamento de usuários. O SCIM permite um processo consistente de integração e desembarque. Ele usa a ID do Microsoft Entra para criar usuários e grupos no Azure Databricks e dar-lhes o nível adequado de acesso. Quando um usuário sai da sua organização ou não precisa mais acessar o Azure Databricks, os administradores podem encerrar o usuário na ID do Microsoft Entra e a conta desse usuário também é removida do Azure Databricks. Isso impede que usuários não autorizados acessem dados confidenciais. Para obter mais informações, consulte Sincronizar usuários e grupos do Microsoft Entra ID.
Para obter mais informações sobre como configurar melhor usuários e grupos no Azure Databricks, consulte Práticas recomendadas de identidade.
Autenticação de API segura com OAuth
O Azure Databricks OAuth dá suporte a credenciais seguras e acesso para recursos e operações no nível do espaço de trabalho do Azure Databricks e dá suporte a permissões refinadas para autorização.
O Databricks também suporta tokens de acesso pessoal (PATs), mas recomenda que você use OAuth. Para monitorar e gerenciar PATs, consulte Monitorar e revogar tokens de acesso pessoal e Gerenciar permissões de token de acesso pessoal.
Para obter mais informações sobre a autenticação na automação geral do Azure Databricks, consulte Autenticar o acesso aos recursos do Azure Databricks.
Visão geral do controle de acesso
No Azure Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso governa qual tipo de objeto protegível.
| Objeto protegível | Sistema de controlo de acessos |
|---|---|
| Objetos protegíveis no nível do espaço de trabalho | Listas de controlo de acesso |
| Objetos protegíveis no nível da conta | Controle de acesso baseado na função da conta |
| Objetos protegíveis de dados | Catálogo do Unity |
O Azure Databricks também fornece funções e direitos de administrador que são atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre como proteger dados, consulte Governança de dados com o Unity Catalog.
Listas de controlo de acesso
No Azure Databricks, você pode usar listas de controle de acesso (ACLs) para configurar a permissão para acessar objetos de espaço de trabalho, como blocos de anotações e SQL Warehouses. Todos os usuários administradores do espaço de trabalho podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
Controle de acesso baseado na função da conta
Você pode usar o controle de acesso baseado em função de conta para configurar a permissão para usar objetos no nível da conta, como entidades de serviço e grupos. As funções da conta são definidas uma vez, na sua conta, e aplicam-se a todos os espaços de trabalho. Todos os usuários administradores de conta podem gerenciar funções de conta, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidade de serviço.
Siga estes artigos para obter mais informações sobre funções de conta em objetos específicos no nível da conta:
Funções de administrador e direitos de espaço de trabalho
Há dois níveis principais de privilégios de administrador disponíveis na plataforma Azure Databricks:
Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo Unity e o gerenciamento de usuários.
Administradores de espaço de trabalho: gerencie identidades de espaço de trabalho, controle de acesso, configurações e recursos para espaços de trabalho individuais na conta.
Há também funções de administrador específicas de recursos com um conjunto mais restrito de privilégios. Para saber mais sobre as funções disponíveis, consulte Introdução à administração do Azure Databricks.
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o Azure Databricks de uma maneira especificada. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível do espaço de trabalho. Para obter mais informações, consulte Gerenciar direitos.