Проверка подлинности и управление доступом
В этой статье описывается проверка подлинности и управление доступом в Azure Databricks. См. раздел управления данными с Unity для получения информации о защите доступа к данным Catalog.
Единый вход с помощью идентификатора Microsoft Entra
Единый вход в форму входа с идентификатором Microsoft Entra доступен в учетной записи Azure Databricks и рабочих областях по умолчанию. Для консоли учетной записи и рабочих областей используется единый вход Microsoft Entra ID. Многофакторную проверку подлинности можно включить с помощью идентификатора Microsoft Entra.
Azure Databricks также поддерживает условный доступ Microsoft Entra ID, который позволяет администраторам управлять where и когда пользователям разрешено войти в Azure Databricks. См. раздел Условный доступ.
Sync пользователей и групп из Microsoft Entra ID
Вы можете автоматически sync пользователей и групп из идентификатора Microsoft Entra в учетную запись Azure Databricks с помощью SCIM. SCIM — это открытый стандарт, позволяющий автоматизировать подготовку пользователей. SCIM обеспечивает согласованный процесс подключения и отключения. Он использует идентификатор Microsoft Entra для создания пользователей и групп в Azure Databricks и предоставления им соответствующего уровня доступа. Когда пользователь покидает вашу организацию или больше не нуждается в доступе к Azure Databricks, администраторы могут remove пользователя из идентификатора Microsoft Entra, и этот пользователь деактивирован в Azure Databricks. Это предотвращает доступ несанкционированных пользователей к конфиденциальным данным. Для получения дополнительной информации см. раздел Sync о пользователях и группах в Microsoft Entra ID.
Дополнительные сведения о настройке пользователей и групп в Azure Databricks см . в рекомендациях по настройке удостоверений.
Безопасная проверка подлинности API с помощью OAuth
Azure Databricks OAuth поддерживает безопасные credentials и доступ к ресурсам и операциям на уровне рабочей области Azure Databricks и поддерживает подробные разрешения для авторизации.
Databricks также поддерживает личные маркеры доступа (PATs), но рекомендует вместо этого использовать OAuth. См. для мониторинга и revoke для управления личными маркерами доступа и для управления разрешениями на личные маркеры доступа.
Дополнительные сведения об аутентификации в службе автоматизации Azure Databricks см. в статье "Проверка подлинности" к ресурсам Azure Databricks.
Обзор управления доступом
В Azure Databricks существуют различные системы управления доступом для различных защищаемых объектов. В table ниже показано, какая система управления доступом управляет типом защищаемого объекта.
| Защищаемый объект | Система управления доступом |
|---|---|
| Защищаемые объекты уровня рабочей области | Доступ к спискам управления |
| Защищаемые объекты на уровне учетной записи | Управление доступом на основе ролей учетной записи |
| Защищаемые объекты данных | Unity Catalog |
Azure Databricks также предоставляет роли администратора и права, которые назначаются непосредственно пользователям, субъектам-службам и группам.
Сведения о защите данных см. в разделе Управление данными с помощью CatalogUnity.
Доступ к спискам управления
В Azure Databricks можно использовать списки управления доступом (ACL), чтобы настроить разрешение на доступ к объектам рабочей области, таким как записные книжки и хранилища SQL. Все пользователи администраторов рабочей области могут управлять списками управления доступом, так как пользователи, которым были предоставлены делегированные разрешения для управления списками управления доступом. Дополнительные сведения о списках управления доступом см . в списках управления доступом.
Управление доступом на основе ролей учетной записи
С помощью управления доступом на основе ролей учетной записи можно настроить разрешение на использование объектов уровня учетной записи, таких как субъекты-службы и группы. Роли учетной записи определяются один раз в учетной записи и применяются ко всем рабочим областям. Все пользователи администратора учетных записей могут управлять ролями учетной записи, так как пользователи, которым были предоставлены делегированные разрешения на управление ими, например руководители групп и руководители субъектов-служб.
Дополнительные сведения о ролях учетных записей в определенных объектах уровня учетной записи см. в следующих статьях:
Роли администратора и права рабочей области
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
Администраторы учетных записей: управляйте учетной записью Azure Databricks, включая активацию Unity Catalog и управление пользователями.
Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.
Существуют также роли администратора с более узкими set привилегий. Чтобы узнать о доступных ролях, ознакомьтесь с введением в администрирование Azure Databricks.
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Администраторы рабочей области назначают права пользователям, субъектам-службам и группам на уровне рабочей области. Дополнительные сведения см. в разделе "Управление правами".