Autentisering och åtkomstproblem
Den här artikeln beskriver autentisering och åtkomstkontroll i Azure Databricks. Information om hur du skyddar åtkomsten till dina data finns i Datastyrning med Unity Catalog.
Enkel inloggning med Microsoft Entra-ID
Enkel inloggning i form av Microsoft Entra ID-säkerhetskopierad inloggning är som standard tillgängligt i Azure Databricks-konto och arbetsytor. Du använder enkel inloggning med Microsoft Entra-ID för både kontokonsolen och arbetsytor. Du kan aktivera multifaktorautentisering via Microsoft Entra-ID.
Azure Databricks stöder även villkorsstyrd åtkomst för Microsoft Entra-ID, vilket gör att administratörer kan styra var och när användare tillåts logga in på Azure Databricks. Se Villkorsstyrd åtkomst.
Synkronisera användare och grupper från Microsoft Entra-ID
Du kan synkronisera användare och grupper automatiskt från Microsoft Entra ID till ditt Azure Databricks-konto med hjälp av SCIM. SCIM är en öppen standard som gör att du kan automatisera användaretablering. SCIM möjliggör en konsekvent registrering och offboarding-process. Den använder Microsoft Entra-ID för att skapa användare och grupper i Azure Databricks och ge dem rätt åtkomstnivå. När en användare lämnar organisationen eller inte längre behöver åtkomst till Azure Databricks kan administratörer ta bort användaren från Microsoft Entra-ID och den användaren inaktiveras i Azure Databricks. Detta hindrar obehöriga användare från att komma åt känsliga data. Mer information finns i Synkronisera användare och grupper från Microsoft Entra-ID med SCIM.
Mer information om hur du konfigurerar användare och grupper i Azure Databricks finns i Metodtips för identiteter.
Säker API-autentisering med OAuth
Azure Databricks OAuth stöder säkra autentiseringsuppgifter och åtkomst för resurser och åtgärder på Azure Databricks-arbetsytans nivå och har stöd för detaljerade behörigheter för auktorisering.
Databricks stöder även personliga åtkomsttoken (PAT), men rekommenderar att du använder OAuth i stället. Information om hur du övervakar och hanterar PAT:er finns i Övervaka och återkalla personliga åtkomsttoken och Hantera behörigheter för personlig åtkomsttoken.
För mer information om autentisering till Azure Databricks automatisering, se Auktorisera åtkomst till Azure Databricks-resurser.
Översikt över åtkomstkontroll
I Azure Databricks finns det olika åtkomstkontrollsystem för olika skyddsbara objekt. Tabellen nedan visar vilket åtkomstkontrollsystem som styr vilken typ av skyddsbart objekt.
| Skyddsbart objekt | Åtkomstkontrollsystem |
|---|---|
| Skyddsbara objekt på arbetsytenivå | Listor för åtkomstkontroll |
| Skyddsbara objekt på kontonivå | Kontorollbaserad åtkomstkontroll |
| Data som kan skyddas | Unity-katalog |
Azure Databricks tillhandahåller även administratörsroller och rättigheter som tilldelas direkt till användare, tjänstens huvudnamn och grupper.
Information om hur du skyddar data finns i Datastyrning med Unity Catalog.
Listor för åtkomstkontroll
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt arbetsyteobjekt som notebook-filer och SQL Warehouses. Alla arbetsyteadministratörsanvändare kan hantera åtkomstkontrollistor, liksom användare som har fått delegerade behörigheter för att hantera åtkomstkontrollistor. Mer information om åtkomstkontrollistor finns i Åtkomstkontrollistor.
Kontorollbaserad åtkomstkontroll
Du kan använda kontorollbaserad åtkomstkontroll för att konfigurera behörighet att använda objekt på kontonivå, till exempel tjänstens huvudnamn och grupper. Kontoroller definieras en gång, i ditt konto och tillämpas på alla arbetsytor. Alla kontoadministratörsanvändare kan hantera kontoroller, liksom användare som har fått delegerade behörigheter för att hantera dem, till exempel gruppchefer och cheferna för tjänstens huvudnamn.
Följ de här artiklarna om du vill ha mer information om kontoroller för specifika objekt på kontonivå:
Administratörsroller och arbetsyterättigheter
Det finns två huvudsakliga nivåer av administratörsbehörigheter tillgängliga på Azure Databricks-plattformen:
Kontoadministratörer: Hantera Azure Databricks-kontot, inklusive aktivering av Unity Catalog och användarhantering.
Arbetsyteadministratörer: Hantera arbetsyteidentiteter, åtkomstkontroll, inställningar och funktioner för enskilda arbetsytor i kontot.
Det finns också funktionsspecifika administratörsroller med en smalare uppsättning privilegier. Mer information om tillgängliga roller finns i Introduktion till Azure Databricks-administration.
En rättighet är en egenskap som gör att en användare, tjänstens huvudnamn eller grupp kan interagera med Azure Databricks på ett angivet sätt. Arbetsyteadministratörer tilldelar rättigheter till användare, tjänstens huvudnamn och grupper på arbetsytans nivå. Mer information finns i Hantera berättiganden.