身份验证和访问控制
本文介绍了 Azure Databricks 中的身份验证和访问控制。 有关保护对数据的访问的信息,请参阅Unity Catalog 的数据治理。
使用 Microsoft Entra ID 进行单一登录
默认情况下,Azure Databricks 帐户和工作区中提供了 Microsoft Entra ID 支持的登录形式的单一登录。 对帐户控制台和工作区使用 Microsoft Entra ID 单一登录。 可以通过 Microsoft Entra ID 启用多重身份验证。
Azure Databricks 也支持 Microsoft Entra ID 条件访问,以便管理员能够控制用户何时何地能登录到 Azure Databricks。 请参阅条件访问。
从 Microsoft Entra ID 同步用户和组
可以使用 SCIM 将用户和组从 Microsoft Entra ID 自动同步到 Azure Databricks 帐户。 SCIM 是一种开放标准,可用于自动执行用户预配。 SCIM 可实现一致的载入和卸载过程。 它使用 Microsoft Entra ID 在 Azure Databricks 中创建用户和组,并为他们提供适当的访问权限级别。 如果用户离开组织或不再需要访问 Azure Databricks,管理员可在 Microsoft Entra ID 中终止该用户,该用户的帐户也将从 Azure Databricks 中删除。 这可以防止未经授权的用户访问敏感数据。 有关详细信息,请参阅从 Microsoft Entra ID 同步用户和组。
有关如何在 Azure Databricks 中最好地配置用户和组的详细信息,请参阅 标识最佳做法。
使用 OAuth 保护 API 身份验证
Azure Databricks OAuth 支持在 Azure Databricks 工作区级别保护资源和操作的凭据和访问,并支持授权的细化权限。
Databricks 还支持个人访问令牌 (PAT),但建议改用 OAuth。 若要监视和管理 PAT,请参阅 监视和管理个人访问令牌 以及 管理个人访问令牌权限。
有关对 Azure Databricks 自动化进行整体身份验证的详细信息,请参阅对 Azure Databricks 资源的访问进行身份验证。
访问控制概述
在 Azure Databricks 中,不同的安全对象有不同的访问控制系统。 下表显示了哪些访问控制系统控制哪种类型的安全对象。
安全对象 | 访问控制系统 |
---|---|
工作区级安全对象 | 访问控制列表 |
帐户级安全对象 | 基于帐户角色的访问控制 |
数据安全对象 | Unity Catalog |
Azure Databricks 还提供直接分配给用户、服务主体和组的管理员角色和权利。
有关保护数据的信息,请参阅通过 Unity Catalog 进行数据治理。
访问控制列表
在 Azure Databricks 中,你可以使用访问控制列表 (ACL) 来配置访问工作区对象(例如笔记本和 SQL 仓库)的权限。 所有工作区管理员用户都可以管理访问控制列表,被授予访问控制列表委托管理权限的用户也可以进行此类管理。 有关访问控制列表的详细信息,请参阅访问控制列表。
基于帐户角色的访问控制
可使用基于帐户角色的访问控制来配置使用帐户级对象(例如服务主体和组)的权限。 帐户角色在帐户中定义一次,然后跨所有工作区应用。 所有帐户管理员用户都可管理帐户角色,已被授予管理这些角色的委派权限的用户(例如组管理员和服务主体管理员)也可进行管理。
若要详细了解特定帐户级对象的帐户角色,请参阅以下文章:
管理员角色和工作区权利
Azure Databricks 平台上有两个主级别的管理员权限:
帐户管理员:管理 Azure Databricks 帐户,包括启用 Unity 目录和用户管理。
工作区管理员:管理帐户中各个工作区的工作区标识、访问控制、设置和功能。
还有一组更窄的权限特定于功能的管理员角色。 若要了解可用角色,请参阅 Azure Databricks 管理简介。
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 工作区管理员在工作区级别向用户、服务主体和组分配权利。 有关详细信息,请参阅管理权利。