共用方式為


驗證和存取控制

本文介紹 Azure Databricks 中的驗證和存取控制。 如需保護資料存取權的相關信息,請參閱 使用 Unity 目錄進行資料控管。

使用 Microsoft Entra 識別碼的單一登錄

根據預設,Azure Databricks 帳戶和工作區會以 Microsoft Entra ID 支援的登入形式提供單一登入。 您會針對帳戶控制台和工作區使用 Microsoft Entra ID 單一登入。 您可以透過 Microsoft Entra ID 來啟用多重要素驗證。

Azure Databricks 亦支援 Microsoft Entra ID 條件式存取,以讓管理員控制使用者可於何處與何時登入 Azure Databricks。 請參閱條件式存取

從 Microsoft Entra 識別碼同步使用者和群組

您可以使用 SCIM,將使用者和群組從 Microsoft Entra ID 自動同步至 Azure Databricks 帳戶。 SCIM 是開放標準,可讓您將使用者布建自動化。 SCIM 可啟用一致的上線和下線程式。 它會使用 Microsoft Entra ID 在 Azure Databricks 中建立使用者和群組,並給予他們適當的存取層級。 當使用者離開 貴組織或不再需要存取 Azure Databricks 時,系統管理員可以在 Microsoft Entra ID 中終止使用者,而且該使用者帳戶也會從 Azure Databricks 中移除。 這可防止未經授權的使用者存取敏感數據。 如需詳細資訊,請參閱同步處理來自 Microsoft Entra ID 的使用者和群組

如需有關如何在 Azure Databricks 中設定使用者和群組的詳細資訊,請參閱 身分識別最佳做法

使用 OAuth 保護 API 驗證

Azure Databricks OAuth 支援 Azure Databricks 工作區層級資源與作業的安全認證和存取權,並支援授權的微調權限。

Databricks 也支援個人存取權杖(PAT),但建議您改用 OAuth。 若要監視和管理 PAT,請參閱 監視和撤銷個人存取令牌管理個人存取令牌許可權

如需整體向 Azure Databricks 自動化進行驗證的詳細資訊,請參閱驗證 Azure Databricks 資源的存取權。

存取控制概觀

在 Azure Databricks 中,不同的安全物件有不同的存取控制系統。 下表顯示哪些存取控制系統會控管哪種類型的安全物件。

安全物件 存取控制系統
工作區層級安全物件 存取控制清單
帳戶層級安全物件 帳戶角色型存取控制
資料安全物件 Unity 目錄

Azure Databricks 也提供直接指派給使用者、服務主體和群組的系統管理員角色和權利。

如需保護資料的資訊,請參閱 使用 Unity 目錄進行資料控管。

存取控制清單

在 Azure Databricks 中,您可以使用存取控制清單 (ACL) 來設定存取工作區物件 (例如 notebook 和 SQL 資料倉儲) 的權限。 所有工作區系統管理員使用者均可管理存取控制清單,因為已獲得委派權限來管理存取控制清單的使用者。 如需有關存取控制清單的詳細資訊,請參閱存取控制清單

帳戶角色型存取控制

您可以使用帳戶角色型存取控制來設定權限,以使用帳戶層級物件,例如服務主體和群組。 帳戶角色會在您的帳戶中定義一次,並套用至所有工作區。 所有帳戶管理員使用者均可管理帳戶角色,因為已獲得委派權限來管理帳戶角色的使用者,例如群組管理員和服務主體管理員。

請遵循下列文章,以取得特定帳戶層級物件帳戶角色的詳細資訊:

系統管理員角色和工作區權利

Azure Databricks 平台上有兩個主要層級的系統管理員權限:

  • 帳戶管理員:管理 Azure Databricks 帳戶,包括啟用 Unity 目錄和使用者管理。

  • 工作區系統管理員:管理帳戶中個別工作區的工作區身分識別、存取控制、設定和功能。

也有功能特定的系統管理員角色,具有較窄的許可權集。 若要瞭解可用的角色,請參閱 Azure Databricks 管理簡介

權利是一種屬性,可讓使用者、服務主體或群組以指定的方式與 Azure Databricks 互動。 工作區系統管理員會將權利指派給工作區層級的使用者、服務主體和群組。 如需詳細資訊,請參閱管理權利