Verificatie en toegangsbeheer
In dit artikel maakt u kennis met verificatie en toegangsbeheer in Azure Databricks. Zie Gegevensbeheer met Unity Catalog voor informatie over het beveiligen van de toegang tot uw gegevens.
Zie best practices voor identiteiten voor meer informatie over het configureren van gebruikers en groepen in Azure Databricks.
Eenmalige aanmelding
Eenmalige aanmelding in de vorm van door Microsoft Entra ID (voorheen Azure Active Directory) ondersteunde aanmelding is standaard beschikbaar in azure Databricks-account en werkruimten. U gebruikt eenmalige aanmelding van Microsoft Entra ID voor zowel de accountconsole als werkruimten. U kunt meervoudige verificatie inschakelen via Microsoft Entra-id.
Azure Databricks biedt ook ondersteuning voor voorwaardelijke toegang tot Microsoft Entra ID, waarmee beheerders kunnen bepalen waar en wanneer gebruikers zich mogen aanmelden bij Azure Databricks. Zie Voorwaardelijke toegang.
Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id met behulp van SCIM-inrichting
U kunt SCIM of System for Cross-domain Identity Management gebruiken, een open standaard waarmee u het inrichten van gebruikers kunt automatiseren, gebruikers en groepen automatisch kunt synchroniseren van Microsoft Entra ID naar uw Azure Databricks-account. SCIM stroomlijnt de onboarding van een nieuwe werknemer of een nieuw team met behulp van Microsoft Entra ID om gebruikers en groepen te maken in Azure Databricks en hen het juiste toegangsniveau te geven. Wanneer een gebruiker uw organisatie verlaat of geen toegang meer nodig heeft tot Azure Databricks, kunnen beheerders de gebruiker beƫindigen in Microsoft Entra-id en wordt het account van die gebruiker ook verwijderd uit Azure Databricks. Dit zorgt voor een consistent offboardingproces en voorkomt dat onbevoegde gebruikers toegang hebben tot gevoelige gegevens. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra ID voor meer informatie.
Beveiligde API-verificatie
Persoonlijke toegangstokens van Azure Databricks zijn een van de meest goed ondersteunde typen referenties voor resources en bewerkingen op het niveau van de Azure Databricks-werkruimte. Om API-verificatie te beveiligen, kunnen werkruimtebeheerders bepalen welke gebruikers, service-principals en groepen persoonlijke toegangstokens van Azure Databricks kunnen maken en gebruiken.
Zie Toegang tot Azure Databricks-automatisering beheren voor meer informatie.
Werkruimtebeheerders kunnen ook persoonlijke toegangstokens van Azure Databricks controleren, tokens verwijderen en de maximale levensduur van nieuwe tokens voor hun werkruimte instellen. Zie Persoonlijke toegangstokens bewaken en beheren.
Zie Verificatie voor Azure Databricks-automatisering - overzicht voor meer informatie over verificatie bij Azure Databricks-automatisering.
Overzicht van toegangsbeheer
In Azure Databricks zijn er verschillende toegangscontrolesystemen voor verschillende beveiligbare objecten. In de onderstaande tabel ziet u welk toegangsbeheersysteem bepaalt welk type beveiligbaar object.
| Beveiligbaar object | Toegangsbeheersysteem |
|---|---|
| Beveiligbare objecten op werkruimteniveau | Toegangsbeheerlijsten |
| Beveiligbare objecten op accountniveau | Toegangsbeheer op basis van accountrollen |
| Beveiligbare gegevensobjecten | Unity-catalogus |
Azure Databricks biedt ook beheerdersrollen en -rechten die rechtstreeks worden toegewezen aan gebruikers, service-principals en groepen.
Zie Gegevensbeheer met Unity Catalog voor informatie over het beveiligen van gegevens.
Toegangsbeheerlijsten
In Azure Databricks kunt u toegangsbeheerlijsten (ACL's) gebruiken om machtigingen te configureren voor toegang tot werkruimteobjecten, zoals notebooks en SQL Warehouses. Alle gebruikers van werkruimtebeheerders kunnen toegangsbeheerlijsten beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen voor het beheren van toegangsbeheerlijsten. Zie Toegangsbeheerlijsten voor meer informatie over toegangsbeheerlijsten.
Toegangsbeheer op basis van accountrollen
U kunt op accountrollen gebaseerd toegangsbeheer gebruiken om machtigingen te configureren voor het gebruik van objecten op accountniveau, zoals service-principals en groepen. Accountrollen worden eenmaal gedefinieerd, in uw account en zijn van toepassing op alle werkruimten. Alle gebruikers van accountbeheerders kunnen accountrollen beheren, net zoals gebruikers die gedelegeerde machtigingen hebben gekregen om ze te beheren, zoals groepsbeheerders en service-principalmanagers.
Volg deze artikelen voor meer informatie over accountrollen voor specifieke objecten op accountniveau:
- Rollen voor het beheren van service-principals
- Rollen in een groep beheren met behulp van de accountconsole
Databricks-beheerdersrollen
Naast toegangsbeheer voor beveiligbare objecten zijn er ingebouwde rollen op het Azure Databricks-platform. Gebruikers, service-principals en groepen kunnen rollen toewijzen.
Er zijn twee hoofdniveaus met beheerdersbevoegdheden beschikbaar op het Azure Databricks-platform:
Accountbeheerders: Beheer het Azure Databricks-account, waaronder het inschakelen van Unity Catalog, het inrichten van gebruikers en identiteitsbeheer op accountniveau.
Werkruimtebeheerders: werkruimte-id's, toegangsbeheer, instellingen en functies voor afzonderlijke werkruimten in het account beheren.
Daarnaast kunnen gebruikers deze functiespecifieke beheerdersrollen toewijzen, met beperktere sets bevoegdheden:
- Marketplace-beheerders: het Databricks Marketplace-providerprofiel van hun account beheren, waaronder het maken en beheren van Marketplace-vermeldingen.
- Metastore-beheerders: beheer bevoegdheden en eigendom voor alle beveiligbare objecten in een Unity Catalog-metastore, zoals wie catalogi kan maken of een query op een tabel kan uitvoeren.
Gebruikers kunnen ook worden toegewezen aan werkruimtegebruikers. Een werkruimtegebruiker heeft de mogelijkheid zich aan te melden bij een werkruimte, waar ze machtigingen op werkruimteniveau kunnen krijgen.
Zie Eenmalige aanmelding (SSO) instellen voor meer informatie.
Werkruimterechten
Een recht is een eigenschap waarmee een gebruiker, service-principal of groep op een opgegeven manier kan communiceren met Azure Databricks. Werkruimtebeheerders wijzen rechten toe aan gebruikers, service-principals en groepen op werkruimteniveau. Zie Rechten beheren voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor