Проверка подлинности и управление доступом
В этой статье описывается проверка подлинности и управление доступом в Azure Databricks. Сведения о защите доступа к данным см. в разделе "Управление данными" с помощью каталога Unity.
Дополнительные сведения о настройке пользователей и групп в Azure Databricks см . в рекомендациях по настройке удостоверений.
Единый вход
Единый вход в виде идентификатора Microsoft Entra (прежнее название — Azure Active Directory) — вход, поддерживаемый по умолчанию, доступен в учетной записи Azure Databricks и рабочих областях. Для консоли учетной записи и рабочих областей используется единый вход Microsoft Entra ID. Многофакторную проверку подлинности можно включить с помощью идентификатора Microsoft Entra.
Azure Databricks также поддерживает условный доступ к идентификатору Microsoft Entra, который позволяет администраторам контролировать, где и когда пользователям разрешено войти в Azure Databricks. См. раздел Условный доступ.
Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью подготовки SCIM
Вы можете использовать SCIM или System for Cross-domain Identity Management , открытый стандарт, позволяющий автоматизировать подготовку пользователей, автоматически синхронизировать пользователей и группы из идентификатора Microsoft Entra с учетной записью Azure Databricks. SCIM упрощает подключение нового сотрудника или команды с помощью идентификатора Microsoft Entra для создания пользователей и групп в Azure Databricks и предоставления им соответствующего уровня доступа. Когда пользователь покидает вашу организацию или больше не нуждается в доступе к Azure Databricks, администраторы могут завершить работу пользователя в идентификаторе Microsoft Entra, и эта учетная запись пользователя также удаляется из Azure Databricks. Это гарантирует согласованный процесс отключения и предотвращает доступ несанкционированных пользователей к конфиденциальным данным. Дополнительные сведения см. в разделе "Синхронизация пользователей и групп" из идентификатора Microsoft Entra.
Безопасная проверка подлинности API
Личные маркеры доступа Azure Databricks — это один из наиболее хорошо поддерживаемых типов учетных данных для ресурсов и операций на уровне рабочей области Azure Databricks. Чтобы защитить проверку подлинности API, администраторы рабочих областей могут контролировать, какие пользователи, субъекты-службы и группы могут создавать и использовать личные маркеры доступа Azure Databricks.
Дополнительные сведения см. в статье "Управление доступом к службе автоматизации Azure Databricks".
Администраторы рабочей области также могут просматривать личные маркеры доступа Azure Databricks, удалять маркеры и устанавливать максимальное время существования новых маркеров для своей рабочей области. См. статью "Мониторинг и управление личными маркерами доступа".
Дополнительные сведения о проверке подлинности в службе автоматизации Azure Databricks см. в статье "Проверка подлинности для автоматизации Azure Databricks".
Обзор управления доступом
В Azure Databricks существуют различные системы управления доступом для различных защищаемых объектов. В таблице ниже показано, какая система управления доступом управляет типом защищаемого объекта.
| Защищаемый объект | Система управления доступом |
|---|---|
| Защищаемые объекты уровня рабочей области | Доступ к спискам управления |
| Защищаемые объекты на уровне учетной записи | Управление доступом на основе ролей учетной записи |
| Защищаемые объекты данных | Каталог Unity |
Azure Databricks также предоставляет роли администратора и права, которые назначаются непосредственно пользователям, субъектам-службам и группам.
Сведения о защите данных см. в разделе "Управление данными" с помощью каталога Unity.
Доступ к спискам управления
В Azure Databricks можно использовать списки управления доступом (ACL), чтобы настроить разрешение на доступ к объектам рабочей области, таким как записные книжки и хранилища SQL. Все пользователи администраторов рабочей области могут управлять списками управления доступом, так как пользователи, которым были предоставлены делегированные разрешения для управления списками управления доступом. Дополнительные сведения о списках управления доступом см . в списках управления доступом.
Управление доступом на основе ролей учетной записи
С помощью управления доступом на основе ролей учетной записи можно настроить разрешение на использование объектов уровня учетной записи, таких как субъекты-службы и группы. Роли учетной записи определяются один раз в учетной записи и применяются ко всем рабочим областям. Все пользователи администратора учетных записей могут управлять ролями учетной записи, так как пользователи, которым были предоставлены делегированные разрешения на управление ими, например руководители групп и руководители субъектов-служб.
Дополнительные сведения о ролях учетных записей в определенных объектах уровня учетной записи см. в следующих статьях:
Роли администратора Databricks
Помимо управления доступом к защищаемым объектам, существуют встроенные роли на платформе Azure Databricks. Пользователям, субъектам-службам и группам можно назначать роли.
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
Администраторы учетных записей. Управление учетной записью Azure Databricks, включая включение каталога Unity, подготовки пользователей и управления удостоверениями на уровне учетных записей.
Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.
Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:
- Администраторы Marketplace: управление профилем поставщика Databricks Marketplace своей учетной записи, включая создание и управление списками Marketplace.
- Администраторы хранилища метаданных: управление привилегиями и правами владения для всех защищаемых объектов в хранилище метаданных каталога Unity, например, которые могут создавать каталоги или запрашивать таблицу.
Пользователи также могут быть назначены пользователям рабочей области. Пользователь рабочей области может войти в рабочую область, где они могут быть предоставлены разрешения на уровне рабочей области.
Дополнительные сведения см. в разделе "Настройка единого входа".
Права рабочей области
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Администраторы рабочей области назначают права пользователям, субъектам-службам и группам на уровне рабочей области. Дополнительные сведения см. в разделе "Управление правами".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по