Autentisering och åtkomstproblem
Den här artikeln beskriver autentisering och åtkomstkontroll i Azure Databricks. Information om hur du skyddar åtkomsten till dina data finns i Datastyrning med Unity Catalog.
Mer information om hur du konfigurerar användare och grupper i Azure Databricks finns i Metodtips för identitet.
Enkel inloggning
Enkel inloggning i form av Microsoft Entra-ID (tidigare Azure Active Directory)-säkerhetskopierad inloggning är tillgänglig i Azure Databricks-konto och arbetsytor som standard. Du använder enkel inloggning med Microsoft Entra-ID för både kontokonsolen och arbetsytor. Du kan aktivera multifaktorautentisering via Microsoft Entra-ID.
Azure Databricks stöder även villkorsstyrd åtkomst för Microsoft Entra-ID, vilket gör att administratörer kan styra var och när användare tillåts logga in på Azure Databricks. Se Villkorsstyrd åtkomst.
Synkronisera användare och grupper från Microsoft Entra-ID med SCIM-etablering
Du kan använda SCIM, eller System for Cross-domain Identity Management, en öppen standard som gör att du kan automatisera användaretablering för att synkronisera användare och grupper automatiskt från Microsoft Entra-ID till ditt Azure Databricks-konto. SCIM effektiviserar registreringen av en ny anställd eller ett nytt team med hjälp av Microsoft Entra-ID för att skapa användare och grupper i Azure Databricks och ge dem rätt åtkomstnivå. När en användare lämnar organisationen eller inte längre behöver åtkomst till Azure Databricks kan administratörer avsluta användaren i Microsoft Entra-ID och att användarens konto också tas bort från Azure Databricks. Detta säkerställer en konsekvent offboarding-process och förhindrar obehöriga användare från att komma åt känsliga data. Mer information finns i Synkronisera användare och grupper från Microsoft Entra-ID.
Säker API-autentisering
Personliga åtkomsttoken för Azure Databricks är en av de mest väl understödda typerna av autentiseringsuppgifter för resurser och åtgärder på arbetsytenivå i Azure Databricks. För att skydda API-autentisering kan arbetsyteadministratörer styra vilka användare, tjänsthuvudnamn och grupper som kan skapa och använda personliga åtkomsttoken för Azure Databricks.
Mer information finns i Hantera åtkomst till Azure Databricks-automatisering.
Arbetsyteadministratörer kan också granska personliga åtkomsttoken för Azure Databricks, ta bort token och ange den maximala livslängden för nya token för arbetsytan. Se Övervaka och hantera personliga åtkomsttoken.
Mer information om autentisering till Azure Databricks-automatisering finns i Autentisering för Azure Databricks Automation – översikt.
Översikt över åtkomstkontroll
I Azure Databricks finns det olika åtkomstkontrollsystem för olika skyddsbara objekt. Tabellen nedan visar vilket åtkomstkontrollsystem som styr vilken typ av skyddsbart objekt.
| Skyddsbart objekt | Åtkomstkontrollsystem |
|---|---|
| Skyddsbara objekt på arbetsytenivå | Listor för åtkomstkontroll |
| Skyddsbara objekt på kontonivå | Kontorollbaserad åtkomstkontroll |
| Data som kan skyddas | Unity Catalog |
Azure Databricks tillhandahåller även administratörsroller och rättigheter som tilldelas direkt till användare, tjänstens huvudnamn och grupper.
Information om hur du skyddar data finns i Datastyrning med Unity Catalog.
Listor för åtkomstkontroll
I Azure Databricks kan du använda åtkomstkontrollistor (ACL: er) för att konfigurera behörighet att komma åt arbetsyteobjekt som notebook-filer och SQL Warehouses. Alla arbetsyteadministratörsanvändare kan hantera åtkomstkontrollistor, liksom användare som har fått delegerade behörigheter för att hantera åtkomstkontrollistor. Mer information om åtkomstkontrollistor finns i Åtkomstkontrollistor.
Kontorollbaserad åtkomstkontroll
Du kan använda kontorollbaserad åtkomstkontroll för att konfigurera behörighet att använda objekt på kontonivå, till exempel tjänstens huvudnamn och grupper. Kontoroller definieras en gång, i ditt konto och tillämpas på alla arbetsytor. Alla kontoadministratörsanvändare kan hantera kontoroller, liksom användare som har fått delegerade behörigheter för att hantera dem, till exempel gruppchefer och cheferna för tjänstens huvudnamn.
Följ de här artiklarna om du vill ha mer information om kontoroller för specifika objekt på kontonivå:
Databricks-administratörsroller
Förutom åtkomstkontroll för skyddsbara objekt finns det inbyggda roller på Azure Databricks-plattformen. Användare, tjänstens huvudnamn och grupper kan tilldelas roller.
Det finns två huvudsakliga nivåer av administratörsbehörigheter tillgängliga på Azure Databricks-plattformen:
Kontoadministratörer: Hantera Azure Databricks-kontot, inklusive aktivering av Unity Catalog, användaretablering och identitetshantering på kontonivå.
Arbetsyteadministratörer: Hantera arbetsyteidentiteter, åtkomstkontroll, inställningar och funktioner för enskilda arbetsytor i kontot.
Dessutom kan användare tilldelas dessa funktionsspecifika administratörsroller, som har smalare uppsättningar med behörigheter:
- Marketplace-administratörer: Hantera kontots Databricks Marketplace-providerprofil, inklusive att skapa och hantera Marketplace-listor.
- Metaarkivadministratörer: Hantera behörigheter och ägarskap för alla skyddsbara objekt i ett Unity Catalog-metaarkiv, till exempel vem som kan skapa kataloger eller köra frågor mot en tabell.
Användare kan också tilldelas till att vara arbetsyteanvändare. En arbetsyteanvändare har möjlighet att logga in på en arbetsyta, där de kan beviljas behörigheter på arbetsytenivå.
Mer information finns i Konfigurera enkel inloggning (SSO).
Rättigheter för arbetsyta
En rättighet är en egenskap som gör att en användare, tjänstens huvudnamn eller grupp kan interagera med Azure Databricks på ett angivet sätt. Arbetsyteadministratörer tilldelar rättigheter till användare, tjänstens huvudnamn och grupper på arbetsytans nivå. Mer information finns i Hantera berättiganden.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för