Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Berechtigungen steuern, was Benutzer mit der Databricks-Anwendung tun können, z. B. auf Apps zugreifen, verwalten und teilen. Dies unterscheidet sich von der Authentifizierung, die die Identität eines Benutzers überprüft. Berechtigungen bestimmen, welche Aktionen der Benutzer innerhalb der App ausführen darf.
Berechtigungsstufen
-
CAN MANAGE– Kann App-Einstellungen und -Berechtigungen verwalten, einschließlich der Möglichkeit, die App zu bearbeiten und zu löschen. -
CAN USE– Kann die App ausführen und mit ihr interagieren, sie aber nicht ändern oder verwalten.
Nur Benutzer mit CAN MANAGE Berechtigungen können Berechtigungen für eine App zuweisen oder widerrufen.
Organisationsberechtigungen
Wenn Sie die Organisationsberechtigungen einer App auf "Jeder in meiner Organisation" festlegen, können alle Benutzer im aktuellen Azure Databricks-Konto auf die App zugreifen. Dies schließt Benutzer ein, die manuell hinzugefügt, über das System für domänenübergreifende Identitätsverwaltung (SCIM) synchronisiert oder mithilfe der Just-in-Time-Bereitstellung (JIT) über Ihren Identitätsanbieter erstellt wurden.
JIT-bereitgestellte Benutzer müssen sich weiterhin über den Identitätsanbieter Ihrer Organisation authentifizieren und von Azure Databricks als Kontobenutzer erkannt werden. Sie können diesen Benutzern CAN USE Zugriff auf Apps gewähren, auch wenn sie keinen Zugriff auf einen Arbeitsbereich haben. Der Zugriff hängt jedoch von der Authentifizierungsrichtlinie des Arbeitsbereichs ab. Wenn beispielsweise PrivateLink aktiviert ist, kann Azure Databricks auf Authentifizierung auf Arbeitsbereichsebene zurückgreifen. In diesem Fall wird der Zugriff für Benutzer blockiert, die über den öffentlichen Azure Databricks-Endpunkt eine Verbindung herstellen.
Sie können Databricks-Apps nicht öffentlich machen. Anonymer Zugriff und Umgehung des einmaligen Anmeldens (Single Sign-On, SSO) werden nicht unterstützt. Um Zugriff auf externe Mitarbeiter zu gewähren, verwenden Sie den Identitätsverbund mit SCIM- und JIT-Bereitstellung, um Benutzer über Ihren Identitätsanbieter zu integrieren, ohne vollen Arbeitsbereichszugriff zu gewähren.
Zuweisen von Berechtigungen in der Benutzeroberfläche von Databricks-Apps
Verwalten Sie, wer eine Databricks-App anzeigen, ausführen oder ändern kann, indem Sie Berechtigungen direkt auf der Benutzeroberfläche von Databricks-Apps zuweisen.
- Navigieren Sie zur App-Detailseite.
- Klicken Sie auf die Registerkarte Berechtigungen.
- Verwenden Sie die Dropdownliste " Benutzer auswählen", "Gruppe" oder "Dienstprinzipal auswählen" , um einen Benutzer, eine Gruppe oder einen Dienstprinzipal auszuwählen.
- Wählen Sie die entsprechende Berechtigungsstufe (
CAN USEoderCAN MANAGE) aus. - Klicken Sie auf "Hinzufügen" und dann auf " Speichern ", um Änderungen anzuwenden.
Berechtigungen im Vergleich zur Autorisierung
In Databricks-Apps ist es wichtig, zwischen Berechtigungen und Autorisierung zu unterscheiden, die miteinander verbunden sind, aber separate Konzepte.
Berechtigungen werden auf Arbeitsbereichsebene zugewiesen und definieren, wer innerhalb des Arbeitsbereichs eine App verwalten oder verwenden kann. Berechtigungen steuern den Zugriff auf die App selbst, z. B. wer sie bereitstellen, aktualisieren oder ausführen kann. Berechtigungen steuern nicht, auf welche Daten die App oder ihre Benutzer zugreifen können.
Autorisierung bezieht sich auf die Steuerung des Zugriffs auf Daten und Ressourcen und weist zwei Unterkategorien auf:
- Benutzerautorisierung – Wenn Benutzer sich bei einer App authentifizieren, leitet Azure Databricks ihre Identität an die App-Laufzeit weiter. Dadurch können Unity-Katalog und andere Datenzugriffsrichtlinien Berechtigungen basierend auf der Identität des Benutzers erzwingen und einschränken, auf welche Daten die App in ihrem Auftrag zugreifen kann.
- App-Autorisierung – Die App wird mit einem Dienstprinzipal mit eigenen Berechtigungen für den Zugriff auf erforderliche Azure Databricks-Ressourcen ausgeführt. Diese Autorisierung steuert, was die App selbst unabhängig von jedem Benutzer tun kann.
Zusammenfassend gilt: Berechtigungen steuern den Zugriff auf Arbeitsbereichsebene auf die App (wer sie verwenden oder verwalten kann), während die Autorisierung den Daten- und Ressourcenzugriff steuert, einschließlich des benutzeridentitätsbasierten Zugriffs und des App-Dienstprinzipalszugriffs.
Weitere Informationen finden Sie unter Konfigurieren der Autorisierung in einer Databricks-App.
App-Berechtigungen
Jeder Benutzer in einem Arbeitsbereich kann Databricks-Apps erstellen, ähnlich wie andere serverlose Produkte. Die folgenden Berechtigungen steuern jedoch unterschiedliche Aspekte des App-Zugriffs:
- App-Zugriff und -Verwaltung: Wer auf die App zugreifen und diese verwalten kann, gesteuert über Berechtigungsstufen
- Dienstprinzipalberechtigungen: Die Berechtigungen, die dem dedizierten Dienstprinzipal der App zugewiesen sind
- Zustimmung des Benutzers: Gibt an, ob ein Benutzer zustimmt, dass die App seine Identität für die Benutzerautorisierung verwenden kann.
- Benutzerberechtigungen: Die zugrunde liegenden Unity-Katalog- und Arbeitsbereichsberechtigungen von Benutzern, die auf die App zugreifen
Bewährte Methoden für Berechtigungen
Befolgen Sie die folgenden bewährten Methoden zum sicheren Verwalten von Databricks-App-Berechtigungen:
- Befolgen Sie das Prinzip der geringsten Berechtigungen, indem Sie nur die Berechtigungen erteilen, die für die Rolle jedes Benutzers erforderlich sind.
- Bevorzugen Sie das Zuweisen von
CAN USEBerechtigungen, es sei denn, Benutzer benötigen Verwaltungsfunktionen. - Verwenden Sie Gruppen oder Dienstprinzipale, um Berechtigungen in großem Umfang effizient zu verwalten.