Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono uwierzytelnianie i kontrolę dostępu w usłudze Azure Databricks. Aby uzyskać informacje na temat zabezpieczania dostępu do danych, zobacz Zarządzanie danymi za pomocą usługi Azure Databricks.
Logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID
Logowanie jednokrotne w postaci logowania opartego na identyfikatorze Entra firmy Microsoft jest domyślnie dostępne na koncie usługi Azure Databricks i obszarach roboczych. Używasz logowania jednokrotnego Microsoft Entra ID dla konsoli konta i obszarów roboczych. Uwierzytelnianie wieloskładnikowe można włączyć przy użyciu identyfikatora Entra firmy Microsoft.
Aprowizacja just-in-time (JIT) umożliwia automatyczne tworzenie nowych kont użytkowników za pomocą identyfikatora Microsoft Entra przy ich pierwszym logowaniu. Zobacz Automatyczne prowizjonowanie użytkowników (JIT).
Sync użytkowników i grup z identyfikatora Entra firmy Microsoft
Usługa Databricks zaleca synchronizowanie tożsamości z identyfikatora Entra firmy Microsoft z usługą Azure Databricks przy użyciu automatycznego zarządzania tożsamościami. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r.
Za pomocą automatycznego zarządzania tożsamościami możesz bezpośrednio wyszukiwać w obszarach roboczych federacyjnych tożsamości dla użytkowników identyfikatora Entra firmy Microsoft, jednostek usługi i grup oraz dodawać je do obszaru roboczego oraz do konta usługi Azure Databricks. Usługa Databricks używa Microsoft Entra ID jako podstawowego źródła informacji, więc wszelkie zmiany dotyczące użytkowników lub członkostwa w grupach zostają uwzględnione w usłudze Azure Databricks. Aby uzyskać szczegółowe instrukcje, zobacz Automatyczne synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.
Aprowizacja SCIM umożliwia również synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft z usługą Azure Databricks. Zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft przy użyciu protokołu SCIM.
Bezpieczne uwierzytelnianie interfejsu API za pomocą protokołu OAuth
Usługa Azure Databricks OAuth obsługuje bezpieczne poświadczenia i dostęp do zasobów i operacji na poziomie obszaru roboczego usługi Azure Databricks oraz obsługuje szczegółowe uprawnienia do autoryzacji.
Usługa Databricks obsługuje również osobiste tokeny dostępu (PAT), ale zaleca użycie protokołu OAuth. Aby monitorować usługi PAT i zarządzać nimi, zobacz Monitorowanie i odwoływanie osobistych tokenów dostępu oraz Zarządzanie uprawnieniami osobistego tokenu dostępu.
Aby uzyskać więcej informacji na temat uwierzytelniania w automatyzacji usługi Azure Databricks, zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks.
Omówienie kontroli dostępu
W usłudze Azure Databricks istnieją różne systemy kontroli dostępu dla różnych zabezpieczanych obiektów. W poniższej tabeli przedstawiono, który system kontroli dostępu zarządza typem zabezpieczanego obiektu.
| Zabezpieczany obiekt | system kontroli dostępu; |
|---|---|
| Zabezpieczane obiekty na poziomie obszaru roboczego | Listy kontroli dostępu |
| Zabezpieczane obiekty na poziomie konta | Kontrola dostępu oparta na rolach konta |
| Zabezpieczane obiekty danych | Katalog Unity |
Usługa Azure Databricks udostępnia również role administratora i uprawnienia przypisane bezpośrednio do użytkowników, jednostek usługi i grup.
Aby uzyskać informacje na temat zabezpieczania danych, zobacz Zarządzanie danymi za pomocą usługi Azure Databricks.
Listy kontroli dostępu
W usłudze Azure Databricks możesz użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów obszaru roboczego, takich jak notesy i usługi SQL Warehouse. Wszyscy użytkownicy administratorzy obszaru roboczego mogą zarządzać listami kontroli dostępu, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania listami kontroli dostępu. Aby uzyskać więcej informacji na temat list kontroli dostępu, zobacz Listy kontroli dostępu.
Kontrola dostępu oparta na rolach konta
Możesz użyć kontroli dostępu opartej na rolach konta, aby skonfigurować uprawnienia do używania obiektów na poziomie konta, takich jak jednostki usługi i grupy. Role konta są definiowane raz na koncie i stosowane we wszystkich obszarach roboczych. Wszyscy użytkownicy administracyjni konta mogą zarządzać rolami konta, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania nimi, takimi jak menedżerowie grup i menedżerowie jednostki usługi.
Postępuj zgodnie z następującymi artykułami, aby uzyskać więcej informacji na temat ról kont dla określonych obiektów na poziomie konta:
Role administratora i uprawnienia obszaru roboczego
Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:
- Administratorzy konta: zarządzanie kontem usługi Azure Databricks, w tym włączanie Unity Catalog i zarządzanie użytkownikami.
- Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Istnieją również role administratora specyficzne dla funkcji z węższym zestawem uprawnień. Aby dowiedzieć się więcej o dostępnych rolach, zobacz Omówienie administrowania usługą Databricks.
Uprawnienie to właściwość, która umożliwia użytkownikowi, jednostce usługi lub grupie interakcję z usługą Azure Databricks w określony sposób. Administratorzy obszaru roboczego przypisują uprawnienia użytkownikom, jednostkom usługi i grupom na poziomie obszaru roboczego. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami.