Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As permissões controlam o que os usuários podem fazer com o aplicativo Databricks, como acessar, gerenciar e compartilhar aplicativos. Isso é diferente da autenticação, que verifica a identidade de um usuário. As permissões determinam quais ações o usuário está autorizado a executar no aplicativo.
Níveis de permissão
-
CAN MANAGE- Pode gerir definições e permissões da aplicação, incluindo a capacidade de editar e eliminar a aplicação. -
CAN USE- Pode executar e interagir com o aplicativo, mas não pode modificá-lo ou gerenciá-lo.
Apenas utilizadores com CAN MANAGE permissões podem atribuir ou revogar permissões numa aplicação.
Permissões de organização
Se você definir as permissões da organização de um aplicativo como Qualquer pessoa na minha organização pode usar, todos os usuários na conta atual do Azure Databricks poderão acessar o aplicativo. Isso inclui utilizadores adicionados manualmente, sincronizados por meio do System for Cross-domain Identity Management (SCIM), ou criados usando provisionamento just-in-time (JIT) por meio do seu provedor de identidade.
Os usuários provisionados por JIT ainda devem se autenticar por meio do provedor de identidade da sua organização e ser reconhecidos pelo Azure Databricks como usuários de conta. Você pode conceder a esses usuários CAN USE acesso a aplicativos, mesmo que eles não tenham acesso a nenhum espaço de trabalho. No entanto, o acesso depende da política de autenticação do espaço de trabalho. Por exemplo, se o PrivateLink estiver habilitado, o Azure Databricks poderá retornar à autenticação no nível do espaço de trabalho. Nesse caso, o acesso é bloqueado para utilizadores que se conectam através do endpoint público do Azure Databricks.
Não é possível tornar públicos os aplicativos Databricks. Não há suporte para acesso anônimo e ignorar o logon único (SSO). Para dar acesso a colaboradores externos, use a federação de identidades com o provisionamento SCIM e JIT para integrar usuários por meio de seu provedor de identidade sem conceder acesso total ao espaço de trabalho.
Atribuir permissões na interface do usuário dos aplicativos Databricks
Gerencie quem pode exibir, executar ou modificar um aplicativo Databricks atribuindo permissões diretamente na interface do usuário do Databricks Apps.
- Navegue até a página de detalhes do aplicativo.
- Clique na guia Permissões .
- Utilize o menu dropdown Selecionar usuário, grupo ou principal de serviço... para escolher um usuário, grupo ou principal de serviço.
- Selecione o nível de permissão apropriado (
CAN USEouCAN MANAGE). - Clique em Adicionar e, em seguida, em Guardar para aplicar as alterações.
Permissões versus autorização
No Databricks Apps, é importante distinguir entre permissões e autorização, que são conceitos relacionados, mas separados.
As permissões são atribuídas no nível do espaço de trabalho e definem quem dentro do espaço de trabalho pode gerenciar ou usar um aplicativo. As permissões controlam o acesso ao próprio aplicativo, como quem pode implantá-lo, atualizá-lo ou executá-lo. As permissões não controlam quais dados o aplicativo ou seus usuários podem acessar.
A autorização refere-se ao controlo do acesso a dados e recursos e tem duas subcategorias:
- Autorização do usuário - Quando os usuários se autenticam em um aplicativo, o Azure Databricks encaminha sua identidade para o tempo de execução do aplicativo. Isso permite que o Unity Catalog e outras políticas de acesso a dados imponham permissões com base na identidade do usuário, restringindo quais dados o aplicativo pode acessar em seu nome.
- Autorização do aplicativo - O aplicativo é executado usando uma entidade de serviço com suas próprias permissões para acessar os recursos necessários do Azure Databricks. Essa autorização rege o que o próprio aplicativo pode fazer independentemente de qualquer usuário.
Em resumo, as permissões controlam o acesso no nível do espaço de trabalho ao aplicativo (quem pode usá-lo ou gerenciá-lo), enquanto a autorização rege o acesso ao nível dos dados e aos recursos, incluindo o acesso baseado em identidade do usuário e o acesso principal do serviço de aplicativo.
Para obter mais informações, consulte Configurar autorização em um aplicativo Databricks.
Permissões da aplicação
Qualquer usuário em um espaço de trabalho pode criar aplicativos Databricks, semelhante a outros produtos sem servidor. No entanto, os seguintes direitos controlam diferentes aspetos do acesso ao aplicativo:
- Acesso e gestão da aplicação: Quem pode aceder e gerir a aplicação, controlada através de níveis de permissões
- Permissões da entidade de serviço: As permissões atribuídas à entidade de serviço dedicada do aplicativo
- Consentimento do utilizador: Se um usuário consente em permitir que o aplicativo use sua identidade para autorização do usuário
- Permissões de usuário: As permissões subjacentes do Unity Catalog e do espaço de trabalho dos usuários que acessam o aplicativo
Práticas recomendadas para permissões
Siga estas práticas recomendadas para gerenciar as permissões do aplicativo Databricks com segurança:
- Siga o princípio do menor privilégio, concedendo apenas as permissões necessárias para a função de cada usuário.
- Prefira atribuir
CAN USEpermissão, a menos que os usuários exijam recursos de gerenciamento. - Use grupos ou principais de serviço para gerir com eficiência as permissões à escala.