身份验证和访问控制
本文介绍了 Azure Databricks 中的身份验证和访问控制。 有关保护对数据的访问的信息,请参阅Unity Catalog 的数据治理。
若要详细了解如何在 Azure Databricks 中以最佳方式配置用户和组,请参阅标识最佳做法。
单一登录
Azure Databricks 帐户和工作区中默认提供单一登录,采用 Microsoft Entra ID(以前称为 Azure Active Directory)支持的登录形式。 对帐户控制台和工作区使用 Microsoft Entra ID 单一登录。 可以通过 Microsoft Entra ID 启用多重身份验证。
Azure Databricks 也支持 Microsoft Entra ID 条件访问,以便管理员能够控制用户何时何地能登录到 Azure Databricks。 请参阅条件访问。
使用 SCIM 预配从 Microsoft Entra ID 同步用户和组
可以使用 SCIM 或跨域身份管理系统(一种开放标准)自动执行用户预配,将用户和组自动从 Microsoft Entra ID 同步到 Azure Databricks 帐户。 SCIM 使用 Microsoft Entra ID 在 Azure Databricks 中创建用户和组并为其提供适当的访问级别,以此来简化新员工或团队的加入流程。 如果用户离开组织或不再需要访问 Azure Databricks,管理员可在 Microsoft Entra ID 中终止该用户,该用户的帐户也会从 Azure Databricks 中移除。 这样可确保一致的脱离流程,防止未经授权的用户访问敏感数据。 有关详细信息,请参阅从 Microsoft Entra ID 同步用户和组。
保护 API 身份验证
Azure Databricks 个人访问令牌是最受支持的凭据类型之一,适用于 Azure Databricks 工作区级别的资源和操作。 为了保护 API 身份验证,工作区管理员可以控制哪些用户、服务主体和组可以创建和使用 Azure Databricks 个人访问令牌。
有关详细信息,请参阅管理对 Azure Databricks 自动化的访问。
工作区管理员还可以查看 Azure Databricks 个人访问令牌、删除令牌,并为其工作区设置新令牌的最长生存期。 请参阅“监视和管理个人访问令牌”。
有关对 Azure Databricks 自动化进行身份验证的详细信息,请参阅 Azure Databricks 自动化的身份验证 - 概述。
访问控制概述
在 Azure Databricks 中,不同的安全对象有不同的访问控制系统。 下表显示了哪些访问控制系统控制哪种类型的安全对象。
| 安全对象 | 访问控制系统 |
|---|---|
| 工作区级安全对象 | 访问控制列表 |
| 帐户级安全对象 | 基于帐户角色的访问控制 |
| 数据安全对象 | Unity Catalog |
Azure Databricks 还提供直接分配给用户、服务主体和组的管理员角色和权利。
有关保护数据的信息,请参阅通过 Unity Catalog 进行数据治理。
访问控制列表
在 Azure Databricks 中,你可以使用访问控制列表 (ACL) 来配置访问工作区对象(例如笔记本和 SQL 仓库)的权限。 所有工作区管理员用户都可以管理访问控制列表,被授予访问控制列表委托管理权限的用户也可以进行此类管理。 有关访问控制列表的详细信息,请参阅访问控制列表。
基于帐户角色的访问控制
可使用基于帐户角色的访问控制来配置使用帐户级对象(例如服务主体和组)的权限。 帐户角色在帐户中定义一次,然后跨所有工作区应用。 所有帐户管理员用户都可管理帐户角色,已被授予管理这些角色的委派权限的用户(例如组管理员和服务主体管理员)也可进行管理。
若要详细了解特定帐户级对象的帐户角色,请参阅以下文章:
Databricks 管理员角色
除了对安全对象进行访问控制外,Azure Databricks 平台上还有内置角色。 可以向用户、服务主体和组分配角色。
Azure Databricks 平台上有两个主级别的管理员权限:
此外,还可以为用户分配这些功能特定的管理员角色,这些角色具有更窄的权限集:
- 元存储管理员 - 管理 Unity Catalog 中所有安全对象的权限和所有权,例如谁可以创建目录或查询表。
还可将用户分配为工作区用户。 工作区用户能够登录到工作区,在这里可获得工作区级权限。
有关详细信息,请参阅设置单一登录 (SSO)。
工作区权利
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 工作区管理员在工作区级别向用户、服务主体和组分配权利。