共用方式為

管理访问请求目标

重要

此功能目前以公共预览版提供。

本页介绍如何为 Unity 目录中的安全对象配置访问请求目标。 这些目标确定当用户请求访问数据对象时发送访问请求的位置。

什么是访问请求目标?

当用户请求访问 Unity 目录中的对象(例如表或视图)时,请求将发送到一个或多个配置的目标。 目标可以是以下任一项:

  • 电子邮件地址

  • Microsoft Teams 频道

  • Webhook 终结点

  • 重定向 URL(指向组织的外部访问请求系统)

    每个对象只能配置一个重定向 URL。 如果设置了 URL,则无法设置其他目标,用户将被重定向到该 URL,而不是看到产品内请求表单。

访问请求目标的工作原理

  • 如果配置了访问请求目标,则用户可以请求对对象具有 BROWSE 特权的对象或直接 URL 的权限。 当用户在笔记本、SQL 编辑器或其他创作工具中遇到权限被拒绝错误时,还可以请求权限。

  • 提交请求时,用户可以请求访问一个或多个主体,包括自身、服务主体、其他用户或组。 请求将路由到配置的目标。

  • 可以在元存储、目录、架构、存储凭据、服务凭据、外部位置和连接上配置目标。

  • 目标由表和视图等子对象继承。

  • 如果未配置目标,则用户无法请求访问对象。

    默认情况下,不会在任何对象上配置任何目标。 为了确保始终传递访问请求,Databricks 建议启用默认电子邮件目标。

  • 如果配置了多个目标,则会将请求发送到所有这些目标。

  • 如果配置了重定向 URL,则用户将转到该 URL,并且看不到访问请求表单。

  • 工作区管理员可以按照 “管理通知目标”中的说明配置外部目标。

启用默认电子邮件目标

Databricks 建议启用默认电子邮件目标。 这可确保即使未手动配置目标,也会传递访问请求。 启用后,目录对象的请求将发送到目录所有者的电子邮件地址,并向对象所有者的电子邮件地址发送对目录外部对象(如外部位置)的请求。

小窍门

启用默认电子邮件目标可确保即使未为对象手动配置任何目标,也会传递访问请求。 这是开始跨 Unity 目录元存储接收和响应请求的最快方法。

若要启用默认目标,必须同时是元存储管理员和工作区管理员。

  1. 在工作区右上角,单击个人资料照片,然后选择“设置”。

  2. 单击“ 通知”。

  3. 启用 在 UC 中请求访问的默认目标

在对象上配置访问请求目标

若要为目录或架构配置目标,必须是元存储管理员或对象所有者。 若要在架构上配置访问请求目标,还必须对父目录具有 USE CATALOG 特权。

还可以使用 访问请求目标 API 配置访问请求目标

  1. 在 Azure Databricks 工作区中,单击 “数据”图标。目录

  2. 选择安全对象。

  3. 单击 “Kebab”菜单图标。kebab 菜单并选择“ 管理访问请求目标”。

  4. 选择一个或多个电子邮件或外部目标,或配置重定向 URL。

    如果选择 URL,则无法添加其他目标类型。

    配置访问请求目标。

  5. 单击“更新” 。

若要 禁用访问请求,请删除所有目标并关闭默认目标设置(如果已启用)。

访问请求示例

以下部分显示了发送到不同目标的访问请求的示例。

Email

从中发送 noreply@databricks.com访问请求电子邮件。

请求访问电子邮件目标。

Webhook (JSON)

{
  "requesterName": "<first-name> <last-name> (<email>)",
  "objectName": "<catalog>.<schema>.<table>",
  "objectType": "Table",
  "privileges": "SELECT",
  "principalName": "<group-name>",
  "onBehalfOf": "<group-name>",
  "onBehalfOfType": "Group",
  "comment": "My team needs access to run queries on this table.",
  "databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}

有关如何将 Webhook 与常用工具集成的信息,请参阅以下内容:

批准访问请求

若要批准访问请求,请按照发送到访问请求通知的链接进行作。 该链接会在工作区中打开一个模式对话框,其中显示请求者、对象和请求的权限。

查看访问请求。

接下来,选择以下审批方法之一:

  • 向组添加主体 ,将请求者添加到至少具有一个请求权限的一个或多个现有组。

    使用组授予访问请求。

  • 向主体授予权限 ,使其直接访问对象。 还可以选择特权预设,例如 数据读取器 来向用户授予权限集合。

    使用特权授予访问权限请求。