本文介绍了 Azure Databricks 中的身份验证和访问控制。 有关保护对数据的访问的信息,请参阅 使用 Azure Databricks 进行数据管理。
使用 Microsoft Entra ID 的单一登录
默认情况下,Azure Databricks 帐户和工作区中提供了 Microsoft Entra ID 支持的登录形式的单一登录。 对帐户控制台和工作区使用 Microsoft Entra ID 单一登录。 可以使用 Microsoft Entra ID 启用多重身份验证。
可以配置实时(JIT)预配,以在其第一次登录时从 Microsoft Entra ID 自动创建新用户帐户。 请参阅“自动预配用户”(JIT)。
从 Microsoft Entra ID 同步用户和组
Databricks 建议使用自动标识管理(公共预览版)将标识从 Microsoft Entra ID 同步到 Azure Databricks。
使用自动标识管理,可以直接在标识联合工作区中搜索Microsoft Entra ID 用户、服务主体和组,并将其添加到工作区和 Azure Databricks 帐户。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 有关详细说明,请参阅从 Microsoft Entra ID 自动同步用户和组。
使用 OAuth 保护 API 身份验证
Azure Databricks OAuth 支持在 Azure Databricks 工作区级别保护资源和操作的凭据和访问,并支持授权的细化权限。
Databricks 还支持个人访问令牌 (PAT),但建议改用 OAuth。 若要监视和管理 PAT,请参阅 监视和管理个人访问令牌 以及 管理个人访问令牌权限。
有关对 Azure Databricks 自动化进行身份验证的详细信息,请参阅 授权访问 Azure Databricks 资源。
访问控制概述
在 Azure Databricks 中,不同的安全对象有不同的访问控制系统。 下表显示了哪些访问控制系统控制哪种类型的安全对象。
| 安全对象 | 访问控制系统 |
|---|---|
| 工作区级安全对象 | 访问控制列表 |
| 帐户级安全对象 | 基于帐户角色的访问控制 |
| 数据安全对象 | 统一目录 |
Azure Databricks 还提供直接分配给用户、服务主体和组的管理员角色和权利。
有关保护数据的信息,请参阅 使用 Azure Databricks 进行数据管理。
访问控制列表
在 Azure Databricks 中,你可以使用访问控制列表 (ACL) 来配置访问工作区对象(例如笔记本和 SQL 仓库)的权限。 所有工作区管理员用户都可以管理访问控制列表,被授予访问控制列表委托管理权限的用户也可以进行此类管理。 有关访问控制列表的详细信息,请参阅 访问控制列表。
基于帐户角色的访问控制
可使用基于帐户角色的访问控制来配置使用帐户级对象(例如服务主体和组)的权限。 帐户角色在帐户中定义一次,然后跨所有工作区应用。 所有帐户管理员用户都可管理帐户角色,已被授予管理这些角色的委派权限的用户(例如组管理员和服务主体管理员)也可进行管理。
若要详细了解特定帐户级对象的帐户角色,请参阅以下文章:
管理员角色和工作区权利
Azure Databricks 平台上有两个主级别的管理员权限:
帐户管理员:管理 Azure Databricks 帐户,包括启用 Unity Catalog 和用户管理。
工作区管理员:管理帐户中各个工作区的工作区标识、访问控制、设置和功能。
还有一些针对特定功能的管理员角色,其权限范围较窄。 若要了解可用角色,请参阅 Azure Databricks 管理简介。
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 工作区管理员在工作区级别向用户、服务主体和组分配权利。 有关详细信息,请参阅 “管理权利”。