Autenticação e controle de acesso
Este artigo apresenta a autenticação e o controle de acesso em Databricks. Para obter informações sobre como garantir o acesso aos seus dados, consulte governança de dados com Databricks.
Login único
Por default, o login único usando o Google Cloud Identity (ou GSuite) está disponível em Databricks. Você pode ativar a autenticação multifator usando o Google Cloud Identity.
Opcionalmente, é possível optar por utilizar seu próprio provedor de identidade para configurar o login único no Databricks usando SAML 2.0 ou OpenID Connect (OIDC). Uma única configuração SSO é utilizada em todo o seu account e em todo o espaço de trabalho Databricks. Consulte Configurar SSO no Databricks.
Você pode configurar o provisionamento just-in-time (JIT) para criar automaticamente uma nova conta de usuário a partir do seu provedor de identidade no primeiro login. Consulte Provisionamento automático de usuários (JIT).
Sincronize usuários e grupos do seu provedor de identidade
Você pode sincronizar usuários e grupos automaticamente do seu provedor de identidade para sua account Databricks usando o gerenciamento automático de identidade (Prévia Pública) ou SCIM. Utilizando o gerenciamento automático de identidades, você pode pesquisar diretamente no espaço de trabalho federado de identidades por usuários, entidades de serviço e grupos em seu provedor de identidades e adicioná-los ao seu workspace e à account do Databricks . O Databricks utiliza seu provedor de identidade como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Databricks. Para obter instruções detalhadas, consulte Gerenciamento automático de identidade.
Você também pode usar o provisionamento SCIM para sincronizar usuários e grupos do seu provedor de identidade com o Databricks. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.
Para obter mais informações sobre a melhor forma de configurar usuários e grupos em Databricks, consulte Práticas recomendadas de identidade.
Autenticação segura de API com OAuth
Databricks OAuth oferece suporte a credenciais e acesso seguros para recursos e operações no nível Databricks workspace e oferece suporte a permissões refinadas para autorização.
A Databricks também oferece suporte a tokens de acesso pessoal (PATs), mas recomenda que o senhor use o OAuth. Para monitorar e gerenciar PATs, consulte Monitorar e revogar o acesso pessoal tokens e gerenciar permissões de tokens de acesso pessoal.
Para obter mais informações sobre autenticação na automação Databricks em geral, consulte Autorizar acesso ao recurso Databricks.
Visão geral do controle de acesso
Na Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegido.
Objeto protegível | Sistema de controle de acesso |
|---|---|
objetos protegíveis no nível do espaço de trabalho | Listas de controle de acesso |
objetos protegíveis no nível da conta | controle de acesso baseado na função da conta |
Objetos de dados protegíveis | Unity Catalog |
Databricks também oferece funções e direitos de administrador atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre a proteção de dados, consulte governança de dados em Databricks.
Listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos workspace como Notebook e SQL warehouse. Todos os usuários administradores do site workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
controle de acesso baseado na função da conta
O senhor pode usar o controle de acesso baseado em funções account para configurar a permissão de uso de objetos de nível account, como entidades de serviço e grupos. As funções de conta são definidas uma vez, em seu site account, e se aplicam a todo o espaço de trabalho. Todos os usuários administradores do account podem gerenciar as funções do account, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidades de serviço.
Siga estes artigos para obter mais informações sobre account funções em objetos específicos de nível account:
Funções de administrador e direitos de workspace
Há dois níveis principais de privilégios de administrador disponíveis na plataforma Databricks:
-
administradores de conta: gerenciar o Databricks account, incluindo criação do workspace, gerenciamento de usuários, recurso de nuvem e monitoramento de uso do account.
-
administradores de espaço de trabalho: gerenciar workspace identidades, controle de acesso, configurações e recurso para espaço de trabalho individual no account.
Há também funções de administrador específicas para cada recurso, com um conjunto mais restrito de privilégios. Para saber mais sobre as funções disponíveis, consulte Visão geral da administração do Databricks.
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível workspace. Para obter mais informações, consulte gerenciar direitos.