Autenticação e controle de acesso

Este artigo apresenta a autenticação e o controle de acesso em Databricks. Para obter informações sobre como proteger o acesso aos seus dados, consulte governança de dados com o Unity Catalog.

Para obter mais informações sobre como configurar melhor usuários e grupos no Databricks, consulte Práticas recomendadas de identidade.

Logon único

O logon único permite autenticar seus usuários usando o provedor de identidade da sua organização. A Databricks recomenda configurar o SSO para maior segurança e melhor usabilidade. Depois que o SSO estiver configurado, você poderá ativar o controle de acesso refinado, como a autenticação multifator, por meio do seu provedor de identidade. O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Se sua account foi criada antes de 21 de junho de 2023, você também poderá gerenciar o SSO individualmente em sua account e em seu workspace. Consulte Configurar o SSO no console da conta do Databricks e Configurar o SSO para seu workspace.

Sincronize usuários e grupos de seu provedor de identidade usando o provisionamento SCIM

Você pode usar o SCIM, ou Sistema para Gerenciamento de Identidade entre Domínios, um padrão aberto que permite automatizar o provisionamento de usuários, para sincronizar usuários e grupos automaticamente do seu provedor de identidade para sua account do Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e fornecer a eles o nível adequado de acesso. Quando um utilizador sai da sua organização ou já não precisa de acesso ao Databricks, os administradores podem rescindir o utilizador no seu fornecedor de identidade, e a account desse utilizador também é removida do Databricks. Isso garante um processo de desativação consistente e evita que usuários não autorizados acessem dados confidenciais. Para obter mais informações, consulte Sincronizar usuários e grupos do seu provedor de identidade.

Autenticação de API segura

access token pessoal do Databricks é um dos tipos de credenciais com mais suporte para recursos e operações no nível do workspace do Databricks. Para proteger a autenticação da API, os administradores workspace podem controlar quais usuários, entidades de serviço e grupos podem criar e usar access token pessoal do Databricks.

Os usuários do Databricks também podem acessar APIs REST usando seu nome de usuário e senha do Databricks (autenticação básica). Na account em que o login unificado está desabilitado, os administradores workspace podem usar o controle de acesso por senha para conceder e revogar a capacidade de usuários específicos usarem a autenticação básica.

Para obter mais informações, consulte gerenciar o acesso à automação do Databricks.

workspace Os administradores também podem revisar o token de acesso pessoal do Databricks, excluir tokens e definir o tempo máximo de vida de novos tokens para seu workspace. Consulte Monitorar e gerenciar o token de acesso pessoal.

Para obter mais informações sobre a autenticação na automação do Databricks, consulte Autenticação para automação do Databricks – visão geral.

Visão geral do controle de acesso

Na Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegido.

Objeto seguro

Sistema de controle de acesso

workspace-Objetos protegíveis de nível

Listas de controle de acesso

account-Objetos protegíveis de nível

account controle de acesso baseado em funções

Objetos protegidos por dados

Unity Catalog

Databricks também oferece funções e direitos de administrador atribuídos diretamente a usuários, entidades de serviço e grupos.

Para obter informações sobre a proteção de dados, consulte governança de dados em Unity Catalog.

Listas de controle de acesso

No site Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos do site workspace, como o Notebook e o SQL warehouse. Todos os usuários administradores do site workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.

account controle de acesso baseado em funções

O senhor pode usar o controle de acesso baseado em funções account para configurar a permissão de uso de objetos de nível account, como entidades de serviço e grupos. account As funções são definidas uma vez, em seu site account, e se aplicam a todos os espaços de trabalho. Todos os usuários administradores do account podem gerenciar as funções do account, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidades de serviço.

Siga estes artigos para obter mais informações sobre account funções em objetos específicos de nível account:

Funções de administrador do Databricks

Além do controle de acesso a objetos seguros, há funções integradas na plataforma Databricks. Podem ser atribuídas funções a usuários, entidades de serviço e grupos.

Há dois níveis principais de privilégios de administrador disponíveis na plataforma Databricks:

  • Administradores de conta: Gerenciar a conta do Databricks, incluindo a criação do workspace, o gerenciamento de usuários, os recursos de cloud e o monitoramento de uso de conta.

  • Administradores de workspace: Gerenciar identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.

Além disso, os usuários podem ser atribuídos a essas funções de administrador específicas do recurso, que têm conjuntos mais restritos de privilégios:

  • marketplace administradores: gerenciar o perfil de provedor account's Databricks Marketplace, incluindo a criação e o gerenciamento de listagens marketplace.

  • Administradores de metastore: gerenciam privilégios e propriedade de todos os objetos seguros em um metastore Unity Catalog, como quem pode criar catálogos ou consultar uma tabela.

Os usuários também podem ser designados para serem usuários do workspace. Um usuário de workspace pode acessar log in para workspace, onde pode receber permissões de nível workspace.

Para obter mais informações, consulte Configuração do logon único (SSO).

Direitos de espaço de trabalho

Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. workspace Os administradores atribuem direitos a usuários, entidades de serviço e grupos no nível workspace. Para obter mais informações, consulte gerenciar direitos.