Amazon
Web Services
Microsoft Azure
Google Cloud PlatformControle de acesso e autenticação
Este artigo apresenta a autenticação e o controle de acesso em Databricks. Para obter informações sobre como garantir o acesso aos seus dados, consulte governança de dados com Unity Catalog.
Faça login na Databricks
A Databricks recomenda configurar o logon único (SSO) e o login unificado para aumentar a segurança e melhorar a usabilidade. O SSO permite que seus usuários façam login na Databricks usando o provedor de identidade da sua organização.
O login unificado permite que o senhor gerencie uma única configuração de SSO para seu Databricks account e espaço de trabalho. Se o seu account foi criado após 21 de junho de 2023 ou se o senhor não configurou o SSO antes de 12 de dezembro de 2024, o login unificado está ativado no seu account para todos os espaços de trabalho, novos e existentes, e não pode ser desativado. Depois que o SSO estiver configurado, o senhor poderá ativar o controle de acesso refinado, como a autenticação multifator, por meio do provedor de identidade. Consulte Configurar SSO em Databricks.
Se o senhor não configurar o logon único, os usuários poderão fazer login em Databricks usando um account externo selecionado, como o Google, ou uma senha de uso único. Consulte Login com email ou conta externa.
Para evitar bloqueios, os administradores do account podem configurar o acesso de emergência para até 20 usuários. Esses usuários podem entrar na Databricks usando uma senha e autenticação multifator (MFA). Consulte Acesso de emergência para evitar bloqueios.
Sincronize usuários e grupos do seu provedor de identidade
O senhor pode sincronizar usuários e grupos automaticamente do provedor de identidade para o site Databricks account usando SCIM. O SCIM é um padrão aberto que permite automatizar o provisionamento de usuários. O SCIM permite um processo consistente de integração e desligamento. Ele usa seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Quando um usuário deixa a organização ou não precisa mais de acesso à Databricks, os administradores podem remover o usuário do provedor de identidade, e esse usuário é desativado na Databricks. Isso evita que usuários não autorizados acessem dados confidenciais. Para obter mais informações, consulte Sincronizar usuários e grupos do seu provedor de identidade.
Para obter mais informações sobre a melhor forma de configurar usuários e grupos em Databricks, consulte Práticas recomendadas de identidade.
Autenticação segura de API com OAuth
Databricks OAuth oferece suporte a credenciais e acesso seguros para recursos e operações no nível Databricks workspace e oferece suporte a permissões refinadas para autorização.
Observação
A autenticação básica usando um nome de usuário e senha da Databricks chegou ao fim da vida útil em 10 de julho de 2024. Consulte End of life para Databricks-gerenciar senhas.
Databricks também oferece suporte ao access tokens pessoal (PATs), mas recomenda que o senhor use o OAuth. Para monitorar e gerenciar PATs, consulte Monitorar access tokens e revogar as access token permissões pessoais e gerenciar as permissões pessoais.
Para obter mais informações sobre a autenticação no site Databricks automation overall, consulte Authenticate access to Databricks recurso.
Visão geral do controle de acesso
Na Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegido.
Objeto seguro |
Sistema de controle de acesso |
|---|---|
workspace-Objetos protegíveis de nível |
Listas de controle de acesso |
account-Objetos protegíveis de nível |
account controle de acesso baseado em funções |
Objetos protegidos por dados |
Unity Catalog |
Databricks também oferece funções e direitos de administrador atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre a proteção de dados, consulte governança de dados em Unity Catalog.
Listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos workspace como Notebook e SQL warehouse. Todos os usuários administradores do site workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
account controle de acesso baseado em funções
O senhor pode usar o controle de acesso baseado em funções account para configurar a permissão de uso de objetos de nível account, como entidades de serviço e grupos. account As funções são definidas uma vez, em seu site account, e se aplicam a todos os espaços de trabalho. Todos os usuários administradores do account podem gerenciar as funções do account, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidades de serviço.
Siga estes artigos para obter mais informações sobre account funções em objetos específicos de nível account:
Funções de administrador e direitos de espaço de trabalho
Há dois níveis principais de privilégios de administrador disponíveis na plataforma Databricks:
administradores de contas: gerenciar o Databricks account, incluindo a criação do workspace, o gerenciamento de usuários, o cloud recurso e o monitoramento do uso do account.
administradores de espaço de trabalho: gerenciar workspace identidades, controle de acesso, configurações e recurso para espaço de trabalho individual no account.
Há também funções de administrador específicas de recurso com um conjunto mais restrito de privilégios. Para saber mais sobre as funções disponíveis, consulte Introdução à administração do Databricks.
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. workspace Os administradores atribuem direitos a usuários, entidades de serviço e grupos no nível workspace. Para obter mais informações, consulte gerenciar direitos.