認証とアクセス制御
この記事では、SAP Databricks での認証とアクセス制御について説明します。データへのアクセスの保護に関する情報については、「Unity Catalogによるデータガバナンス」を参照してください。
SAP Databricks にサインインする
ユーザーは、SAP Cloud Identity サービス、Identity Authentication を通じてシングルサインオン () を使用して SAP にサインインします。DatabricksSSOSSO は、SAP Databricks アカウントのデフォルトによって設定されます。
SAP Cloud Identity サービスからのユーザーとグループの同期
を使用して、ユーザーとグループを SAP Cloud Identity サービスから SAPDatabricks アカウントに自動的に同期できます。SCIM詳細については、SAP Cloud Identity サービスの Identity プロビジョニングのドキュメンテーションを参照してください。
OAuth による安全な API 認証
SAP Databricks OAuth は、SAP Databricks ワークスペース レベルでのリソースと操作の安全な資格情報とアクセスをサポートし、承認のためのきめ細かなアクセス許可をサポートします。
SAP Databricksへの認証の詳細については、OAuth 2.0 を使用した認証を参照してください。
アクセス制御の概要
SAP Databricks には、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムがあります。次の表は、どのアクセス制御システムがどの種類のセキュリティ保護可能なオブジェクトを制御するかを示しています。
セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
アカウント レベルのセキュリティ保護可能なオブジェクト | アカウント 役割ベースのアクセス制御 |
データ保護可能なオブジェクト | Unity Catalog |
SAP Databricks には、ユーザー、サービスプリンシパル、およびグループに直接割り当てられる管理者ロールとエンタイトルメントも用意されています。
アクセス制御リスト
SAP Databricksでは、アクセス制御リスト (ACL) を使用して、ノートブックや SQLウェアハウスなどのワークスペースオブジェクトへのアクセス権限を設定することができます。 すべてのワークスペース管理者ユーザーは、アクセス制御リストを管理するための委任された権限を付与されたユーザーと同様に、アクセス制御リストを管理できます。アクセス制御リストの詳細については、「 アクセス制御リスト」を参照してください。
アカウント 役割ベースのアクセス制御
アカウント 役割ベースのアクセス制御 を使用して、サービスプリンシパル や グループなどのアカウント レベルのオブジェクトを使用する権限を構成できます。 アカウント ロールは、アカウント内で一度定義すると、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーがアカウントロールを管理でき、グループマネージャーやサービスプリンシパルマネージャーなど、アカウントロールを管理するための委任されたアクセス許可が付与されたユーザーも管理できます。