Autenticação e controle de acesso

Este artigo apresenta a autenticação e o controle de acesso no Azure Databricks. Para obter informações sobre como proteger o acesso aos dados, consulte Guia de governança com o Catálogo do Unity.

Para obter mais informações sobre a melhor forma de configurar usuários e grupos no Azure Databricks, consulte Melhores práticas de identidade.

Logon único

O logon único na forma de logon com suporte do Microsoft Entra ID está disponível na conta e nos workspaces do Azure Databricks por padrão. Use o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho. Você pode habilitar a autenticação multifator por meio do Microsoft Entra ID.

O Azure Databricks também é compatível com o acesso condicional do Microsoft Entra ID, que permite aos administradores controlar onde e quando os usuários têm permissão para entrar no Azure Databricks. Confira Acesso condicional.

Sincronizar usuários e grupos do Microsoft Entra ID usando o provisionamento do SCIM

Você pode usar o SCIM — ou Sistema de Gerenciamento de Usuários entre Domínios, um padrão aberto que lhe permite automatizar o provisionamento de usuários — para sincronizar usuários e grupos do Microsoft Entra ID para a sua conta do Azure Databricks automaticamente. O SCIM simplifica a integração de um novo funcionário ou equipe ao usar o Microsoft Entra ID para criar usuários e grupos no Azure Databricks e lhes conceder o nível de acesso adequado. Quando um usuário deixa sua organização ou não precisa mais de acesso ao Azure Databricks, os administradores podem remover o usuário no Microsoft Entra ID. A conta desse usuário também será removida do Azure Databricks. Isso garante um processo de integração consistente e impede que usuários não autorizados acessem dados confidenciais. Para obter mais informações, confira Sincronizar usuários e grupos do Microsoft Entra ID.

Autenticação de API segura com OAuth

O OAuth do Azure Databricks oferece suporte a credenciais seguras e acesso a recursos e operações no nível do workspace do Azure Databricks, além de suporte a permissões refinadas para autorização.

Para obter mais informações, confira Gerenciar permissões de token de acesso pessoal.

Para obter mais informações sobre como autenticar na automação do Azure Databricks de forma geral, consulte Autenticar o acesso a recursos do Azure Databricks.

O Databricks também oferece suporte a PATs (tokens de acesso pessoais), mas recomenda que você use o OAuth. Para obter detalhes sobre o uso de PATs, consulte Monitorar e gerenciar acesso a tokens de acesso pessoal.

Visão geral do controle de acesso

No Azure Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegível.

Objeto protegível Sistema de controle de acesso
Objetos protegíveis no nível do espaço de trabalho Listas de controle de acesso
Objetos protegíveis no nível da conta Controle de acesso baseado na função da conta
Objetos protegíveis por dados Catálogo do Unity

O Azure Databricks também fornece funções e direitos de administrador que são atribuídos diretamente a usuários, entidades de serviço e grupos.

Para obter informações sobre como proteger seus dados, consulte Governança de dados com o Catálogo do Unity.

Listas de controle de acesso

No Azure Databricks, você pode usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos de workspace, como notebooks e SQL Warehouses. Todos os usuários administradores do workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.

Controle de acesso baseado na função da conta

É possível usar o controle de acesso baseado na função da conta para configurar a permissão de uso de objetos no nível da conta, como entidades e grupos de serviço. As funções de conta são definidas uma vez, em sua conta e se aplicam em todos os espaços de trabalho. Todos os usuários administradores de conta podem gerenciar funções de conta, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes principais de serviço.

Siga estes artigos para obter mais informações sobre funções de conta em objetos específicos no nível da conta:

Funções de administrador do Databricks

Além do controle de acesso a objetos protegíveis, há funções incorporadas na plataforma Azure Databricks. Usuários, entidades de serviço e grupos podem receber funções.

Há dois níveis principais de privilégios de administrador disponíveis na plataforma do Azure Databricks:

  • Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo do Unity, o provisionamento de usuários e o gerenciamento de identidades no nível da conta.

  • Administradores de workspace: gerencie identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.

Além disso, os usuários podem receber essas funções de administrador específicas do recurso, que têm conjuntos mais estreitos de privilégios:

  • Administradores do Marketplace: gerencie o perfil de provedor do Databricks Marketplace de sua conta, incluindo a criação e o gerenciamento de listagens do Marketplace.
  • Os administradores de metastore: gerenciam os privilégios e a propriedade de todos os objetos protegíveis em um metastore do Unity Catalog como quem pode criar catálogos ou consultar uma tabela.

Os usuários também podem ser atribuídos a usuários do espaço de trabalho. Um usuário de espaço de trabalho tem a capacidade de fazer logon em um espaço de trabalho, onde pode receber permissões no nível do espaço de trabalho.

Para obter mais informações, consulte Configurar o SSO (logon único).

Direitos do espaço de trabalho

Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível do espaço de trabalho. Para obter mais informações, confira Gerenciar direitos.