Gerenciar usuários, entidades de serviço e grupos
Este artigo apresenta o modelo de gerenciamento de identidades do Azure Databricks e fornece uma visão geral de como gerenciar usuários, grupos e entidades de serviço no Azure Databricks.
Para obter uma perspectiva conceituada sobre como configurar melhor a identidade no Azure Databricks, consulte Melhores práticas de identidade.
Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.
Identidades do Azure Databricks
Há três tipos de identidade no Azure Databricks:
- Usuários: identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de e-mail.
- Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
- Grupos: uma coleção de identidades usadas pelos administradores para gerenciar o acesso de grupo a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. Existem dois tipos de grupos no Azure Databricks: grupos de contas e grupos locais do espaço de trabalho. Para obter mais informações, consulte Tipos de grupos no Azure Databricks.
Uma conta do Azure Databricks pode ter no máximo 10.000 usuários combinados e entidades de serviço, juntamente com até 5.000 grupos. Cada workspace também pode ter um máximo de 10.000 usuários combinados e entidades de serviço como membros, juntamente com até 5.000 grupos.
Para obter instruções detalhadas, consulte:
- Gerenciar usuários
- Gerenciar entidades de serviço
- Gerenciar grupos
- Sincronizar usuários e grupos do Microsoft Entra ID
Quem pode gerenciar identidades no Azure Databricks?
Para gerenciar identidades no Azure Databricks, você deve ter um dos seguintes: a função de administrador da conta, a função de administrador do espaço de trabalho ou a função de gerente em uma entidade ou grupo de serviço.
Os administradores da conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções de administrador. Os administradores de conta podem atualizar e excluir usuários, entidades de serviço e grupos na conta. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem a federação de identidade.
Para estabelecer seu primeiro administrador de conta, confira Estabelecer seu primeiro administrador de conta
Os administradores do espaço de trabalho podem adicionar usuários e entidades de serviço à conta do Azure Databricks. Eles também podem adicionar grupos à conta do Azure Databricks se seus espaços de trabalho estiverem habilitados para federação de identidade. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho. Eles não podem excluir usuários e entidades de serviço da conta.
Os administradores do espaço de trabalho também podem gerenciar grupos locais do espaço de trabalho. Para obter mais informações, consulte Gerenciar grupos locais do espaço de trabalho (herdado).
Os gerentes de grupo podem gerenciar a associação do grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores da conta têm a função de gerente de grupo em todos os grupos da conta. Os administradores do espaço de trabalho têm a função de gerente de grupo nos grupos de contas que eles criam. Consulte Quem pode gerenciar os grupos de contas?.
Os gerentes da entidade de serviço podem gerenciar funções em uma entidade de serviço. Os administradores da conta têm a função de gerente da entidade de serviço em todas as entidades de serviço da conta. Os administradores do espaço de trabalho têm a função de gerente de entidade de serviço nas entidades de serviço que eles criam. Para obter mais informações, consulte Funções para gerenciar entidades de serviço.
Como os administradores atribuem usuários à conta?
O Databricks recomenda usar o provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente do Microsoft Entra ID para sua conta do Azure Databricks. Os usuários de uma conta do Azure Databricks não têm acesso padrão a um workspace, a dados ou a recursos de computação. Os administradores da conta e do workspace podem atribuir usuários da conta a workspaces. Os administradores do workspace também podem adicionar um novo usuário ou entidade de serviço diretamente a um workspace, que adiciona automaticamente o usuário à conta e os atribui a esse workspace.
Usuários podem compartilhar painéis publicados com outros usuários na conta do Azure Databricks, mesmo que esses usuários não sejam membros do workspace deles. Os usuários na conta do Azure Databricks que não são membros de nenhum workspace são equivalentes a usuários com acesso somente exibição em outras ferramentas. Eles podem exibir objetos que foram compartilhados com eles, mas não podem modificar objetos. Para obter mais informações, consulte Gerenciamento de usuários e grupos para compartilhamento de painéis.
Para obter instruções detalhadas sobre como adicionar usuários à conta, consulte:
- Sincronizar usuários e grupos do Microsoft Entra ID
- Adicionar usuários à sua conta
- Adicionar entidades de serviço à conta
- Adicionar grupos à conta
Como os administradores atribuem usuários a workspaces?
Para habilitar um usuário, entidade de serviço ou grupo para trabalhar em um workspace do Azure Databricks, um administrador da conta ou do workspace precisará atribuí-lo a um workspace. Você pode atribuir acesso ao workspace a usuários, entidades de serviço e grupos existentes na conta, desde que o workspace esteja habilitado para federação de identidade.
Os administradores do workspace também podem adicionar um novo usuário, entidade de serviço ou grupo de contas diretamente a um workspace. Essa ação adiciona automaticamente o usuário escolhido, a entidade de serviço ou o grupo de contas à conta e os atribui a esse workspace específico.
Observação
Os administradores do workspace também podem criar grupos locais de workspace herdados em workspaces usando a API de Grupos de Workspace. Os grupos locais do workspace não são adicionados automaticamente à conta. Grupos locais de workspace não podem ser atribuídos a workspaces adicionais ou receber acesso a dados em um metastore do Catálogo do Unity.
Para os workspaces que não estão habilitados para federação de identidade, os administradores do workspace gerenciam seus usuários, entidades de serviço e grupos do workspace inteiramente no escopo do workspace. Usuários e entidades de serviço adicionados a workspaces federados não por identidade são adicionados automaticamente à conta. Os grupos adicionados a workspaces federados não por identidade são grupos locais de workspace herdados que não são adicionados à conta.
Se o usuário do workspace compartilhar um nome de usuário (endereço de email) com um usuário ou administrador da conta que já existe, esses usuários serão mesclados.
Para obter instruções detalhadas, consulte:
- Adicionar usuários a um workspace
- Adicionar entidades de serviço a um workspace
- Adicionar grupos a um workspace
Como os administradores habilitam a federação de identidade em um workspace?
O Databricks começou a habilitar novos workspaces para o Catálogo do Unity automaticamente em 9 de novembro de 2023, com uma distribuição gradual entre contas. Se o workspace estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, confira Habilitação automática do Catálogo do Unity.
Para habilitar a federação de identidade em um workspace, um administrador da conta precisa habilitar o workspace para o Catálogo do Unity atribuindo um metastore do Catálogo do Unity. Consulte Habilitar um workspace para o Catálogo do Unity.
Quando a atribuição for concluída, a federação de identidade será marcada como Habilitada na guia Configuração do workspace no console da conta.
Os administradores do workspace sabem se um workspace tem a federação de identidade habilitada na página de configurações do administrador do workspace. Em um workspace federado de identidade, quando você opta por adicionar um usuário, entidade de serviço ou grupo nas configurações do administrador do workspace, você tem a opção de selecionar um usuário, entidade de serviço ou grupo de sua conta para adicionar ao workspace.
Em um workspace federado não de identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos de sua conta.
Atribuindo funções de administrador
Os administradores da conta podem atribuir outros usuários como administradores da conta. Eles também podem se tornar administradores de metastore do Catálogo do Unity em virtude da criação de um metastore e podem transferir a função de administrador de metastore para outro usuário ou grupo.
Os administradores da conta e do workspace podem atribuir outros usuários como administradores do workspace. A função de administrador do workspace é determinada pela associação no grupo de administradores do workspace, que é um grupo padrão no Azure Databricks e não pode ser excluído.
Os administradores da conta também podem atribuir outros usuários como administradores do Marketplace.
Consulte:
- Atribuir funções de administrador de conta a um usuário
- Atribua a função de administrador do espaço de trabalho a um usuário usando a página de configurações do administração do espaço de trabalho
- Atribuir um administrador de metastore
- Atribuir a função de administrador do Marketplace
Configuração de SSO (logon único)
O SSO (logon único) na forma de logon com suporte do Microsoft Entra ID está disponível no Azure Databricks para todos os clientes. Você pode usar o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho.
Consulte Logon único usando a ID do Microsoft Entra.