Administración de usuarios, entidades de servicio y grupos

  • Artículo

En este artículo se presenta el modelo de administración de identidades de Azure Databricks y se da una visión general sobre cómo administrar los usuarios, los grupos y las entidades de servicio en Azure Databricks.

Si quiere leer una perspectiva fundamentada sobre la mejor forma de configurar identidades en Azure Databricks, consulte Procedimientos recomendados para las identidades.

Para administrar el acceso a usuarios, entidades de servicio y grupos, consulte Autenticación y control de acceso.

Identidades de Azure Databricks

Hay tres tipos de identidades de Azure Databricks:

  • Usuarios: identidades de usuario reconocidas por Azure Databricks y representadas por direcciones de correo electrónico.
  • Entidades de servicio: identidades para uso con trabajos, herramientas automatizadas y sistemas como scripts, aplicaciones y plataformas de CI/CD.
  • Grupos: una colección de identidades usadas por los administradores para administrar el acceso de grupo a áreas de trabajo, datos y otros objetos protegibles. Todas las identidades de Databricks se pueden asignar como miembros de grupos. Hay dos tipos de grupos en Azure Databricks: grupos de cuentas y grupos locales del área de trabajo. Para más información, consulte Diferencia entre grupos de cuenta y grupos de área de trabajo local.

Puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5 000 grupos en una cuenta. Cada área de trabajo puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5 000 grupos.

Para obtener instrucciones detalladas consulte:

¿Quién puede administrar identidades en Azure Databricks?

Para administrar identidades en Azure Databricks, debe tener uno de los siguientes roles: el rol de administrador de cuentas, el rol de administrador de áreas de trabajo o el rol de administrador en una entidad de servicio o grupo.

  • Los administradores de cuentas pueden agregar usuarios, entidades de servicio y grupos a la cuenta y asignarles roles de administrador. Los administradores de cuentas pueden actualizar y eliminar usuarios, entidades de seguridad y grupos de la cuenta. Pueden conceder a los usuarios acceso a las áreas de trabajo, siempre y cuando esas áreas de trabajo usen la federación de identidades.

    Para establecer el primer administrador de la cuenta, consulte Establecimiento de su primer administrador de cuenta.

  • Los administradores de áreas de trabajo pueden agregar usuarios y entidades de servicio a la cuenta de Azure Databricks. También pueden agregar grupos a la cuenta de Azure Databricks si sus áreas de trabajo están habilitadas para la federación de identidades. Los administradores de áreas de trabajo pueden conceder a los usuarios, entidades de servicio y grupos acceso a sus áreas de trabajo. No pueden eliminar usuarios y entidades de servicio de la cuenta.

    Los administradores de áreas de trabajo también pueden administrar grupos locales de área de trabajo. Para más información, consulte Administración de grupos locales del área de trabajo (heredados).

  • Los administradores de grupo pueden administrar la pertenencia a grupos y eliminar el grupo. También pueden asignar a otros usuarios el rol de administrador de grupo. Los administradores de cuentas tienen el rol de administrador de grupos en todos los grupos de la cuenta. Los administradores de áreas de trabajo tienen el rol de administrador de grupos en los grupos de cuentas que crean. Consulte ¿Quién puede administrar grupos de cuentas?.

  • Los administradores de entidades de seguridad pueden administrar los roles de una entidad de seguridad. Los administradores de cuentas tienen el rol de administrador de entidades de servicio en todas las entidades de servicio de la cuenta. Los administradores de áreas de trabajo tienen el rol de administrador de entidades de servicio en las entidades de servicio que crean. Para más información, consulte Roles para administrar entidades de servicio.

¿Cómo los administradores asignan usuarios a la cuenta?

Databricks recomienda utilizar el aprovisionamiento de SCIM para sincronizar todos los usuarios y los grupos automáticamente desde Microsoft Entra ID (anteriormente Azure Active Directory) con su cuenta de Azure Databricks. Los usuarios de una cuenta de Azure Databricks no tienen acceso predeterminado a un área de trabajo, datos o recursos de proceso. Los administradores de cuentas y los administradores del área de trabajo pueden asignar usuarios de cuenta a áreas de trabajo. Los administradores del área de trabajo también pueden agregar un nuevo usuario directamente a un área de trabajo, lo que agrega automáticamente el usuario a la cuenta y los asigna a esa área de trabajo.

Con el recurso compartido de paneles a la cuenta, los usuarios pueden compartir paneles publicados con otros usuarios de la cuenta de Databricks, incluso si esos usuarios no son miembros de su área de trabajo. Para obtener más información, consulte ¿Qué es el recurso compartido a la cuenta?.

Para obtener instrucciones detalladas sobre cómo agregar usuarios a la cuenta, consulte:

¿Cómo asignan los administradores usuarios a las áreas de trabajo?

Para habilitar a un usuario, una entidad de servicio o un grupo para que trabaje en un área de trabajo de Azure Databricks, un administrador de cuentas o un administrador de áreas de trabajo debe asignarlos a un área de trabajo. Puede asignar acceso al área de trabajo a usuarios, entidades de servicio y grupos que existen en la cuenta siempre que un área de trabajo esté habilitada para la federación de identidades.

Los administradores del área de trabajo también pueden agregar un nuevo usuario, una entidad de servicio o un grupo de cuentas directamente a un área de trabajo. Esta acción agrega automáticamente el usuario elegido, la entidad de servicio o el grupo de cuentas a la cuenta y los asigna a esa área de trabajo determinada.

Diagrama de identidades de nivel de cuenta

Nota:

Los administradores del área de trabajo también pueden crear grupos locales del área de trabajo heredados en áreas de trabajo mediante la API grupos de áreas de trabajo. Los grupos locales del área de trabajo no se agregan automáticamente a la cuenta. Los grupos de área de trabajo local no se pueden asignar a áreas de trabajo adicionales ni tener acceso a los datos de un metastore del Catálogo de Unity.

Para aquellas áreas de trabajo que no están habilitadas para la federación de identidades, los administradores de áreas de trabajo administran sus usuarios, entidades de servicio y grupos completamente dentro del ámbito del área de trabajo. Los usuarios y las entidades de servicio agregadas a áreas de trabajo federadas que no son de identidad se agregan automáticamente a la cuenta. Los grupos agregados a áreas de trabajo federadas que no son de identidad son grupos locales del área de trabajo heredados que no se agregan a la cuenta.

Para obtener instrucciones detalladas consulte:

¿Cómo habilitan los administradores la federación de identidades en un área de trabajo?

Si su cuenta se ha creado después del 9 de noviembre de 2023, la federación de identidades está habilitada de manera predeterminada en todos las áreas de trabajo nuevas, y no se puede deshabilitar.

Para habilitar la federación de identidades en un área de trabajo, un administrador de cuentas debe habilitar el área de trabajo para el Catálogo de Unity mediante la asignación de un metastore del Catálogo de Unity. Consulte Habilitar un área de trabajo para Unity Catalog.

Una vez completada la asignación, la federación de identidades se marca como Habilitada en la pestaña Configuración del área de trabajo en la consola de la cuenta.

Los administradores del área de trabajo pueden indicar si un área de trabajo tiene habilitada la federación de identidades desde la página de configuración del administrador del área de trabajo. En un área de trabajo federada de identidad, cuando decida agregar un usuario, una entidad de servicio o un grupo en la configuración del administrador del área de trabajo, tiene la opción de seleccionar un usuario, una entidad de servicio o un grupo de la cuenta para agregarlo al área de trabajo.

Agregar federación de identidades de usuarios

En un área de trabajo federada que no sea de identidad, no tiene la opción de agregar usuarios, entidades de servicio o grupos de su cuenta.

Agregar usuarios en Azure

Asignación de roles de administrador

Los administradores de cuenta pueden asignar otros usuarios como administradores de cuenta. También pueden convertirse en administradores de metastore de Unity Catalog en virtud de la creación de un metastore, y pueden transferir el rol de administrador de metastore a otro usuario o grupo.

Tanto los administradores de cuenta como los administradores de área de trabajo pueden asignar otros usuarios como administradores de área de trabajo. El rol de administrador de área de trabajo viene determinado por la pertenencia al grupo de administradores del área de trabajo, que es un grupo predeterminado en Azure Databricks y no se puede eliminar.

Los administradores de cuentas también pueden asignar otros usuarios como administradores de Marketplace.

Vea:

Configuración del inicio de sesión único (SSO)

El inicio de sesión único (SSO) en forma de inicio de sesión de Microsoft Entra ID está disponible en Azure Databricks para todos los clientes. Puede usar el inicio de sesión único de Microsoft Entra ID tanto para la consola de la cuenta como para las áreas de trabajo.

Consulte Inicio de sesión único.