Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Esse recurso está em Visualização Pública.
Este artigo descreve como configurar o Azure Databricks para sincronizar usuários, entidades de serviço e grupos da ID do Microsoft Entra usando o gerenciamento automático de identidade.
Visão geral do gerenciamento automático de identidade
O gerenciamento automático de identidade permite que você adicione diretamente usuários, entidades de serviço e grupos da ID do Microsoft Entra no Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. Quando o gerenciamento automático de identidade estiver habilitado, você pode pesquisar diretamente nos workspaces federados de identidade por usuários, entidades de serviço e grupos do Microsoft Entra ID, e adicioná-los ao seu workspace. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nas associações de grupo são respeitadas no Azure Databricks.
Os usuários também podem compartilhar painéis com qualquer usuário, entidade de serviço ou grupo na ID do Microsoft Entra. Esses usuários são adicionados automaticamente à conta do Azure Databricks após o logon. Eles não são adicionados como membros à área de trabalho na qual o painel está. Membros do Microsoft Entra ID que não têm acesso ao espaço de trabalho recebem acesso a uma cópia somente para visualização de um painel publicado com credenciais incorporadas. Para obter mais informações sobre o compartilhamento de dashboard, consulte Compartilhar um painel.
Não há suporte para o gerenciamento automático de identidade em workspaces federados não identitários. Para obter mais informações sobre federação de identidade, consulte Habilitar federação de identidade.
Status do usuário e do grupo
Quando o gerenciamento automático de identidade está habilitado, usuários, entidades de serviço e grupos da ID do Microsoft Entra ficam visíveis no console da conta e na página de configurações do administrador do workspace. O status deles reflete a atividade e o estado entre o Microsoft Entra ID e o Azure Databricks:
| Situação | Significado |
|---|---|
| Inativo: sem uso | Identidade no Microsoft Entra ID que ainda não fez logon no Azure Databricks. |
| Ativo | A identidade está ativa no Azure Databricks. |
| Ativo: Removido do EntraID | Anteriormente estava ativo no Azure Databricks e foi removido da ID do Microsoft Entra. |
| Desativado | A identidade foi desativada no Microsoft Entra ID. |
Usuários desativados e removidos do Microsoft Entra ID não podem efetuar login no Azure Databricks ou autenticar-se nas APIs do Azure Databricks. Como prática recomendada de segurança, recomendamos revogar tokens de acesso pessoal para usuários Desativados e Ativos: Removidos da EntraID .
Grupos e entidades de serviço que são gerenciados usando o gerenciamento automático de identidade são mostrados como Externos no Azure Databricks. Identidades externas não podem ser atualizadas usando a interface do usuário do Azure Databricks.
Gerenciamento automático de identidade versus provisionamento SCIM
Quando o gerenciamento automático de identidades está habilitado, todos os usuários, grupos e afiliações de grupo são sincronizados do Microsoft Entra ID para o Azure Databricks, de modo que o provisionamento SCIM não é necessário. Se você mantiver o aplicativo empresarial SCIM em execução em paralelo, o aplicativo SCIM continuará a gerenciar usuários e grupos configurados no aplicativo empresarial Microsoft Entra ID. Ele não gerencia identidades do Microsoft Entra ID que não foram adicionadas usando o provisionamento SCIM.
O Databricks recomenda o uso do gerenciamento automático de identidade. A tabela a seguir compara os recursos de gerenciamento automático de identidades com os recursos do provisionamento SCIM.
| Características | Gerenciamento automático de identidade | Provisionamento SCIM |
|---|---|---|
| Sincronizar usuários | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Somente membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Princípios do serviço de sincronização | ✓ | |
| Configurar e gerenciar o aplicativo de ID do Microsoft Entra | ✓ | |
| Requer a edição Premium do Microsoft Entra ID | ✓ | |
| Requer a função de administrador do aplicativo em nuvem do Microsoft Entra ID | ✓ | |
| Requer federação de identidade | ✓ |
ID externa do Azure Databricks e ID de objeto do Microsoft Entra ID
O Azure Databricks usa a ID do Microsoft Entra ObjectId como o link autoritativo para sincronizar identidades e associações de grupo e atualiza automaticamente o campo externalId para corresponder no fluxo recorrente diário ao ObjectId. Em alguns casos, incompatibilidades ou identidades duplicadas ainda podem ocorrer, especialmente se um usuário, principal de serviço ou grupo for adicionado ao Azure Databricks por meio do gerenciamento automático de identidades e de outro método, como o provisionamento SCIM. Nessas situações, você pode ver entradas duplicadas, com uma listagem com o status de Inativo: sem uso. O usuário não está inativo e pode fazer logon no Azure Databricks.
Você pode mesclar essas identidades duplicadas fornecendo sua ID externa no Azure Databricks. Use a API Usuários da Conta, Entidades de Serviço da Conta ou Grupos de Contas para atualizar a entidade de segurança a fim de adicionar a objectId do Microsoft Entra ID ao campo externalId.
Como o externalId pode ser atualizado ao longo do tempo, a Azure Databricks recomenda fortemente que você não use fluxos de trabalho personalizados que dependem do externalId.
Habilitar o gerenciamento automático de identidade
Os administradores de conta podem habilitar o gerenciamento automático de identidade usando a página Visualizações.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Visualizações.
- Alterne o gerenciamento automático de identidade para Ativado.
Depois que sua conta estiver habilitada, para adicionar e remover usuários, entidades de serviço e grupos da ID do Microsoft Entra, siga as instruções abaixo:
Quando o gerenciamento automático de identidade está habilitado, os administradores da conta podem desabilitá-lo usando a página Visualizações. Quando desabilitados, os usuários, as entidades de serviço e os grupos provisionados anteriormente permanecem no Azure Databricks, mas não são mais sincronizados com a ID do Microsoft Entra. Você pode remover ou desativar esses usuários no console da conta.
Auditar logons do usuário
Você pode consultar a tabela system.access.audit para auditar quais usuários fizeram login no workspace. Por exemplo:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Para mais informações sobre a tabela system.access.audit, consulte Referência da tabela do sistema de log de auditoria.