Melhores práticas de identidade
Este artigo fornece uma perspectiva conceituada sobre como configurar melhor a identidade no Azure Databricks. Ele inclui um guia sobre como migrar para a federação de identidade, o que permite gerenciar todos os usuários, grupos e entidades de serviço na conta do Azure Databricks.
Para obter uma visão geral do modelo de identidade do Azure Databricks, confira Identidades do Azure Databricks.
Para obter informações sobre como acessar com segurança as APIs do Azure Databricks, consulte Autenticação de API segura.
Configurar usuários, entidades de serviço e grupos
Há três tipos de identidade no Azure Databricks:
- Usuários: identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de e-mail.
- Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
- Grupos: os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a workspaces, dados e outros objetos protegíveis.
O Databricks recomenda a criação de entidades de serviço para executar trabalhos de produção ou modificar dados de produção. Se todos os processos que atuam em dados de produção forem executados usando entidades de serviço, os usuários interativos não precisarão de privilégios de gravação, exclusão ou modificação na produção. Isso elimina o risco de um usuário substituir dados de produção por acidente.
É uma melhor prática atribuir acesso a espaços de trabalho e políticas de controle de acesso no Catálogo do Unity a grupos, em vez de aos usuários individualmente. Todas as identidades do Azure Databricks podem ser atribuídas como membros de grupos e membros herdam permissões atribuídas aos seus grupos.
A seguir estão as funções administrativas que podem gerenciar as identidades do Azure Databricks:
- Os administradores da conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções de administrador. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem a federação de identidade.
- Os administradores do espaço de trabalho podem adicionar usuários e entidades de serviço à conta do Azure Databricks. Eles também podem adicionar grupos à conta do Azure Databricks se seus espaços de trabalho estiverem habilitados para federação de identidade. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho.
- Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo.
- Os gerentes da entidade de serviço podem gerenciar funções em uma entidade de serviço.
O Databricks recomenda que haja um número limitado de administradores de conta por conta e administradores de espaço de trabalho em cada espaço de trabalho.
Sincronizar usuários e grupos do Microsoft Entra ID (antigo Azure Active Directory) com sua conta do Azure Databricks
O Databricks recomenda usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do Microsoft Entra ID (antigo Azure Active Directory) para sua conta do Azure Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe ao usar o Microsoft Entra ID para criar usuários e grupos no Azure Databricks e lhes conceder o nível de acesso adequado. Quando um usuário deixa sua organização ou não precisa mais de acesso ao Azure Databricks, os administradores podem remover o usuário no Microsoft Entra ID, o que também resultará na remoção da conta do usuário do Azure Databricks. Isso garante um processo de integração consistente e impede que usuários não autorizados acessem dados confidenciais.
Você deve ter como objetivo sincronizar todos os usuários e grupos que pretendem usar o Azure Databricks no console da conta em vez de espaços de trabalho individuais. Dessa forma, você só precisa configurar um aplicativo de provisionamento SCIM para manter todas as identidades consistentes em todos os espaços de trabalho da conta.
Importante
Se você já tiver conectores SCIM que sincronizam identidades diretamente em seus workspaces, desabilite-os quando o conector SCIM no nível da conta estiver habilitado. Consulte Fazer upgrade para federação de identidade.
Se você tiver menos de 10.000 usuários em seu provedor de identidade, o Databricks recomenda atribuir um grupo em seu provedor de identidade que contenha todos os usuários ao aplicativo SCIM no nível da conta. Usuários específicos, grupos e entidades de serviço podem ser atribuídos da conta à espaços de trabalho específicos no Azure Databricks usando a federação de identidade.
Habilitar a federação de identidade
A federação de identidade permite que você configure usuários, entidades de serviço e grupos no console da conta e atribua a essas identidades acesso a workspaces específicos. Isso simplifica a administração e a governança de dados do Azure Databricks.
Importante
Se a sua conta foi criada após 9 de novembro de 2023, a federação de identidade está habilitada em todos os novos workspaces por padrão e não pode ser desabilitada.
Com a federação de identidade, você configura usuários, entidades de serviço e grupos do Azure Databricks uma vez no console da conta, em vez de repetir a configuração separadamente em cada espaço de trabalho. Isso simplifica a integração de uma nova equipe ao Azure Databricks e permite que você mantenha um aplicativo de provisionamento SCIM com o Microsoft Entra ID para a conta do Azure Databricks, em vez de um aplicativo de provisionamento SCIM separado para cada workspace. Depois que usuários, entidades de serviço e grupos forem adicionados à conta, você poderá atribuir permissões a eles em workspaces. Você só pode atribuir acesso a identidades no nível da conta a workspaces habilitados para federação de identidade.
Para habilitar um workspace para federação de identidade, consulte Como os administradores habilitam a federação de identidade em um workspace?. Quando a atribuição for concluída, a federação de identidade será marcada como Habilitada na guia Configuração do workspace no console da conta.
A federação de identidade está habilitada no nível do espaço de trabalho e você pode ter uma combinação de espaços de trabalho federados de identidade federados e não de identidade. Para os workspaces que não estão habilitados para federação de identidade, os administradores do workspace gerenciam seus usuários de workspace, entidades de serviço e grupos inteiramente no escopo do workspace (o modelo herdado). Eles não podem usar o console da conta ou as APIs de nível de conta para atribuir usuários da conta a esses workspaces, mas podem usar qualquer uma das interfaces no nível do workspace. Sempre que um novo usuário ou entidade de serviço é adicionado a um workspace usando interfaces no nível do workspace, esse usuário ou entidade de serviço é sincronizado com o nível da conta. Isso permite que você tenha um conjunto consistente de usuários e entidades de serviço em sua conta.
No entanto, quando um grupo é adicionado a um workspace não federado por identidade usando interfaces no nível do workspace, esse grupo é um grupo local de workspace e não é adicionado à conta. Você deve usar grupos de contas em vez de grupos locais de workspace. Os grupos locais de workspace não podem receber políticas de controle de acesso no Catálogo do Unity ou permissões para outros workspaces.
Fazer upgrade para federação de identidade
Se você estiver habilitando a federação de identidade em um workspace existente, faça o seguinte:
Migrar o provisionamento do SCIM no nível do workspace para o nível da conta
Se você tiver o provisionamento SCIM no nível do workspace configurado para workspace, configure o provisionamento SCIM no nível da conta e desative o provisionador SCIM no nível do workspace. O SCIM no nível do workspace continuará a criar e atualizar grupos locais de workspace. O Databricks recomenda usar grupos de contas em vez de grupos locais de workspace para aproveitar a atribuição centralizada do workspace e o gerenciamento de acesso a dados usando o Catálogo do Unity. O SCIM no nível do espaço de trabalho não reconhece os grupos de contas atribuídos ao seu espaço de trabalho federado por identidade e as chamadas à API do SCIM no nível do espaço de trabalho falharão se envolverem grupos de contas. Para obter mais informações sobre como desabilitar o SCIM no nível do workspace, consulte Migrar o provisionamento SCIM no nível do workspace para o nível da conta.
Converta os grupos locais do workspace para grupos de contas.
O Databricks recomenda converter seus grupos locais de workspace existentes em grupos de contas. Confira Migrar grupos locais do workspace para grupos de contas para obter instruções.
Atribuir permissões de workspace de grupos
Agora que a federação de identidade está habilitada em seu workspace, você pode atribuir os usuários, entidades de serviço e grupos em suas permissões de conta nesse workspace. O Databricks recomenda que você atribua permissões de grupos a workspaces em vez de atribuir permissões de workspace aos usuários individualmente. Todas as identidades do Azure Databricks podem ser atribuídas como membros de grupos e membros herdam permissões atribuídas aos seus grupos.
Saiba mais
- Gerencie usuários, entidades de serviço e grupos, saiba mais sobre o modelo de identidade do Azure Databricks.
- Sincronizar usuários e grupos do Microsoft Entra ID, comece usando o provisionamento do SCIM.
- Melhores práticas do Catálogo do Unity, saiba como configurar melhor o Catálogo do Unity.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de