Gerenciar usuários

  • Artigo

Este artigo explica como adicionar, atualizar e remover usuários do Azure Databricks.

Para obter uma visão geral do modelo de identidade do Azure Databricks, confira Identidades do Azure Databricks.

Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.

Visão geral do gerenciamento de usuários

Para gerenciar usuários no Azure Databricks, você deve ser um administrador da conta ou um administrador do workspace.

  • Os administradores da conta podem adicionar usuários à conta e atribuí-los a funções de administrador. Eles também podem atribuir usuários a workspaces e configurar o acesso a dados para eles em workspaces, desde que esses workspaces usem a federação de identidade.

  • Os administradores do espaço de trabalho podem adicionar usuários a um workspace do Azure Databricks, atribuir a eles a função de administrador do espaço de trabalho e gerenciar o acesso a objetos e funcionalidades no espaço de trabalho, como a capacidade de criar clusters ou acessar ambientes baseados em persona especificados. A adição de um usuário a um workspace do Azure Databricks também o adiciona à conta.

    Os administradores do workspace são membros do adminsgrupo no workspace, que é um grupo reservado que não pode ser excluído.

    Os usuários com uma função de Colaborador ou Proprietário interno no recurso de espaço de trabalho no Azure recebem automaticamente a função de administrador do espaço de trabalho quando clicam em Iniciar Espaço de Trabalho no portal do Azure. Para obter mais informações, confira O que são administradores de espaço de trabalho?.

Importante

Se sua conta tiver sido criada após 9 de novembro de 2023, a federação de identidade será habilitada em todos os novos workspaces por padrão e não poderá ser desabilitada.

Sincronizar usuários do seu locatário do Microsoft Entra ID (antigo Azure Active Directory) para a sua conta do Azure Databricks

Administradores de conta podem sincronizar usuários do seu locatário do Microsoft Entra ID (antigo Azure Active Directory) para a sua conta do Azure Databricks usando um conector de provisionamento do SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente em seus workspaces, desabilite-os quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta.

Para obter instruções, consulte Provisionar identidades para a sua conta do Azure Databricks usando o Microsoft Entra ID.

Gerenciar usuários na sua conta

Os administradores de conta podem adicionar usuários à sua conta do Azure Databricks usando o console da conta. Os usuários de uma conta do Azure Databricks não têm acesso padrão a um workspace, a dados ou a recursos de computação.

Adicionar usuários à sua conta usando o console da conta

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Usuários, clique em Adicionar usuário.
  4. Insira um nome e o endereço de e-mail do usuário.
  5. Clique em Adicionar usuário.

Observação

Um usuário não pode pertencer a mais de 50 contas do Azure Databricks.

Para conceder aos usuários acesso a um workspace, você deve adicioná-los ao workspace. Consulte Gerenciar usuários em seu espaço de trabalho.

Atribuir funções de administrador de conta a um usuário

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Localize e clique no nome de usuário.
  4. Na guia Funções, ative a opção Administrador da conta ou Administrador do marketplace.

Atribuir um usuário a um workspace usando o console da conta

Para adicionar usuários a um espaço de trabalho usando o console da conta, o espaço de trabalho deve estar habilitado para federação de identidade. Os administradores do espaço de trabalho também podem atribuir usuários a espaços de trabalho usando a página de configurações do administrador do espaço de trabalho. Consulte Atribuir um usuário a um espaço de trabalho usando a página de configurações da administração do espaço de trabalho.

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Workspaces.
  3. Clique no nome do seu workspace.
  4. Na guia Permissões, clique em Adicionar permissões.
  5. Pesquise e selecione o usuário, atribua o nível de permissão (usuário do workspace ou Administrador) e clique em Salvar.

Remover um usuário de um workspace usando o console da conta

Para remover usuários de um espaço de trabalho usando o console da conta, o espaço de trabalho deve estar habilitado para federação de identidades. Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente ao workspace, ele recuperará suas permissões anteriores.

  1. Como administrador da conta, faça logon no console da conta
  2. Na barra lateral, clique em Workspaces.
  3. Clique no nome do seu workspace.
  4. Na guia Permissões, localize o usuário.
  5. Clique no Menu kebab menu kebab no canto direito da linha da usuário e selecione Remover.
  6. No diálogo de confirmação, clique em Remover.

Desativar um usuário na sua conta do Azure Databricks

Os administradores da conta podem desativar usuários em uma conta do Azure Databricks. Um usuário desativado não pode fazer logon na conta ou nos workspaces do Azure Databricks. No entanto, todas as permissões do usuário e os objetos do workspace permanecem inalterados. Quando um usuário é desativado, as seguintes condições são verdadeiras:

  • O usuário não pode fazer logon na conta e em nenhum dos seus workspaces com nenhum método.
  • Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
  • Os notebooks pertencentes ao usuário permanecem.
  • Os clusters pertencentes ao usuário permanecem em execução.
  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário for reativado, ele poderá fazer logon no Azure Databricks com as mesmas permissões. O Databricks recomenda desativar os usuários da conta em vez de removê-los, porque remover um usuário é uma ação destrutiva.

Não é possível desativar um usuário usando o console da conta. Em vez disso, use a API de Usuários de Conta. Confira Desativar um usuário em sua conta do Azure Databricks usando a API.

Remover usuários da sua conta do Azure Databricks

Os administradores da conta podem excluir os usuários de uma conta do Azure Databricks. Os administradores do workspace não podem. Ao excluir um usuário da conta, esse usuário também é removido de seus workspaces.

Importante

Quando você remove um usuário da conta, esse usuário também é removido de seus espaços de trabalho, independentemente de a federação de identidade ter sido habilitada ou não. Recomendamos que você se abstenha de excluir usuários no nível da conta, a menos que queira que eles percam acesso a todos os espaços de trabalho da conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar as APIs do Databricks
  • Os trabalhos pertencentes ao usuário falharão
  • Os clusters pertencentes ao usuário serão interrompidos
  • Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário terão que ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe

Quando um usuário é removido de uma conta, ele não pode mais acessar a conta ou seus workspaces, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente à conta, ele recuperará suas permissões anteriores.

Para remover um usuário usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Localize e clique no nome de usuário.
  4. Na guia Informações do usuário, clique no menu Kebab menu kebab no canto superior direito e selecione Excluir.
  5. No diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um usuário usando o console da conta, lembre-se de também remover o usuário usando quaisquer conectores de provisionamento do SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Caso contrário, o provisionamento do SCIM adicionará o usuário de volta na próxima vez que ele for sincronizado. Confira Sincronizar usuários e grupos do Microsoft Entra ID.

Para remover um usuário de uma conta do Azure Databricks usando APIs de SCIM, você deve ser um administrador da conta. Consulte Provisionar identidades para sua conta do Azure Databricks e aAPI de Grupos de Contas.

Gerenciar usuários no seu espaço de trabalho

Os administradores do espaço de trabalho podem adicionar e gerenciar usuários usando a página de configurações de administração do espaço de trabalho.

Atribuir um usuário a um espaço de trabalho usando a página de configurações da administração do espaço de trabalho

Para adicionar um usuário a um espaço de trabalho usando a página de configurações do administrador do espaço de trabalho, faça o seguinte:

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

  3. Clique na guia Identidade e acesso.

  4. Ao lado de Usuários, clique em Gerenciar.

  5. Clique em Adicionar Usuário.

  6. Selecione um usuário existente para atribuir ao workspace ou clique em Adicionar novo para criar um novo usuário.

    Você pode adicionar qualquer usuário que pertença ao locatário do Microsoft Entra ID (anteriormente Azure Active Directory) do seu workspace do Azure Databricks.

  7. Clique em Adicionar.

Observação

Se o seu espaço de trabalho não estiver habilitado para federação de identidade, você só verá a opção de adicionar um novo usuário ao espaço de trabalho. Se você adicionar um usuário que compartilhe um nome de usuário (endereço de email) com um usuário de conta existente, esses usuários serão mesclados.

Atribua a função de administrador do espaço de trabalho a um usuário usando a página de configurações do administração do espaço de trabalho

Para atribuir a função de administrador do espaço de trabalho usando a página de configurações do administrador do espaço de trabalho, faça o seguinte:

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Usuários, clique em Gerenciar.
  5. Selecionar o usuário.
  6. Clique na guia Direitos.
  7. Clique na alternância ao lado do acesso do Administrador.

Para remover a função de administrador do workspace de um usuário do workspace, execute as mesmas etapas, mas desmarque a alternância Administrador.

Desativar um usuário do workspace do Azure Databricks

Os administradores do workspace podem desativar usuários em um workspace do Azure Databricks. Um usuário desativado não pode fazer logon no workspace ou acessá-lo a partir das APIs do Azure Databricks. No entanto, todas as permissões do usuário e os objetos do workspace permanecem inalterados. Quando um usuário é desativado:

  • O usuário não pode fazer logon nos workspaces a partir de nenhum método.
  • O status do usuário é mostrado como Inativo na página de configuração do administrador do workspace.
  • Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
  • Os notebooks pertencentes ao usuário permanecem.
  • Os clusters pertencentes ao usuário permanecem em execução.
  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário é reativado, ele pode fazer logon no workspace com as mesmas permissões. O Databricks recomenda desativar os usuários em vez de removê-los, porque remover um usuário é uma ação destrutiva. Não é possível desativar um usuário usando a página de configurações da administração do espaço de trabalho. Em vez disso, use a API de Usuários do Espaço de Trabalho. Confira Desativar um usuário em seu workspace do Azure Databricks usando a API.

Remover um usuário de um espaço de trabalho usando a página de configurações do administrador do espaço de trabalho

Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente ao workspace, ele recuperará suas permissões anteriores.

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Usuários, clique em Gerenciar.
  5. Localize o usuário e Menu kebab o menu kebab à direita da linha do usuário e selecione Remover.
  6. Clique em Excluir para confirmar.

Gerenciar usuários usando a API

Administradores de conta e administradores de workspace podem gerenciar usuários na conta e nos workspaces do Azure Databricks usando APIs do Databricks.

Gerenciar usuários na conta usando a API

Os administradores podem adicionar e gerenciar usuários na conta do Azure Databricks usando a API de Usuários de Conta. Administradores de conta e administradores de workspace invocam a API usando uma URL de ponto de extremidade diferente:

  • Os administradores da conta usam {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • Os administradores do workspace usam {workspace-domain}/api/2.0/account/scim/v2/.

Para detalhes, confira a API de usuários de contas.

Desative um usuário em sua conta do Azure Databricks usando a API

Os administradores de conta podem alterar o status de um usuário para desativá-lo usando a API de Usuários de Contas. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

O status de um usuário desativado fica rotulado como Inativo no console da conta.

Ao desativar um usuário da conta, esse usuário também é desativado de seus espaços de trabalho.

Gerenciar usuários no workspace usando a API

Os administradores de conta e espaço de trabalho podem usar a API de atribuição de espaço de trabalho para atribuir usuários a espaços de trabalho habilitados para federação de identidade. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.

  • Os administradores da conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Consulte API de Atribuição do Espaço de Trabalho.

Se o seu espaço de trabalho não estiver habilitado para a federação por identidade, um administrador do espaço de trabalho poderá usar as APIs no nível do espaço de trabalho para atribuir usuários aos seus espaços de trabalho. Consulte API de Usuários do Espaço de Trabalho.

Desative um usuário em seu workspace do Azure Databricks usando a API

Os administradores do Workspace podem alterar o status de um usuário para desativá-lo usando a API de Usuários do Espaço de Trabalho. Por exemplo:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

O status de um usuário desativado fica rotulado como Inativo na página de configurações do administrador do workspace.