Partilhar via

Gerenciar usuários, entidades de serviço e grupos

  • Artigo

Este artigo apresenta o modelo de gerenciamento de identidade do Azure Databricks e fornece uma visão geral de como gerenciar usuários, grupos e entidades de serviço no Azure Databricks.

Para obter uma perspetiva opinativa sobre como configurar melhor a identidade no Azure Databricks, consulte Práticas recomendadas de identidade.

Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.

Identidades do Azure Databricks

Há três tipos de identidade do Azure Databricks:

  • Usuários: identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de email.
  • Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
  • Grupos: uma coleção de identidades usadas por administradores para gerenciar o acesso do grupo a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. Há dois tipos de grupos no Azure Databricks: grupos de contas e grupos locais de espaço de trabalho. Para obter mais informações, consulte Diferença entre grupos de contas e grupos locais de espaço de trabalho.

Pode ter um máximo de 10 000 utilizadores e principais de serviço combinados e 5000 grupos numa conta. Cada área de trabalho pode ter um máximo de 10 000 utilizadores e principais de serviço combinados e 5000 grupos.

Para obter instruções detalhadas, consulte:

Quem pode gerenciar identidades no Azure Databricks?

Para gerenciar identidades no Azure Databricks, você deve ter uma das seguintes opções: a função de administrador de conta, a função de administrador de espaço de trabalho ou a função de gerente em uma entidade de serviço ou grupo.

  • Os administradores de conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções de administrador. Os administradores de conta podem atualizar e excluir usuários, entidades de serviço e grupos na conta. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidades.

    Para estabelecer o administrador da sua primeira conta, consulte Estabelecer o administrador da sua primeira conta

  • Os administradores de espaço de trabalho podem adicionar usuários e entidades de serviço à conta do Azure Databricks. Eles também podem adicionar grupos à conta do Azure Databricks se seus espaços de trabalho estiverem habilitados para federação de identidades. Os administradores de espaços de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho. Eles não podem excluir usuários e entidades de serviço da conta.

    Os administradores do espaço de trabalho também podem gerenciar grupos locais do espaço de trabalho. Para obter mais informações, consulte Gerenciar grupos locais de espaço de trabalho (legado).

  • Os gerentes de grupo podem gerenciar a associação ao grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta têm a função de gestor de grupo em todos os grupos da conta. Os administradores de espaço de trabalho têm a função de gerente de grupo nos grupos de contas que criam. Consulte Quem pode gerenciar grupos de contas?.

  • Os gerentes de entidade de serviço podem gerenciar funções em uma entidade de serviço. Os administradores de conta têm a função de gerente da entidade de serviço em todas as entidades de serviço na conta. Os administradores de espaço de trabalho têm a função de gerente da entidade de serviço nas entidades de serviço que criam. Para obter mais informações, consulte Funções para gerenciar entidades de serviço.

Como os administradores atribuem usuários à conta?

O Databricks recomenda o uso do provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente da ID do Microsoft Entra com sua conta do Azure Databricks. Os usuários em uma conta do Azure Databricks não têm acesso padrão a um espaço de trabalho, dados ou recursos de computação. Administradores de conta e administradores de espaço de trabalho podem atribuir usuários de conta a espaços de trabalho. Os administradores de espaço de trabalho também podem adicionar um novo usuário diretamente a um espaço de trabalho, que adiciona automaticamente o usuário à conta e os atribui a esse espaço de trabalho.

Os usuários podem compartilhar painéis publicados com outros usuários na conta do Azure Databricks, mesmo que esses usuários não sejam membros de seu espaço de trabalho. Os usuários na conta do Azure Databricks que não são membros de nenhum espaço de trabalho são o equivalente aos usuários somente exibição em outras ferramentas. Eles podem exibir objetos que foram compartilhados com eles, mas não podem modificar objetos. Para obter mais informações, consulte Gerenciamento de usuários e grupos para compartilhamento de painéis.

Para obter instruções detalhadas sobre como adicionar usuários à conta, consulte:

Como os administradores atribuem usuários a espaços de trabalho?

Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um espaço de trabalho do Azure Databricks, um administrador de conta ou administrador de espaço de trabalho precisa atribuí-los a um espaço de trabalho. Você pode atribuir acesso ao espaço de trabalho a usuários, entidades de serviço e grupos existentes na conta, desde que o espaço de trabalho esteja habilitado para federação de identidades.

Os administradores de espaço de trabalho também podem adicionar um novo usuário, entidade de serviço ou grupo de contas diretamente a um espaço de trabalho. Essa ação adiciona automaticamente o usuário, a entidade de serviço ou o grupo de contas escolhido à conta e os atribui a esse espaço de trabalho específico.

Diagrama de identidade no nível da conta

Nota

Os administradores de espaços de trabalho também podem criar grupos locais de espaço de trabalho herdados em espaços de trabalho usando a API de Grupos de Espaço de Trabalho. Os grupos locais do espaço de trabalho não são adicionados automaticamente à conta. Os grupos locais do espaço de trabalho não podem ser atribuídos a espaços de trabalho adicionais ou não podem ter acesso aos dados em um metastore do Unity Catalog .

Para os espaços de trabalho que não estão habilitados para federação de identidades, os administradores do espaço de trabalho gerenciam seus usuários, entidades de serviço e grupos do espaço de trabalho inteiramente dentro do escopo do espaço de trabalho. Os usuários e entidades de serviço adicionados a espaços de trabalho federados sem identidade são adicionados automaticamente à conta. Os grupos adicionados a espaços de trabalho federados sem identidade são grupos locais de espaço de trabalho herdados que não são adicionados à conta.

Se o usuário do espaço de trabalho compartilhar um nome de usuário (endereço de email) com um usuário ou administrador de conta que já existe, esses usuários serão mesclados.

Para obter instruções detalhadas, consulte:

Como os administradores habilitam a federação de identidades em um espaço de trabalho?

O Databricks começou a habilitar novos espaços de trabalho para federação de identidades e Unity Catalog automaticamente em 9 de novembro de 2023, com uma implementação prosseguindo gradualmente entre contas. Se o espaço de trabalho estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, consulte Ativação automática do catálogo Unity.

Para habilitar a federação de identidades em um espaço de trabalho, um administrador de conta precisa habilitar o espaço de trabalho para o Unity Catalog atribuindo um metastore do Unity Catalog. Consulte Habilitar um espaço de trabalho para o Catálogo Unity.

Quando a atribuição estiver concluída, a federação de identidades será marcada como Habilitada na guia Configuração do espaço de trabalho no console da conta.

Os administradores de espaço de trabalho podem saber se um espaço de trabalho tem a federação de identidades habilitada na página de configurações de administração do espaço de trabalho. Em um espaço de trabalho federado por identidade, quando você opta por adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do espaço de trabalho, você tem a opção de selecionar um usuário, entidade de serviço ou grupo da sua conta para adicionar ao espaço de trabalho.

Adicionar federação de identidade de usuário

Em um espaço de trabalho federado sem identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos de sua conta.

Atribuir funções de administrador

Os administradores de conta podem atribuir outros usuários como administradores de conta. Eles também podem se tornar administradores de metastore do Unity Catalog em virtude da criação de um metastore e podem transferir a função de administrador do metastore para outro usuário ou grupo.

Tanto os administradores de conta quanto os administradores de espaço de trabalho podem atribuir outros usuários como administradores de espaço de trabalho. A função de administrador do espaço de trabalho é determinada pela associação ao grupo de administradores do espaço de trabalho, que é um grupo padrão no Azure Databricks e não pode ser excluído.

Os administradores de conta também podem atribuir outros usuários como administradores do Marketplace.

Veja:

Configurando o logon único (SSO)

O logon único (SSO) na forma de logon apoiado por ID do Microsoft Entra está disponível no Azure Databricks para todos os clientes. Você pode usar o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho.

Consulte Logon único.