Gerenciar usuários, entidades de serviço e grupos
Este artigo apresenta o modelo de gerenciamento de identidade do Azure Databricks e fornece uma visão geral de como gerenciar usuários, grupos e entidades de serviço no Azure Databricks.
Para obter uma perspetiva opinativa sobre como configurar melhor a identidade no Azure Databricks, consulte Práticas recomendadas de identidade.
Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.
Identidades do Azure Databricks
Há três tipos de identidade do Azure Databricks:
- Usuários: identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de email.
- Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
- Grupos: uma coleção de identidades usadas por administradores para gerenciar o acesso do grupo a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. Há dois tipos de grupos no Azure Databricks: grupos de contas e grupos locais de espaço de trabalho. Para obter mais informações, consulte Diferença entre grupos de contas e grupos locais de espaço de trabalho.
Pode ter um máximo de 10 000 utilizadores e principais de serviço combinados e 5000 grupos numa conta. Cada área de trabalho pode ter um máximo de 10 000 utilizadores e principais de serviço combinados e 5000 grupos.
Para obter instruções detalhadas, consulte:
- Gerir utilizadores
- Gerir principais de serviço
- Gerir grupos
- Sincronizar utilizadores e grupos do Microsoft Entra ID
Quem pode gerenciar identidades no Azure Databricks?
Para gerenciar identidades no Azure Databricks, você deve ter uma das seguintes opções: a função de administrador de conta, a função de administrador de espaço de trabalho ou a função de gerente em uma entidade de serviço ou grupo.
Os administradores de conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções de administrador. Os administradores de conta podem atualizar e excluir usuários, entidades de serviço e grupos na conta. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidades.
Para estabelecer o administrador da sua primeira conta, consulte Estabelecer o administrador da sua primeira conta
Os administradores de espaço de trabalho podem adicionar usuários e entidades de serviço à conta do Azure Databricks. Eles também podem adicionar grupos à conta do Azure Databricks se seus espaços de trabalho estiverem habilitados para federação de identidades. Os administradores de espaços de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho. Eles não podem excluir usuários e entidades de serviço da conta.
Os administradores do espaço de trabalho também podem gerenciar grupos locais do espaço de trabalho. Para obter mais informações, consulte Gerenciar grupos locais de espaço de trabalho (legado).
Os gerentes de grupo podem gerenciar a associação ao grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta têm a função de gestor de grupo em todos os grupos da conta. Os administradores de espaço de trabalho têm a função de gerente de grupo nos grupos de contas que criam. Consulte Quem pode gerenciar grupos de contas?.
Os gerentes de entidade de serviço podem gerenciar funções em uma entidade de serviço. Os administradores de conta têm a função de gerente da entidade de serviço em todas as entidades de serviço na conta. Os administradores de espaço de trabalho têm a função de gerente da entidade de serviço nas entidades de serviço que criam. Para obter mais informações, consulte Funções para gerenciar entidades de serviço.
Como os administradores atribuem usuários à conta?
O Databricks recomenda usar o provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente do Microsoft Entra ID (anteriormente Azure Ative Directory) para sua conta do Azure Databricks. Os usuários em uma conta do Azure Databricks não têm acesso padrão a um espaço de trabalho, dados ou recursos de computação. Administradores de conta e administradores de espaço de trabalho podem atribuir usuários de conta a espaços de trabalho. Os administradores de espaço de trabalho também podem adicionar um novo usuário diretamente a um espaço de trabalho, que adiciona automaticamente o usuário à conta e os atribui a esse espaço de trabalho.
Usando o compartilhamento de painel para conta, os usuários podem compartilhar painéis publicados com outros usuários na conta Databricks, mesmo que esses usuários não sejam membros de seu espaço de trabalho. Para obter mais informações, consulte O que é compartilhar para conta?.
Para obter instruções detalhadas sobre como adicionar usuários à conta, consulte:
- Sincronizar utilizadores e grupos do Microsoft Entra ID
- Adicionar utilizadores à sua conta
- Adicionar entidades de serviço à sua conta
- Adicionar grupos à sua conta
Como os administradores atribuem usuários a espaços de trabalho?
Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um espaço de trabalho do Azure Databricks, um administrador de conta ou administrador de espaço de trabalho precisa atribuí-los a um espaço de trabalho. Você pode atribuir acesso ao espaço de trabalho a usuários, entidades de serviço e grupos existentes na conta, desde que o espaço de trabalho esteja habilitado para federação de identidades.
Os administradores de espaço de trabalho também podem adicionar um novo usuário, entidade de serviço ou grupo de contas diretamente a um espaço de trabalho. Essa ação adiciona automaticamente o usuário, a entidade de serviço ou o grupo de contas escolhido à conta e os atribui a esse espaço de trabalho específico.
Nota
Os administradores de espaços de trabalho também podem criar grupos locais de espaço de trabalho herdados em espaços de trabalho usando a API de Grupos de Espaço de Trabalho. Os grupos locais do espaço de trabalho não são adicionados automaticamente à conta. Os grupos locais do espaço de trabalho não podem ser atribuídos a espaços de trabalho adicionais ou não podem ter acesso aos dados em um metastore do Unity Catalog .
Para os espaços de trabalho que não estão habilitados para federação de identidades, os administradores do espaço de trabalho gerenciam seus usuários, entidades de serviço e grupos do espaço de trabalho inteiramente dentro do escopo do espaço de trabalho. Os usuários e entidades de serviço adicionados a espaços de trabalho federados sem identidade são adicionados automaticamente à conta. Os grupos adicionados a espaços de trabalho federados sem identidade são grupos locais de espaço de trabalho herdados que não são adicionados à conta.
Para obter instruções detalhadas, consulte:
- Adicionar usuários a um espaço de trabalho
- Adicionar entidades de serviço a um espaço de trabalho
- Adicionar grupos a um espaço de trabalho
Como os administradores habilitam a federação de identidades em um espaço de trabalho?
Se sua conta foi criada após 9 de novembro de 2023, a federação de identidades está habilitada em todos os novos espaços de trabalho por padrão e não pode ser desabilitada.
Para habilitar a federação de identidades em um espaço de trabalho, um administrador de conta precisa habilitar o espaço de trabalho para o Unity Catalog atribuindo um metastore do Unity Catalog. Consulte Habilitar um espaço de trabalho para o Catálogo Unity.
Quando a atribuição estiver concluída, a federação de identidades será marcada como Habilitada na guia Configuração do espaço de trabalho no console da conta.
Os administradores de espaço de trabalho podem saber se um espaço de trabalho tem a federação de identidades habilitada na página de configurações de administração do espaço de trabalho. Em um espaço de trabalho federado por identidade, quando você opta por adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do espaço de trabalho, você tem a opção de selecionar um usuário, entidade de serviço ou grupo da sua conta para adicionar ao espaço de trabalho.
Em um espaço de trabalho federado sem identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos de sua conta.
Atribuir funções de administrador
Os administradores de conta podem atribuir outros usuários como administradores de conta. Eles também podem se tornar administradores de metastore do Unity Catalog em virtude da criação de um metastore e podem transferir a função de administrador do metastore para outro usuário ou grupo.
Tanto os administradores de conta quanto os administradores de espaço de trabalho podem atribuir outros usuários como administradores de espaço de trabalho. A função de administrador do espaço de trabalho é determinada pela associação ao grupo de administradores do espaço de trabalho, que é um grupo padrão no Azure Databricks e não pode ser excluído.
Os administradores de conta também podem atribuir outros usuários como administradores do Marketplace.
Veja:
- Atribuir funções de administrador de conta a um utilizador
- Atribuir a função de administrador do espaço de trabalho a um usuário usando a página de configurações de administrador do espaço de trabalho
- Atribuir um administrador de metastore
- Atribuir a função de administrador do Marketplace
Configurando o logon único (SSO)
O logon único (SSO) na forma de logon apoiado pelo Microsoft Entra ID (anteriormente Azure Ative Directory) está disponível no Azure Databricks para todos os clientes. Você pode usar o logon único do Microsoft Entra ID para o console da conta e espaços de trabalho.
Consulte Logon único.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários