Práticas recomendadas de identidade

Este artigo fornece uma perspetiva opinativa sobre como configurar melhor a identidade no Azure Databricks. Inclui um guia sobre como migrar para a federação de identidades, que lhe permite gerir todos os seus utilizadores, grupos e entidades de serviço na conta do Azure Databricks.

Para obter uma visão geral do modelo de identidade do Azure Databricks, consulte Identidades do Azure Databricks.

Para obter informações sobre como acessar com segurança as APIs do Azure Databricks, consulte Gerenciar permissões de token de acesso pessoal.

Configurar usuários, entidades de serviço e grupos

Há três tipos de identidade do Azure Databricks:

• Usuários: identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de email.
• Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
• Grupos: os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a espaços de trabalho, dados e outros objetos protegíveis.

O Databricks recomenda a criação de entidades de serviço para executar trabalhos de produção ou modificar dados de produção. Se todos os processos que atuam nos dados de produção forem executados usando entidades de serviço, os usuários interativos não precisarão de nenhum privilégio de gravação, exclusão ou modificação na produção. Isso elimina o risco de um usuário substituir dados de produção por acidente.

É uma prática recomendada atribuir acesso a espaços de trabalho e políticas de controle de acesso no Unity Catalog a grupos, em vez de a usuários individualmente. Todas as identidades do Azure Databricks podem ser atribuídas como membros de grupos e os membros herdam permissões atribuídas ao seu grupo.

A seguir estão as funções administrativas que podem gerenciar identidades do Azure Databricks:

• Os administradores de conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções de administrador. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidades.
• Os administradores do espaço de trabalho podem adicionar usuários, entidades de serviço à conta do Azure Databricks. Eles também podem adicionar grupos à conta do Azure Databricks se seus espaços de trabalho estiverem habilitados para federação de identidades. Os administradores de espaços de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho.
• Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo.
• Os gerentes de entidade de serviço podem gerenciar funções em uma entidade de serviço.

O Databricks recomenda que haja um número limitado de administradores de conta por conta e administradores de espaço de trabalho em cada espaço de trabalho.

Sincronizar usuários e grupos da ID do Microsoft Entra com sua conta do Azure Databricks

O Databricks recomenda o uso do provisionamento SCIM para sincronizar usuários e grupos automaticamente do Microsoft Entra ID para sua conta do Azure Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe usando a ID do Microsoft Entra para criar usuários e grupos no Azure Databricks e dar-lhes o nível adequado de acesso. Quando um usuário sai da sua organização ou não precisa mais acessar o Azure Databricks, os administradores podem encerrar o usuário na ID do Microsoft Entra e a conta desse usuário também será removida do Azure Databricks. Isso garante um processo de desembarque consistente e impede que usuários não autorizados acessem dados confidenciais.

Você deve procurar sincronizar todos os usuários e grupos no Microsoft Entra ID com o console da conta, em vez de espaços de trabalho individuais. Dessa forma, você só precisa configurar um aplicativo de provisionamento SCIM para manter todas as identidades consistentes em todos os espaços de trabalho da conta. Consulte Permitir que todos os usuários do Microsoft Entra ID acessem o Azure Databricks.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Atualizar para federação de identidades.

Se você tiver menos de 10.000 usuários em seu provedor de identidade, o Databricks recomenda atribuir um grupo em seu provedor de identidade que contenha todos os usuários ao aplicativo SCIM no nível da conta. Usuários, grupos e entidades de serviço específicos podem ser atribuídos da conta a espaços de trabalho específicos no Azure Databricks usando a federação de identidades.

Habilitar federação de identidades

A federação de identidades permite configurar usuários, entidades de serviço e grupos no console de conta e, em seguida, atribuir acesso a essas identidades a espaços de trabalho específicos. Isso simplifica a administração e a governança de dados do Azure Databricks.

Importante

O Databricks começou a habilitar novos espaços de trabalho para federação de identidades e Unity Catalog automaticamente em 9 de novembro de 2023, com uma implementação prosseguindo gradualmente entre contas. Se o espaço de trabalho estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, consulte Ativação automática do catálogo Unity.

Com a federação de identidades, você configura usuários, entidades de serviço e grupos do Azure Databricks uma vez no console da conta, em vez de repetir a configuração separadamente em cada espaço de trabalho. Isso reduz o atrito na integração de uma nova equipe ao Azure Databricks e permite que você mantenha um aplicativo de provisionamento SCIM com ID do Microsoft Entra para a conta do Azure Databricks, em vez de um aplicativo de provisionamento SCIM separado para cada espaço de trabalho. Depois que usuários, entidades de serviço e grupos forem adicionados à conta, você poderá atribuir-lhes permissões em espaços de trabalho. Você só pode atribuir acesso de identidades no nível da conta a espaços de trabalho habilitados para federação de identidades.

Para habilitar um espaço de trabalho para federação de identidades, consulte Como os administradores habilitam a federação de identidades em um espaço de trabalho?. Quando a atribuição estiver concluída, a federação de identidades será marcada como Habilitada na guia Configuração do espaço de trabalho no console da conta.

A federação de identidades está habilitada no nível do espaço de trabalho e você pode ter uma combinação de espaços de trabalho federados por identidade e não federados por identidade. Para os espaços de trabalho que não estão habilitados para federação de identidades, os administradores do espaço de trabalho gerenciam seus usuários, entidades de serviço e grupos do espaço de trabalho inteiramente dentro do escopo do espaço de trabalho (o modelo herdado). Eles não podem usar o console da conta ou APIs no nível da conta para atribuir usuários da conta a esses espaços de trabalho, mas podem usar qualquer uma das interfaces no nível do espaço de trabalho. Sempre que um novo usuário ou entidade de serviço é adicionado a um espaço de trabalho usando interfaces no nível do espaço de trabalho, esse usuário ou entidade de serviço é sincronizado com o nível da conta. Isso permite que você tenha um conjunto consistente de usuários e entidades de serviço em sua conta.

No entanto, quando um grupo é adicionado a um espaço de trabalho federado sem identidade usando interfaces no nível do espaço de trabalho, esse grupo é um grupo local do espaço de trabalho e não é adicionado à conta. Você deve procurar usar grupos de contas em vez de grupos locais de espaço de trabalho. Os grupos locais do espaço de trabalho não podem receber políticas de controle de acesso no Catálogo Unity ou permissões para outros espaços de trabalho.

Atualizar para federação de identidades

Se você estiver habilitando a federação de identidades em um espaço de trabalho existente, faça o seguinte:

1. Migrar o provisionamento SCIM no nível do espaço de trabalho para o nível da conta

   Se você tiver um provisionamento SCIM no nível do espaço de trabalho configurado seu espaço de trabalho, deverá configurar o provisionamento SCIM no nível da conta e desativar o provisionador SCIM no nível do espaço de trabalho. O SCIM no nível do espaço de trabalho continuará a criar e atualizar grupos locais do espaço de trabalho. O Databricks recomenda o uso de grupos de contas em vez de grupos locais de espaço de trabalho para aproveitar a atribuição centralizada de espaços de trabalho e o gerenciamento de acesso a dados usando o Unity Catalog. O SCIM no nível do espaço de trabalho também não reconhece grupos de contas atribuídos ao seu espaço de trabalho federado de identidade e as chamadas à API SCIM no nível do espaço de trabalho falharão se envolverem grupos de contas. Para obter mais informações sobre como desabilitar o SCIM no nível do espaço de trabalho, consulte Migrar o provisionamento do SCIM no nível do espaço de trabalho para o nível da conta.

2. Converter grupos locais do espaço de trabalho em grupos de contas

   O Databricks recomenda converter seus grupos locais de espaço de trabalho existentes em grupos de contas. Consulte Migrar grupos locais de espaço de trabalho para grupos de contas para obter instruções.

Atribuir permissões de espaço de trabalho de grupos

Agora que a federação de identidades está habilitada em seu espaço de trabalho, você pode atribuir os usuários, entidades de serviço e grupos em sua conta permissões nesse espaço de trabalho. O Databricks recomenda que você atribua permissões de grupos a espaços de trabalho em vez de atribuir permissões de espaço de trabalho aos usuários individualmente. Todas as identidades do Azure Databricks podem ser atribuídas como membros de grupos e os membros herdam permissões atribuídas ao seu grupo.

Mais informações

• Gerencie usuários, entidades de serviço e grupos, saiba mais sobre o modelo de identidade do Azure Databricks.
• Sincronize usuários e grupos a partir do Microsoft Entra ID, comece a usar o provisionamento SCIM.
• Práticas recomendadas do Unity Catalog, saiba como configurar melhor o Unity Catalog.