Gerir entidades de serviço

Esta página explica como gerenciar entidades de serviço para sua conta e espaços de trabalho do Azure Databricks.

Para obter uma visão geral das entidades de serviço, consulte Entidades de serviço.

Observação

Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.

Sincronize as entidades de serviço na sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID.

Você pode sincronizar entidades de serviço do Microsoft Entra ID automaticamente do locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidades. O Databricks usa a ID do Microsoft Entra como origem, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Veja Como sincronizar utilizadores e grupos automaticamente de Microsoft Entra ID.

O provisionamento SCIM não oferece suporte à sincronização de entidades de serviço.

Adicionar entidades de serviço à sua conta

Os administradores de conta e os administradores de espaço de trabalho podem adicionar entidades de serviço à conta do Azure Databricks usando o console de conta ou a página de configurações de administração do espaço de trabalho.

As entidades de serviço podem ser criadas no Azure Databricks ou vinculadas a partir de uma entidade de serviço existente do Microsoft Entra ID. Consulte os principais de serviço do Databricks e do Microsoft Entra ID. Quando o gerenciamento automático de identidades está habilitado, você pode pesquisar e adicionar entidades de serviço diretamente do Microsoft Entra ID.

Os administradores de conta e os administradores de espaço de trabalho podem adicionar entidades de serviço à conta do Azure Databricks usando o console de conta ou a página de configurações de administração do espaço de trabalho.

Console da conta

1. Como administrador de conta, inicie sessão na consola da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Entidades de serviço, clique em Adicionar entidade de serviço.
4. Em Gerenciamento, escolha Databricks gerenciado ou Microsoft Entra ID gerenciado.
5. Se escolheu Microsoft Entra ID gerida, na ID da aplicação Microsoft Entra, cole o ID da aplicação (cliente) para o principal de serviço.
6. Insira um nome para a entidade de serviço principal.
7. Clique em Adicionar.

Configurações de administração do espaço de trabalho

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.

2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.

3. Clique no separador Identidade e acesso.

4. Ao lado de Entidades de serviço, clique em Gerenciar.

5. Clique em Adicionar principal do serviço.

6. Clique em Adicionar novo.

7. Selecione Databricks gerenciado ou Microsoft Entra ID gerenciado. Se você selecionar Microsoft Entra ID gerenciado, cole o ID do aplicativo (cliente) para a entidade de serviço.

8. Insira um nome para a entidade de serviço principal.

9. Clique em Adicionar.

Atribuir funções de administrador a nível de conta a um principal de serviço

Observação

A página de detalhes da entidade de serviço exibe apenas as funções atribuídas diretamente à entidade de serviço. As funções herdadas por meio da associação ao grupo estão ativas, mas suas alternâncias não são mostradas como habilitadas na interface do usuário.

1. Como administrador de conta, inicie sessão na consola da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Principais de Serviço, localize e clique no nome de utilizador.
4. Na guia Funções , selecione uma ou mais funções.

Atribuir um principal de serviço a um espaço de trabalho

Os administradores de conta e os administradores de espaço de trabalho podem atribuir entidades de serviço a um espaço de trabalho do Azure Databricks usando o console de conta ou a página de configurações de administração do espaço de trabalho.

Console da conta

1. Como administrador de conta, inicie sessão na consola da conta.
2. Na barra lateral, clique em Espaços de trabalho.
3. Clique no nome do espaço de trabalho.
4. No separador Permissões, clique em Adicionar permissões.
5. Procure e selecione a entidade de serviço, atribua o nível de permissão (usuário ou administrador do espaço de trabalho) e clique em Salvar.

Configurações de administração do espaço de trabalho

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
3. Clique no separador Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Clique em Adicionar principal do serviço.
6. Selecione uma entidade de serviço existente.
7. Clique em Adicionar.

Remover um principal de serviço de um espaço de trabalho

Os administradores de conta e de espaço de trabalho podem remover uma entidade de serviço de um espaço de trabalho do Azure Databricks usando o console de conta ou a página de configurações de administração do espaço de trabalho.

Quando uma entidade de serviço é removida de um espaço de trabalho, a entidade de serviço não pode mais acessar o espaço de trabalho, no entanto, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada posteriormente de volta ao espaço de trabalho, ela recuperará suas permissões anteriores.

Console da conta

1. Como administrador de conta, inicie sessão na consola da conta
2. Na barra lateral, clique em Espaços de trabalho.
3. Clique no nome do espaço de trabalho.
4. Na guia Permissões, localize o principal de serviço.
5. Clique no menu kebab na extremidade direita da linha principal do serviço e selecione Remover.
6. Na caixa de diálogo de confirmação, clique em Remover.

Configurações de administração do espaço de trabalho

Quando uma entidade de serviço é removida de um espaço de trabalho, a entidade de serviço não pode mais acessar o espaço de trabalho, no entanto, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada novamente a um espaço de trabalho mais tarde, ela recuperará as suas permissões anteriores.

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
3. Clique no separador Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Selecione a entidade de serviço.
6. No canto superior direito, clique em Excluir.
7. Clique em Excluir para confirmar.

Atribuir a função de administrador do espaço de trabalho a uma entidade de serviço

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
3. Clique no separador Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo de admins sistemas.
6. Clique em Adicionar membros.
7. Selecione a entidade de serviço e clique em Confirmar.

Para remover a função de administrador do espaço de trabalho de uma entidade de serviço, remova a entidade de serviço do grupo de administradores.

Desativar um principal de serviço

Você pode desativar um principal de serviço no nível da conta ou do espaço de trabalho. A desativação impede que o principal de serviço autentique e acesse as APIs do Databricks, mas não remove as suas permissões ou objetos. Isso é preferível à remoção, que é uma ação destrutiva.

Efeitos da desativação:

• A entidade de serviço não pode autenticar-se ou aceder às interfaces de programação de aplicativos do Databricks.
• Aplicativos ou scripts que usam os tokens gerados pela entidade de serviço não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticar enquanto uma entidade de serviço é desativada.
• Os recursos de computação pertencentes ao principal de serviço permanecem em execução.
• Os trabalhos agendados criados pela entidade de serviço falham, a menos que sejam atribuídos a um novo proprietário.

Quando é reativada, a entidade de serviço recupera o acesso com as mesmas permissões.

Desativação ao nível da conta

Os administradores de conta podem desativar entidades de serviço em uma conta do Azure Databricks. Quando um principal do serviço é desativado a nível de conta, não consegue efetuar autenticação na conta do Azure Databricks ou em quaisquer espaços de trabalho na conta.

Não é possível desativar uma entidade de serviço usando o console da conta. Em vez disso, use a API de Principais de Serviço de Conta.

Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Desativação ao nível do espaço de trabalho

Quando uma entidade de serviço é desativada a nível do espaço de trabalho, ela não pode autenticar-se nesse espaço de trabalho específico, mas ainda pode autenticar-se na conta e noutros espaços de trabalho na conta.

1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
3. Clique no separador Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Selecione a entidade de serviço que deseja desativar.
6. Em Estado, desmarque Ativo.

Para definir uma entidade de serviço como ativa, execute as mesmas etapas, mas marque a caixa de seleção.

Remover entidades de serviço da sua conta do Azure Databricks

Os administradores de conta podem excluir entidades de serviço de uma conta do Azure Databricks. Os administradores do espaço de trabalho não podem. Quando você exclui uma entidade de serviço da conta, essa entidade também é removida de seus espaços de trabalho.

Importante

Quando você remove uma entidade de serviço da conta, essa entidade de serviço também é removida de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não. Recomendamos que você se abstenha de excluir entidades de serviço no nível da conta, a menos que queira que elas percam o acesso a todos os espaços de trabalho da conta. Esteja ciente das seguintes consequências da exclusão de entidades de serviço:

• Aplicativos ou scripts que usam os tokens gerados pela entidade de serviço não podem mais acessar APIs do Databricks
• Os trabalhos pertencentes ao principal de serviço falham
• Computação de propriedade da parada da entidade de serviço
• Consultas ou painéis criados pelo principal de serviço e partilhados usando a credencial Executar como Proprietário precisam ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.

Quando uma entidade de serviço do Microsoft Entra ID é removida de uma conta, a entidade de serviço já não pode aceder à conta ou aos seus workspaces, contudo, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for novamente adicionada à conta, recuperará as suas permissões anteriores.

Para remover uma entidade de serviço usando o console da conta, faça o seguinte:

1. Como administrador da conta, inicie sessão na consola da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Principais de Serviço, localize e clique no nome de utilizador.
4. Na guia Informações principais, clique no no canto superior direito e selecione Eliminar.
5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Observação

Quando a gestão automática de identidades está ativada, as entidades de serviço que estão no Microsoft Entra ID estão visíveis na consola da conta. Seu status é exibido como Inativo: Nenhum uso e eles não podem ser removidos da lista de entidades de serviço. Eles não estão ativos na conta e não são contabilizados nos limites.

Gerenciar entidades de serviço usando a API

Os administradores de conta e os administradores de espaço de trabalho podem gerenciar entidades de serviço na conta e nos espaços de trabalho do Azure Databricks usando APIs do Databricks. Para gerenciar funções em uma entidade de serviço usando a API, consulte Gerenciar funções de entidade de serviço usando a CLI do Databricks.

Gerenciar entidades de serviço na conta usando a API

Os administradores podem adicionar e gerenciar entidades de serviço na conta do Azure Databricks usando a API de Entidades de Serviço de Conta. Administradores de conta e administradores de espaço de trabalho invocam a API usando uma URL de ponto de extremidade diferente:

• Os administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Os administradores do espaço de trabalho usam {workspace-domain}/api/2.0/account/scim/v2/.

Para obter detalhes, consulte a API de Princípios de Serviço da Conta.

Gerenciar entidades de serviço no espaço de trabalho usando a API

Os administradores de contas e espaços de trabalho podem usar a API de Atribuição de Espaços de Trabalho para atribuir princípios de serviço aos espaços de trabalho. A API de Atribuição de Espaço de Trabalho tem suporte por meio da conta e dos espaços de trabalho do Azure Databricks.

• Os administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Os administradores do espaço de trabalho usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Consulte API de atribuição de espaço de trabalho.

Observação

Para espaços de trabalho legados sem federação de identidade, os administradores de espaços de trabalho podem usar a API Workspace Service Principals para atribuir principais de serviço aos seus espaços de trabalho.

Gerenciar tokens para uma entidade de serviço

As entidades de serviço podem se autenticar nas APIs do Databricks usando tokens OAuth ou tokens de acesso pessoal (PATs), cada um com escopos e considerações de segurança diferentes.

Importante

A Databricks recomenda o uso de tokens OAuth para autenticação da entidade de serviço sempre que possível para melhorar a segurança e o gerenciamento do ciclo de vida. Use PATs somente quando o OAuth não estiver disponível para seu caso de uso.

• Azure Databricks tokens OAuth

  • Autentique-se em APIs no nível da conta e no nível do espaço de trabalho.
  • Os tokens OAuth criados no nível da conta podem acessar as APIs da conta e do espaço de trabalho. Os tokens OAuth criados no nível do espaço de trabalho têm como escopo as APIs do espaço de trabalho.
  • O OAuth é recomendado para a maioria dos cenários devido à segurança aprimorada e ao gerenciamento automático de tokens.
  • Para obter instruções de configuração, consulte Autorizar o acesso da entidade de serviço ao Azure Databricks com OAuth.

• Tokens de acesso pessoal

  • Autentique-se apenas em APIs no nível do espaço de trabalho.
  • O Databricks recomenda o uso de PATs somente quando o OAuth não é suportado.
  • Para obter mais informações, consulte Autenticar com tokens de acesso pessoal do Azure Databricks (legado).

Para detalhes sobre o trabalho com as Identidades de Serviço Geridas da Microsoft (MSI) ou tokens de acesso do Microsoft Entra ID, consulte Autenticar com as identidades geridas da Azure e Autenticar com os principais de serviço do Microsoft Entra, respetivamente.