gerenciar usuários, entidades de serviço e grupos
Databricks oferece gerenciamento centralizado de identidades para usuários, grupos e entidades de serviço em toda a sua account e espaço de trabalho. O gerenciamento de identidades no Databricks permite que você controle quem pode acessar seu espaço de trabalho, dados e recursos compute , com opções flexíveis para sincronizar identidades do seu provedor de identidade.
Para obter uma perspectiva opinativa sobre a melhor forma de configurar a identidade no Databricks, consulte Práticas recomendadas de identidade.
Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.
Identidades da Databricks
O Databricks suporta três tipos de identidades para autenticação e controle de acesso:
Tipo de identidade | Descrição |
|---|---|
Identidades de usuários reconhecidas pelo Databricks e representadas por endereços email . | |
Identidades para uso com Jobs, ferramentas automatizadas e sistemas como scripts, aplicativos e plataformas de CI/CD . | |
Um conjunto de identidades usado por administradores para gerenciar o acesso de grupos ao espaço de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. |
Um Databricks account pode ter um máximo de 10.000 usuários e entidades de serviço combinados, juntamente com até 5.000 grupos. Cada workspace também pode ter um máximo de 10.000 usuários e entidades de serviço combinados como membros, juntamente com até 5.000 grupos.
Quem pode gerenciar identidades na Databricks?
Para gerenciar identidades na Databricks, o senhor deve ter uma das seguintes funções:
Função | Capacidades |
|---|---|
administradores de contas |
|
administradores de espaço de trabalho |
|
Gerentes de grupo |
|
entidade de serviço gerentes |
|
Fluxo de trabalho de gerenciamento de identidade
A maioria dos espaços de trabalho está habilitada para federação de identidades por default. A federação de identidades permite gerenciar identidades de forma centralizada no nível account e atribuí-las ao espaço de trabalho. Esta página pressupõe que seu workspace tenha a federação de identidades ativada. Se você tiver um workspace legado sem federação de identidades, consulte Espaço de trabalho legado sem federação de identidades.
Federação de identidades
Em 8 de novembro de 2023, Databricks começou a habilitar automaticamente um novo espaço de trabalho para federação de identidades e Unity Catalog . O espaço de trabalho que habilita a federação de identidades por default não pode ser desabilitado. Para obter mais informações, consulte Ativação automática do Unity Catalog.
Em um workspace com identidades federadas, ao adicionar um usuário, entidade de serviço ou grupo nas configurações de administração workspace , você pode selecionar entre as identidades existentes em sua account. Em um workspace sem federação de identidades, você não tem a opção de adicionar usuários, entidades de serviço ou grupos a partir da sua account.
Para verificar se a federação de identidades está ativada no seu workspace , procure por "Federação de identidades: Ativada" na página workspace no console account . Para habilitar a federação de identidades em um workspace mais antigo, um administrador account deve habilitar o workspace para o Unity Catalog , atribuindo um metastore Unity Catalog . Consulte Ativar um workspace para Unity Catalog.
Sincronize identidades do seu provedor de identidade.
Visualização
Este recurso está em Pré-visualização Pública.
A Databricks recomenda a sincronização de identidades usando o gerenciamento automático de identidades. O gerenciamento automático de identidades é compatível com Microsoft Entra ID e Okta.
Utilizando o gerenciamento automático de identidades, você pode pesquisar diretamente usuários, entidades de serviço e grupos nas configurações de administração workspace e adicioná-los ao seu workspace e à account do Databricks . O Databricks utiliza seu provedor de identidade como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Databricks. Para obter instruções detalhadas, consulte Gerenciamento automático de identidade.
Se o gerenciamento automático de identidades não estiver disponível para o seu provedor de identidades, use o provisionamento SCIM para sincronizar usuários e grupos automaticamente. Para obter instruções detalhadas, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.
Atribuir identidades ao espaço de trabalho
Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um workspace Databricks , um administrador account ou administrador workspace os atribui ao workspace. Você pode atribuir acesso workspace a qualquer usuário, entidade de serviço ou grupo que exista na account.
Os administradores do espaço de trabalho também podem adicionar um novo usuário, entidade de serviço ou grupo diretamente a um workspace. Essa ação adiciona automaticamente a identidade à account e a atribui a esse workspace.
Para obter instruções detalhadas, consulte:
- Adicionar usuários a um workspace
- Adicionar entidade de serviço a um workspace
- Adicionar grupos a um workspace
Compartilhe painéis com os usuários account
Os usuários podem compartilhar dashboards publicados com outros usuários na account Databricks , mesmo que esses usuários não sejam membros do seu workspace. Utilizando o gerenciamento automático de identidade, os usuários podem compartilhar painéis com qualquer usuário em seu provedor de identidade, o que adiciona o usuário à account Databricks após o login. Os usuários da account Databricks que não são membros de nenhum workspace são o equivalente a usuários com permissão somente de viewem outras ferramentas. Eles podem view objetos que lhes foram compartilhados, mas não podem modificá-los. Para mais informações, consulte Gestão de utilizadores e grupos.
Autenticação
Logon único (SSO)
O logon único (SSO) permite autenticar seus usuários usando um provedor de identidade de terceiros, como o Okta. Para ativar o SSO, consulte Configurar o SSO no Databricks.
Provisionamento just-in-time
Quando SSO estiver configurado, você pode configurar o provisionamento just-in-time (JIT) para criar automaticamente uma nova conta de usuário a partir do seu provedor de identidade no primeiro login. Consulte Provisionamento automático de usuários (JIT).
Controle de acesso
Os administradores podem atribuir funções, direitos e permissões a usuários, entidades de serviço e grupos para controlar o acesso ao espaço de trabalho, dados e outros objetos protegíveis. Para mais informações, consulte Visão geral do controle de acesso.
Espaço de trabalho legado sem federação de identidades
Para espaços de trabalho que não estão habilitados para federação de identidades, os administradores workspace gerenciam usuários, entidades de serviço e grupos workspace de trabalho inteiramente dentro do escopo do workspace. Usuários e entidades de serviço adicionados ao espaço de trabalho não federado por identidade são adicionados automaticamente à account. Se o usuário workspace compartilhar um nome de usuário (ou seja, um endereço email ) com um usuário ou administrador account já existente, esses usuários serão mesclados em uma única identidade. Os grupos adicionados ao espaço de trabalho federado sem identidade são grupos legados workspace- grupos locais que não são adicionados à account.
Para habilitar a federação de identidades em um workspace legado, consulte Federação de identidades.
Recursos adicionais
- Melhores práticas de gerenciamento de identidade - Orientações detalhadas sobre como configurar identidades no Databricks.
- Usuários - gerenciar identidades de usuário
- entidade de serviço - gerenciamento de identidades de entidade de serviço
- Grupos - gerenciar identidades de grupo
- Controle de acesso - gerenciar permissões e acessos
- ProvisionamentoSCIM - Sincronize identidades do seu provedor de identidade
- Grupos locais do espaço de trabalho - gerenciar grupos locais workspacelegado