Pular para o conteúdo principal

gerenciar usuários, entidades de serviço e grupos

Este artigo apresenta o modelo de gerenciamento de identidade do Databricks e fornece uma visão geral de como gerenciar usuários, grupos e diretores de serviços no Databricks.

Para obter uma perspectiva opinativa sobre a melhor forma de configurar a identidade no Databricks, consulte Práticas recomendadas de identidade.

Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.

Identidades da Databricks

Há três tipos de identidade do Databricks:

  • Usuários : Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.

  • Princípios de serviço : identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

  • Grupos : coleção de identidades usada pelos administradores para gerenciar o acesso do grupo a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Um Databricks account pode ter um máximo de 10.000 usuários e entidades de serviço combinados, juntamente com até 5.000 grupos. Cada workspace também pode ter um máximo de 10.000 usuários e entidades de serviço combinados como membros, juntamente com até 5.000 grupos.

Para obter detalhes, consulte:

Quem pode gerenciar identidades na Databricks?

Para gerenciar identidades na Databricks, o senhor deve ter uma das seguintes funções:

  • Os administradores de conta podem adicionar, atualizar e excluir usuários, entidades de serviço e grupos no site account. Eles podem atribuir funções de administrador e conceder aos usuários acesso ao espaço de trabalho, desde que esse espaço de trabalho use a federação de identidade.

  • Os administradores do workspace podem adicionar usuários e entidades de serviço ao site Databricks account. Se o espaço de trabalho estiver habilitado para federação de identidade, eles também poderão adicionar grupos ao site account. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso ao seu espaço de trabalho, mas não podem excluir usuários ou entidades de serviço do site account.

    Os administradores do espaço de trabalho também podem gerenciar grupos locais herdados do workspace. Para obter mais informações, consulte gerenciar workspace-local groups (legacy).

  • Os gerentes de grupo podem gerenciar a associação de grupos e excluir grupos. Eles também podem atribuir a função de gerente de grupo a outros usuários. Os administradores de conta têm a função de gerente de grupo em todos os grupos no site account. Os administradores do espaço de trabalho têm a função de gerente de grupo nos grupos account que eles criam. Consulte Quem pode gerenciar grupos?

  • Os gerentes da entidade de serviço podem gerenciar funções em uma entidade de serviço. Os administradores de conta têm a função de gerente de entidade de serviço em todas as entidades de serviço no site account. Os administradores do espaço de trabalho têm a função de gerente da entidade de serviço na entidade de serviço que eles criam. Para obter mais informações, consulte Funções para gerenciar a entidade de serviço.

Habilitar federação de identidade

A maioria dos espaços de trabalho está habilitada para a federação de identidade pelo site default. Databricks começou a habilitar o novo espaço de trabalho para federação de identidade e Unity Catalog automaticamente em 6 de março de 2024, com uma implementação gradual em toda a conta. Se o seu workspace estiver habilitado para a federação de identidade por default, ele não poderá ser desabilitado. Para obter mais informações, consulte Ativação automática de Unity Catalog.

Para habilitar a federação de identidade em um workspace, um administrador do account precisa habilitar o workspace para Unity Catalog atribuindo um metastore Unity Catalog. Quando a atribuição é concluída, a federação de identidade é marcada como Ativada na Configuração do workspace tab no console account. Consulte Ativar um workspace para Unity Catalog.

Em um workspace federado de identidade, quando você optar por adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do workspace, terá a opção de selecionar um usuário, entidade de serviço ou grupo da sua conta para adicionar ao workspace.

Adicionar federação de identidade do usuário

Em um workspace federado sem identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos da sua conta.

Atribuir usuários a Databricks

Databricks Recomenda-se usar o provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente do provedor de identidade para o Databricks account. Os usuários em um Databricks account não têm nenhum default acesso a um workspace, dados ou compute recurso. Os administradores de conta e os administradores do workspace podem atribuir usuários do account ao espaço de trabalho. Os administradores do espaço de trabalho também podem adicionar um novo usuário diretamente a um workspace, o que adiciona automaticamente o usuário ao account e o atribui a esse workspace. Para obter instruções detalhadas, consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM

Atribuir usuários ao espaço de trabalho

Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um Databricks workspace, um administrador do account ou workspace precisa atribuí-lo a um workspace. O senhor pode atribuir acesso ao site workspace a usuários, entidades de serviço e grupos existentes no site account, desde que o site workspace esteja habilitado para federação de identidade.

Os administradores do workspace também podem adicionar um novo usuário, entidade de serviço ou grupo diretamente a um workspace. Essa ação adiciona automaticamente o usuário, a entidade de serviço ou o grupo escolhido ao site account e os atribui a esse site específico workspace.

Diagrama de identidade no nível da conta

Para os espaços de trabalho que não estão habilitados para a federação de identidade, os administradores do workspace gerenciam seus usuários, entidades de serviço e grupos do workspace inteiramente dentro do escopo do workspace. Os usuários e a entidade de serviço adicionados ao espaço de trabalho federado sem identidade são automaticamente adicionados ao site account. Se o usuário workspace compartilhar um nome de usuário (endereçoemail ) com um usuário ou administrador account que já exista, esses usuários serão mesclados. Os grupos adicionados ao espaço de trabalho federado sem identidade são grupos locais herdados workspaceque não são adicionados ao account.

Para obter instruções detalhadas, consulte:

compartilhamento de dashboards com account usuários

Os usuários podem compartilhar painéis publicados com outros usuários no site Databricks account, mesmo que esses usuários não sejam membros de seu site workspace. Os usuários do Databricks account que não são membros de nenhum workspace são equivalentes aos usuários do view-only em outras ferramentas. Eles podem view objetos que foram compartilhados com eles, mas não podem modificar objetos. Para obter mais informações, consulte Gerenciamento de usuários e grupos para compartilhamento de painéis.

Atribuição de funções, direitos e permissões

Os administradores podem atribuir funções, direitos e permissões a usuários, entidades de serviço e grupos. Para obter mais informações, consulte Visão geral do controle de acesso.

Logon único (SSO)

O logon único (SSO) na forma de login apoiado pelo Google Cloud Identity está disponível em Databricks para todos os clientes em default tanto para o console account quanto para o espaço de trabalho.

Consulte Login único usando o Google Cloud Identity.

Última atualização em
Esse artigo foi útil?