Pular para o conteúdo principal
Última atualização em

gerenciar usuários, entidades de serviço e grupos

Databricks oferece gerenciamento centralizado de identidades para usuários, grupos e entidades de serviço em toda a sua account e espaço de trabalho. O gerenciamento de identidades no Databricks permite que você controle quem pode acessar seu espaço de trabalho, dados e recursos compute , com opções flexíveis para sincronizar identidades do seu provedor de identidade.

Para obter uma perspectiva opinativa sobre a melhor forma de configurar a identidade no Databricks, consulte Práticas recomendadas de identidade.

Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.

Identidades da Databricks

O Databricks suporta três tipos de identidades para autenticação e controle de acesso:

Tipo de identidade

Descrição

Usuários

Identidades de usuários reconhecidas pelo Databricks e representadas por endereços email .

Entidades de serviço

Identidades para uso com Jobs, ferramentas automatizadas e sistemas como scripts, aplicativos e plataformas de CI/CD .

Grupos

Um conjunto de identidades usado por administradores para gerenciar o acesso de grupos ao espaço de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Um Databricks account pode ter um máximo de 10.000 usuários e entidades de serviço combinados, juntamente com até 5.000 grupos. Cada workspace também pode ter um máximo de 10.000 usuários e entidades de serviço combinados como membros, juntamente com até 5.000 grupos.

Quem pode gerenciar identidades na Databricks?

Para gerenciar identidades na Databricks, o senhor deve ter uma das seguintes funções:

Função

Capacidades

administradores de contas

  • Adicionar, atualizar e excluir usuários, entidades de serviço e grupos na account.
  • Atribua funções de administrador e conceda acesso ao espaço de trabalho aos usuários.
  • Ter automaticamente a função de gerente de grupo em todos os grupos e a função de gerente de entidade de serviço em todas as entidades de serviço da account.

administradores de espaço de trabalho

  • Adicione usuários, entidade de serviço e grupos à account do Databricks .
  • Não é possível atualizar ou excluir usuários ou entidades de serviço na account.
  • Conceda aos usuários, entidades de serviço e grupos acesso ao seu espaço de trabalho.
  • Gerenciar workspacelegado - grupos locais.
  • Ter automaticamente a função de gerente de grupo nos grupos que eles criam e a função de gerente de entidade de serviço na entidade de serviço que eles criam.

Gerentes de grupo

  • Gerenciar a participação em grupos e excluir grupos.
  • Atribua a função de gerente de grupo a outros usuários.

entidade de serviço gerentes

  • Adicionar, atualizar e remover funções na entidade de serviço.

Fluxo de trabalho de gerenciamento de identidade

nota

A maioria dos espaços de trabalho está habilitada para federação de identidades por default. A federação de identidades permite gerenciar identidades de forma centralizada no nível account e atribuí-las ao espaço de trabalho. Esta página pressupõe que seu workspace tenha a federação de identidades ativada. Se você tiver um workspace legado sem federação de identidades, consulte Espaço de trabalho legado sem federação de identidades.

Federação de identidades

Em 6 de março de 2024, Databricks começou a habilitar automaticamente um novo espaço de trabalho para federação de identidades e Unity Catalog . O espaço de trabalho que habilita a federação de identidades por default não pode ser desabilitado. Para obter mais informações, consulte Ativação automática do Unity Catalog.

Em um workspace com identidades federadas, ao adicionar um usuário, entidade de serviço ou grupo nas configurações de administração workspace , você pode selecionar entre as identidades existentes em sua account. Em um workspace sem federação de identidades, você não tem a opção de adicionar usuários, entidades de serviço ou grupos a partir da sua account.

Adicionar federação de identidade do usuário

Para verificar se a federação de identidades está ativada no seu workspace , procure por "Federação de identidades: Ativada" na página workspace no console account . Para habilitar a federação de identidades em um workspace mais antigo, um administrador account deve habilitar o workspace para o Unity Catalog , atribuindo um metastore Unity Catalog . Consulte Ativar um workspace para Unity Catalog.

Sincronize identidades do seu provedor de identidade.

Databricks recomenda o uso do provisionamento SCIM para sincronizar automaticamente todos os usuários e grupos do seu provedor de identidade com a sua account Databricks . Os usuários de uma account Databricks não possuem acesso default a um workspace, dados ou recurso compute . Os administradores de contas e os administradores workspace podem atribuir usuários account ao espaço de trabalho. Os administradores do espaço de trabalho também podem adicionar um novo usuário diretamente a um workspace, o que adiciona automaticamente o usuário à account e o atribui a esse workspace. Para obter instruções detalhadas, consulte Sincronizar usuários e grupos do seu provedor de identidade usando SCIM.

Atribuir identidades ao espaço de trabalho

Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um workspace Databricks , um administrador account ou administrador workspace os atribui ao workspace. Você pode atribuir acesso workspace a qualquer usuário, entidade de serviço ou grupo que exista na account.

Os administradores do espaço de trabalho também podem adicionar um novo usuário, entidade de serviço ou grupo diretamente a um workspace. Essa ação adiciona automaticamente a identidade à account e a atribui a esse workspace.

Diagrama de identidade no nível da conta

Para obter instruções detalhadas, consulte:

Compartilhe painéis com os usuários account

Os usuários podem compartilhar painéis publicados com outros usuários no site Databricks account, mesmo que esses usuários não sejam membros de seu site workspace. Os usuários do Databricks account que não são membros de nenhum workspace são equivalentes aos usuários do view-only em outras ferramentas. Eles podem view objetos que foram compartilhados com eles, mas não podem modificar objetos. Para obter mais informações, consulte Gerenciamento de usuários e grupos.

Autenticação

Logon único (SSO)

O login único (SSO) com suporte do Google Cloud Identity está disponível no Databricks por default para todos os clientes, tanto no console account quanto no espaço de trabalho. Consulte Autenticação única.

Controle de acesso

Os administradores podem atribuir funções, direitos e permissões a usuários, entidades de serviço e grupos para controlar o acesso ao espaço de trabalho, dados e outros objetos protegíveis. Para mais informações, consulte Visão geral do controle de acesso.

Espaço de trabalho legado sem federação de identidades

Para espaços de trabalho que não estão habilitados para federação de identidades, os administradores workspace gerenciam usuários, entidades de serviço e grupos workspace de trabalho inteiramente dentro do escopo do workspace. Usuários e entidades de serviço adicionados ao espaço de trabalho não federado por identidade são adicionados automaticamente à account. Se o usuário workspace compartilhar um nome de usuário (ou seja, um endereço email ) com um usuário ou administrador account já existente, esses usuários serão mesclados em uma única identidade. Os grupos adicionados ao espaço de trabalho federado sem identidade são grupos legados workspace- grupos locais que não são adicionados à account.

Para habilitar a federação de identidades em um workspace legado, consulte Federação de identidades.

Recursos adicionais