Gestão automática de identidades

info

Visualização

Este recurso está em Pré-visualização Pública.

O gerenciamento automático de identidades permite adicionar usuários e grupos do seu provedor de identidade ao Databricks de forma integrada e sem problemas. Ao usar Microsoft Entra ID, a entidade de serviço e os grupos aninhados também são sincronizados. Quando o gerenciamento automático de identidades está ativado, você pode pesquisar diretamente no espaço de trabalho federado de identidades por usuários e grupos e adicioná-los ao seu workspace. O Databricks usa seu provedor de identidade como fonte de registro, portanto, quaisquer alterações nas associações de grupo são respeitadas no Databricks.

Adicionar grupo de IDs do MS Entra a partir workspace

Os usuários também podem compartilhar painéis com qualquer usuário ou grupo em seu provedor de identidade. Quando compartilhados, esses usuários e membros de grupos são adicionados automaticamente à account Databricks ao fazerem login. Eles não são adicionados como membros ao workspace onde o painel está localizado. Os usuários que não têm acesso ao workspace recebem acesso a uma cópia somente para viewde um painel publicado com permissões de dados compartilhados. Para obter mais informações sobre compartilhamento de dashboard, consulte Compartilhar um dashboard.

O provisionamento just-in-time (JIT) está sempre ativado quando o gerenciamento automático de identidade está habilitado e não pode ser desativado. Os novos usuários são provisionados automaticamente no Databricks após o primeiro login. Consulte Provisionamento automático de usuários (JIT).

O gerenciamento automático de identidades não é compatível com espaços de trabalho que não utilizam federação de identidades. Para obter mais informações sobre federação de identidades, consulte Federação de identidades.

Status de usuários e grupos

Quando o gerenciamento automático de identidades está ativado, os usuários e grupos do seu provedor de identidade ficam visíveis no console account e na página de configurações de administração workspace . Ao usar Microsoft Entra ID, a entidade de serviço também fica visível. O status deles reflete a atividade e o estado deles entre seu provedor de identidade e o Databricks:

Status	Significado
Inativo: Sem uso	Para usuários e entidade de serviço: identidade no provedor de identidade que ainda não fez login no Databricks . Para grupos: o grupo não foi adicionado a um workspace.
Ativas	O recurso Identidade está ativo no Databricks.
Ativo: Removido de [IdP]	Anteriormente ativo no Databricks, mas excluído do provedor de identidade. O Databricks desativa automaticamente esses usuários durante a próxima sincronização de identidades. Não consigo log in ou autenticar-me nas APIs.
Desativado	A identidade foi desativada no provedor de identidade ou o Databricks desativou automaticamente a identidade após a exclusão do provedor de identidade. Não consigo log in ou autenticar-me nas APIs.

O rótulo de status Ativo: Removido de [IdP] inclui o nome do seu provedor de identidade. Por exemplo, Ativo: Removido do EntraID ou Ativo: Removido do Okta .

dica

Como prática recomendada de segurança, Databricks recomenda revogar access tokens pessoal para usuários desativados e ativos: removidos do [IdP] . Quando os usuários são excluídos do provedor de identidade, Databricks desativa automaticamente suas contas, mas não revoga automaticamente tokens.

Identidades gerenciadas por meio de gerenciamento automático de identidades são exibidas como Externas no Databricks. Identidades externas não podem ser atualizadas usando a interface do usuário do Databricks.

compartilhamento e atribuição de permissões

Quando o gerenciamento automático de identidades está ativado, você pode selecionar usuários do seu provedor de identidade ao compartilhar ou atribuir permissões em todo Databricks. Ao usar Microsoft Entra ID, a entidade de serviço também está disponível.

Para grupos, o comportamento de compartilhamento varia de acordo com o tipo de ativo:

Ativos em nível de conta: Os grupos estão disponíveis ao compartilhar ou atribuir permissões a ativos em nível account , como Databricks Apps, objetos Unity Catalog , painéis de AI/BI , Genie Spaces e atribuição de workspace .
Ativos em nível de espaço de trabalho: Para compartilhar ativos em nível workspace(como Notebook, Job, SQL Warehouse, alertas e arquivos) com grupos, os administradores workspace devem primeiro adicionar o grupo diretamente ao workspace.

Gerenciamento automático de identidade versus provisionamento SCIM

Quando o gerenciamento automático de identidades está ativado, todos os usuários, grupos e associações de grupos são sincronizados do seu provedor de identidade para o Databricks, tornando o provisionamento SCIM desnecessário. Se você mantiver o provisionamento SCIM em execução em paralelo, SCIM continuará gerenciando as identidades que foram adicionadas usando o provisionamento SCIM . Não gerencia identidades que não foram adicionadas usando o provisionamento SCIM .

A Databricks recomenda o uso do gerenciamento automático de identidades. A tabela abaixo compara o recurso de gerenciamento automático de identidade com o recurso de provisionamento SCIM .

Recursos	Gestão automática de identidades	Provisionamento SCIM
Sincronizar usuários	✓	✓
Grupos de sincronização	✓	✓ (Apenas para membros diretos)
Sincronizar grupos aninhados	✓ (Somente para ID Microsoft Entra)
Sincronizar entidade de serviço	✓ (Somente para ID Microsoft Entra)
Disponível por default no Databricks	✓
Requer federação de identidades	✓

Como funciona a sincronização de membros de grupos

Quando o gerenciamento automático de identidades está ativado, Databricks atualiza as associações de grupos de usuários do seu provedor de identidade durante atividades que acionam verificações de autenticação e autorização, como logins em navegadores, autenticação por tokens ou execução de tarefas. Isso garante que as permissões baseadas em grupos no Databricks permaneçam sincronizadas com as alterações feitas no seu provedor de identidade.

Quando Databricks atualiza as associações de grupo, ele busca as associações de grupo transitivas (aninhadas) do seu provedor de identidade. Isso significa que, se um usuário for membro do Grupo A e o Grupo A for membro do Grupo B, o Databricks reconhecerá o usuário como membro de ambos os grupos. Databricks só busca informações sobre membros de grupos que foram adicionados ao Databricks. Não sincroniza nem reconstrói a hierarquia completa do grupo pai a partir do seu provedor de identidade.

A sincronização de grupos aninhados requer um ID Microsoft Entra. O Okta não suporta a sincronização de grupos aninhados.

Databricks atualiza as associações de grupo em diferentes programas, dependendo da atividade:

Logins do navegador : As associações a grupos são sincronizadas se tiverem passado mais de 5 minutos desde a última sincronização.
Outras atividades (por exemplo, autenticação de tokens ou execução de tarefas): A sincronização de membros de grupos é realizada se tiverem decorrido mais de 40 minutos desde a última sincronização.

Grupos aninhados e entidade de serviço

Quando o gerenciamento automático de identidades está ativado, os membros de grupos aninhados herdam as permissões dos grupos de provisionamento. As permissões atribuídas a um grupo principal aplicam-se a todos os utilizadores e entidades de serviço que pertencem ao grupo, incluindo os que foram adicionados diretamente ao grupo e os que pertencem através de associações a grupos aninhados. No entanto, grupos aninhados e entidades de serviço em um grupo não são automaticamente referenciáveis na account, com exceção do compartilhamento do painel.

A sincronização da entidade de serviço e a sincronização de grupos aninhados exigem um ID Microsoft Entra. Okta não suporta entidade de serviço ou sincronização de grupo aninhado.

Visibilidade de grupo aninhado

Os grupos aninhados são visíveis no Databricks. Considere um grupo filho, Group-C, que é membro de um grupo pai, Group-P. Se você adicionar Group-P a um workspace, todas as identidades em Group-P e Group-C terão acesso ao workspace. Nas interfaces de administração account e administração workspace , Group-C aparece como membro dentro de Group-P na página de detalhes dos membros do grupo. Apenas o primeiro nível de aninhamento aparece na página de detalhes do grupo.

Considerações sobre grupos aninhados

Acesso ao espaço de trabalho: Grupos aninhados e entidades de serviço não precisam ser adicionados diretamente a um workspace para obter acesso. Se um grupo principal for adicionado a um workspace, todos os membros desse grupo poderão acessar o workspace.
Ativos em nível de conta: Os grupos estão disponíveis ao compartilhar ou atribuir permissões a ativos em nível account , como Databricks Apps, objetos Unity Catalog , painéis de AI/BI , Genie Spaces e atribuição de workspace .
Limites de grupo de contas e entidade de serviço: Grupos aninhados e entidades de serviço que não são provisionamento direto para a account não são contabilizados nos limites de grupo account . Apenas os grupos que são explicitamente provisionados para a account contam para os limites.

Por exemplo, em seu provedor de identidade, você tem a seguinte estrutura de grupos:

Marketing-All (grupo parental)
- Marketing-US (grupo de crianças)
- Marketing-EU (grupo de crianças)
- Marketing-APAC (grupo de crianças)

Se um administrador workspace adicionar Marketing-All ao seu workspace:

Acesso concedido: Todos os membros de Marketing-All e todos os seus grupos filhos (Marketing-US, Marketing-EU, Marketing-APAC) podem acessar o workspace. Por exemplo, usuários e entidade de serviço em Marketing-APAC podem autenticar e usar o workspace.
Provisionamento de conta: Apenas Marketing-All é provisionamento para a account Databricks e conta para os limites do grupo account . Os grupos filhos não contam para os limites, a menos que você os provisione explicitamente.
O nível de conta ativo: Marketing-All e todos os seus grupos filhos (Marketing-US, Marketing-EU, Marketing-APAC) estão disponíveis ao compartilhar ou atribuir permissões ao nível accountativo, como painéis e objetos no Unity Catalog.

Ativar o gerenciamento automático de identidades

Para obter instruções de configuração, consulte o guia do seu provedor de identidade:

Desativar o gerenciamento automático de identidade

Quando o gerenciamento automático de identidade está desativado:

Usuários e entidade de serviço permanecem: eles mantêm o acesso, mas não estão mais sincronizados com seu provedor de identidade. Após desativar o gerenciamento automático de identidade, você pode remover ou desativar manualmente usuários e entidades de serviço no console account .
Grupos perdem membros: Os grupos permanecem no Databricks, mas todos os membros do grupo são removidos.
Sem sincronização com o provedor de identidade: alterações no seu provedor de identidade (como remoções de usuários ou atualizações de grupos) não são refletidas no Databricks.
Sem herança de permissões: Usuários gerenciados pelo gerenciamento automático de identidade não podem herdar permissões de grupos pai. Isso afeta modelos de permissão aninhados baseados em grupos.

Se você planeja desativar o gerenciamento automático de identidades, Databricks recomenda configurar o provisionamento SCIM antecipadamente como fallback. O SCIM pode então assumir a sincronização de identidade e grupo.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Segurança .
Na tab Provisionamento de usuários , alterne a opção Gerenciamento automático de identidade para Desativado .

Auditar eventos de gerenciamento automático de identidade

Quando o gerenciamento automático de identidades está ativado, você pode usar logs de auditoria para rastrear as operações de identidade realizadas pelo processo de gerenciamento automático de identidades.

tags log de auditoria para eventos de gerenciamento automático de identidade

O gerenciamento automático de identidades utiliza eventos de log de auditoria existentes, mas adiciona tags para identificar operações realizadas automaticamente pelo processo de sincronização de identidades:

endpoint: "autoUserCreation" - Indica que o evento foi emitido pelo processo de gerenciamento automático de identidade. Esta tag aparece em operações de usuário (add, activateUser, deactivateUser, updateUser), operações de grupo (createGroup, updateGroup, removeGroup) e operações de associação de grupo (addPrincipalToGroup, removePrincipalFromGroup).
groupMembershipType: "IdentityProvider" - Aparece nas operações de associação de grupo (addPrincipalToGroup, removePrincipalFromGroup) para indicar que a associação de grupo foi sincronizada do seu provedor de identidade.

Consultar eventos de auditoria de gerenciamento automático de identidade

Você pode consultar a tabela system.access.audit para rastrear operações automáticas de gerenciamento de identidade. Por exemplo:

Rastrear usuários criados pelo gerenciamento automático de identidade:

SQL
SELECT
  request_params.targetUserName,
  event_time
FROM
  system.access.audit
WHERE
  action_name = "add"
  AND request_params.endpoint = "autoUserCreation"

Acompanhe as associações de grupo sincronizadas do seu provedor de identidade:

SQL
SELECT
  request_params.targetGroupName,
  request_params.targetUserName,
  event_time
FROM
  system.access.audit
WHERE
  action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
  AND request_params.groupMembershipType = "IdentityProvider"

Para obter mais informações sobre a tabela system.access.audit , consulte a referência da tabela do sistema log de auditoria.

Comportamentos e limitações conhecidos

Esta seção descreve comportamentos que podem não ser imediatamente óbvios ao trabalhar com gerenciamento automático de identidade.

Criação de grupos e atribuição workspace

Quando o gerenciamento automático de identidades sincroniza grupos do seu provedor de identidades, ele os cria automaticamente no nível account . Esses eventos aparecem nos logs de auditoria como tags createGroup operações com endpoint: "autoUserCreation". A criação de grupos no nível da conta é automática, mas a atribuição workspace é um processo manual separado. Os membros de um grupo sincronizado só obtêm acesso workspace depois que um administrador account atribui o grupo a um workspace. O gerenciamento automático de identidades controla a participação em grupos, e o administrador controla o acesso workspace .

A sincronização de nomes de grupo não é proativa.

Renomear um grupo no seu provedor de identidade não atualiza imediatamente o nome do grupo no Databricks. O nome do grupo só é sincronizado quando um administrador account abre a página de detalhes do grupo no console account . Até então, o grupo mantém seu nome anterior no Databricks.

O gerenciamento automático de identidades não remove as associações sincronizadas com o SCIM.

O gerenciamento automático de identidades não remove as associações de grupo que foram originalmente sincronizadas usando o provisionamento SCIM. Isso foi feito propositalmente para evitar a quebra de tarefas e permissões existentes que dependem dessas associações. Para remover associações SCIM obsoletas, use a API SCIM para limpá-las manualmente.

entidade de serviço de provisionamento no primeiro uso

Ao usar Microsoft Entra ID, adicionar um grupo que contém entidade de serviço ao Databricks não provisiona essa entidade de serviço. Provisionamento de Databricks entidade de serviço apenas no primeiro uso, como autenticação de tokens ou execução de Job. Até que uma entidade de serviço autentique ou execute um Job, ele não aparece no Databricks.

Grupos aninhados e entidade de serviço por meio da API e Terraform

Esta seção aplica-se somente ao uso do Microsoft Entra ID. Okta não suporta sincronização de grupo aninhado ou entidade de serviço.

Grupos aninhados e entidades de serviço que não são provisionados diretamente para a account Databricks são visíveis na interface do usuário do console account , mas não podem ser recuperados ou gerenciados por meio das APIs Databricks ou Terraform. Para gerenciá-los programaticamente, provisione-os explicitamente para a account.

As permissões são transferidas ao migrar do SCIM para o gerenciamento automático de identidades.

Ao migrar do provisionamento SCIM para o gerenciamento automático de identidades, os grupos permanecem os mesmos objetos internos do Databricks. As permissões Unity Catalog , as atribuições workspace e outras configurações são transferidas automaticamente. Você não perde nenhuma permissão durante a migração.

Status de usuários e grupos​

compartilhamento e atribuição de permissões​

Gerenciamento automático de identidade versus provisionamento SCIM​

Como funciona a sincronização de membros de grupos​

Grupos aninhados e entidade de serviço​

Visibilidade de grupo aninhado​

Considerações sobre grupos aninhados​

Ativar o gerenciamento automático de identidades​

Desativar o gerenciamento automático de identidade​

Auditar eventos de gerenciamento automático de identidade​

tags log de auditoria para eventos de gerenciamento automático de identidade​

Consultar eventos de auditoria de gerenciamento automático de identidade​

Comportamentos e limitações conhecidos​

Criação de grupos e atribuição workspace​

A sincronização de nomes de grupo não é proativa.​

O gerenciamento automático de identidades não remove as associações sincronizadas com o SCIM.​

entidade de serviço de provisionamento no primeiro uso​

Grupos aninhados e entidade de serviço por meio da API e Terraform​

As permissões são transferidas ao migrar do SCIM para o gerenciamento automático de identidades.​