Pular para o conteúdo principal
Última atualização em

Negar acesso de identidades à sua account

info

Visualização

O suporte da Okta para gestão automática de identidades está na Prévia privada. Para solicitar acesso, entre em contato com sua equipe de conta da Databricks.

Quando o gerenciamento automático de identidades está ativado, você pode configurar a lista de bloqueio de acesso à account para controlar quais identidades do seu provedor de identidade têm permissão para acessar sua account Databricks . Utilizando um modelo de lista de bloqueio, os administradores account adicionam usuários, grupos ou entidades de serviço Databricks específicos à lista de bloqueio para impedir o acesso deles.

A adesão à lista de bloqueio é transitiva. Se você negar o acesso a um grupo, todos os membros desse grupo também serão negados, incluindo usuários que pertencem a esse grupo por meio de associação a grupos aninhados. Usuários com acesso negado e a entidade de serviço Databricks são automaticamente definidos como Inativos na account Databricks .

Configure a lista de bloqueio de acesso account .

Os administradores da conta podem configurar a lista de bloqueio de acesso account no console account . A lista de bloqueio é uma configuração em nível accounte se aplica a todos os espaços de trabalho da sua account.

Cada account suporta um máximo de 100 regras.

Antes de ativar a gestão automática de identidades

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Segurança .
  3. Clique na tab Provisionamento de usuários e, em seguida, clique em Gerenciamento automático de identidade .
  4. Clique em Configurar e preencha os campos obrigatórios.
  5. Clique em Testar conexão .
  6. Se a conexão for bem-sucedida, clique em Configurar uma lista de bloqueio .
  7. Clique na opção para editar identidades no seu provedor de identidade.
  8. Pesquise e selecione identidades do seu provedor de identidade para adicionar à lista de bloqueio.
  9. Salve suas alterações.

Depois de configurar a lista de negação, você pode habilitar a gestão automática de identidades.

Após o gerenciamento automático de identidades estiver ativado

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Segurança .
  3. Clique na tab Provisionamento de usuários e, em seguida, clique em Gerenciamento automático de identidade .
  4. Clique na opção para editar identidades no seu provedor de identidade.
  5. Procure por usuários, entidades de serviço Databricks ou grupos do seu provedor de identidade para adicionar à lista de bloqueio.
  6. Salve suas alterações.

As regras de negação são herdadas. Se o acesso de um grupo principal for negado, o acesso de todos os membros de seus grupos filhos também será negado. As alterações na lista de bloqueio podem levar até 10 minutos para entrar em vigor.

Teste a lista de bloqueio

A lista de bloqueio de acesso account inclui um modo de teste. Use-o para verificar se um usuário específico, entidade de serviço do Databricks ou grupo teria o acesso negado com base na sua configuração atual de lista de bloqueio antes de aplicá-la.

  1. Na configuração da lista de bloqueio, clique em Modo de teste .
  2. Pesquise o usuário, a entidade de serviço do Databricks ou o grupo que você deseja testar.
  3. Analise o resultado para verificar se a identidade teria o acesso negado.

Como funcionam as regras de negação

Quando uma identidade é adicionada à lista de bloqueio, os seguintes efeitos se aplicam:

Usuários com identidades negadas não podem log in o Databricks

  • Usuários com acesso negado e a entidade de serviço Databricks não podem log in no Databricks nem usar seus access tokens pessoais.
  • Se um grupo for rejeitado, todos os seus membros e membros transitivos desse grupo também serão rejeitados.
  • Se uma identidade negada tentar fazer log in, o sistema ainda poderá provisioná-la na account, mas a definirá como inativa, mesmo que esteja ativa em seu provedor de identidade.
  • APIs IAMv2 (como resolveByExternalId) também negam provisionamento a principais como inativos.
nota

Ao avaliar regras de negação, as substituições de associação a grupos locais têm precedência sobre os grupos de provedores de identidade externos. Por exemplo, se você adicionar manualmente um usuário a um grupo usando a API do Databricks e criar uma regra de negação para esse grupo, o usuário terá o acesso negado independentemente do seu status no seu provedor de identidade.

Identidades negadas não aparecem nas caixas de diálogo de compartilhamento nem nos seletores de identidade.

  • Os usuários com acesso negado são filtrados das experiências de seleção de identidade voltadas para o usuário, como diálogos de compartilhamento.
  • Se um usuário com acesso negado já possuir permissões, essas permissões permanecerão visíveis.
  • Usuários com permissões negadas não podem log in e, portanto, não podem usar nenhuma das permissões concedidas.
  • As APIs ainda podem conceder permissões a entidades negadas, mas essas permissões não são utilizáveis.

Identidades negadas são visíveis para administradores com status de negado.

  • Os usuários com acesso negado permanecem visíveis nas páginas de administrador account e administrador workspace .
  • O status deles é exibido como Negado .

Identidades bloqueadas não podem ser excluídas sem antes serem removidas da lista de bloqueio.

  • Usuários, entidades de serviço e grupos na lista de bloqueio não podem ser excluídos da account até que sejam removidos da lista de bloqueio.

Não é possível atualizar os IDs externos de grupos para grupos negados.

  • Os grupos na lista de bloqueio não podem ter seu externalId atualizado até que sejam removidos da lista de bloqueio.
Nesta página