Práticas recomendadas de identidade
Este artigo fornece uma perspectiva opinativa sobre como configurar melhor a identidade no Databricks. Isso inclui um guia sobre como migrar para federação de identidade, que permite que você gerencie todos os seus usuários, grupos e princípios de serviço na conta da Databricks.
Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.
Para obter informações sobre como acessar com segurança Databricks APIs, consulte gerenciar permissões pessoais access token .
Configurar usuários, entidades de serviço e grupos
Há três tipos de identidade do Databricks:
Usuários: Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.
Princípios de serviço: identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
Grupos: Os grupos simplificam o gerenciamento de identidade, facilitando a atribuição de acesso a workspaces, dados e outros objetos seguros.
A Databricks recomenda a criação de entidades de serviço para executar trabalhos de produção ou modificar dados de produção. Se todos os processos que atuam nos dados de produção forem executados usando entidades de serviço, os usuários interativos não precisarão de nenhum privilégio de gravação, exclusão ou modificação na produção. Isso elimina o risco de um usuário substituir acidentalmente os dados de produção.
É uma prática recomendada atribuir acesso a workspaces e políticas de controle de acesso no Unity Catalog a grupos, em vez de a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.
Veja a seguir as funções administrativas que podem gerenciar identidades do Databricks:
Osadministradores da conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções administrativas. Eles podem dar aos usuários acesso ao workspace, desde que esses workspaces usem federação de identidade.
Administradores de workspace podem adicionar usuários e entidades de serviço à conta do Databricks. Eles também podem adicionar grupos à conta do Databricks se os seus workspaces estiverem habilitados para federação de identidades. Os administradores do workspace podem conceder aos usuários, entidades de serviço e grupos acesso aos seus workspaces.
Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.
Os gestores entidades de serviço podem gerir funções numa entidade de serviço.
A Databricks recomenda que haja um número limitado de administradores de conta por conta e administradores de workspace em cada workspace.
Sincronize usuários e grupos do seu provedor de identidade com a sua conta da Databricks
Databricks Recomenda-se usar o provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para o seu Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Quando um usuário deixa sua organização ou não precisa mais de acesso à Databricks, os administradores podem remover o usuário do seu provedor de identidade e esse usuário é desativado na Databricks. Isso garante um processo consistente de desativação e evita que usuários não autorizados acessem dados confidenciais.
O objetivo deve ser sincronizar todos os usuários e grupos do seu provedor de identidade com o console account, em vez de sincronizar um espaço de trabalho individual. Dessa forma, o senhor só precisa configurar um aplicativo de provisionamento SCIM para manter todas as identidades consistentes em todos os espaços de trabalho no account. Consulte Habilitar todos os usuários do provedor de identidade para acessar o Databricks.
Importante
Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Upgrade para federação de identidade.
Se tiver menos de 10.000 usuários no seu fornecedor de identidade, a Databricks recomenda atribuir um grupo no seu fornecedor de identidade que contenha todos os utilizadores à aplicação SCIM ao nível da conta. Utilizadores, grupos e entidades de serviço específicos podem então ser atribuídos a partir da conta a workspaces específicos dentro de Databricks utilizando a federação de identidades.
Configurar o logon único e o login unificado
O logon único (SSO) permite que o senhor autentique seus usuários usando o provedor de identidade da sua organização. A Databricks recomenda a configuração do SSO e a aplicação da autenticação multifator do seu provedor de identidade para aumentar a segurança e melhorar a usabilidade.
O login unificado permite que o senhor gerencie uma configuração SSO para seu Databricks account e espaço de trabalho. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todo o espaço de trabalho ou para o espaço de trabalho selecionado. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.
Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.
Para obter mais informações, consulte Configure SSO em Databricks.
Habilitar federação de identidade
A federação de identidade permite que você configure usuários, princípios de serviço e grupos no console da conta e, em seguida, atribua a essas identidades acesso a espaços de trabalho específicos.Isso simplifica a administração de Databricks e a governança de dados.
Importante
Databricks começou a habilitar o novo espaço de trabalho para federação de identidade e Unity Catalog automaticamente em 8 de novembro de 2023, com uma implementação gradual em toda a conta. Se o seu workspace estiver habilitado para a federação de identidade por default, ele não poderá ser desabilitado. Para obter mais informações, consulte Habilitação automática do Unity Catalog site .
Com a federação de identidades, você configura usuários, entidades de serviço e grupos do Databricks uma vez no console da conta, em vez de repetir a configuração separadamente em cada workspace. Isso reduz o atrito na integração de uma nova equipe ao Databricks e permite que você mantenha um aplicativo de provisionamento SCIM com seu provedor de identidade para a conta do Databricks, em vez de um aplicativo de provisionamento SCIM separado para cada workspace. Depois que usuários, entidades de serviço e grupos forem adicionados à conta, você poderá atribuir a eles permissões em workspaces. Você só pode atribuir acesso de identidades no nível da conta a workspaces habilitados para federação de identidades.
Para habilitar um workspace para a federação de identidade, consulte Como os administradores habilitam a federação de identidade em um workspace? Quando a atribuição é concluída, a federação de identidade é marcada como Ativada na Configuração do workspace tab no console account.
A federação de identidades está habilitada no nível do workspace, e você pode ter uma combinação de workspaces federados com identidades e workspaces federados sem identidades. Para os workspaces que não estão habilitados para federação de identidades, os administradores do workspace gerenciam seus usuários, entidade de serviço e grupos do workspace inteiramente dentro do escopo do workspace (o modelo legado). Eles não podem usar o console da conta ou as APIs no nível da conta para atribuir usuários da conta a esses workspaces, mas podem usar qualquer uma das interfaces no nível do workspace. Sempre que um novo usuário ou diretor de serviço for adicionado a um workspace com interfaces em nível de workspace, esse usuário ou entidade de serviço será sincronizado com o nível da conta. Isso permite que você tenha um conjunto consistente de usuários e diretores de serviços em sua conta.
No entanto, quando um grupo é adicionado a um workspace federado sem identidade usando interfaces de nível workspace, esse grupo é um grupoworkspace -local e não é adicionado ao account. O senhor deve procurar usar os grupos account em vez dos grupos workspace-local. workspaceOs grupos locais não podem receber políticas de controle de acesso em Unity Catalog ou permissões para outros espaços de trabalho.
Atualizar para federação de identidade
Se você estiver habilitando a federação de identidade em um workspace existente, faça o seguinte:
Migre o provisionamento SCIM no nível do workspace para o nível da conta
Se o senhor tiver um workspace-level SCIM provisionamento configurado no seu workspace, deverá configurar o account-level SCIM provisionamento e desativar o workspace-level SCIM provisionamento. workspaceO nível SCIM continuará a criar e atualizar os grupos workspace-local. Databricks recomenda o uso de grupos account em vez de grupos workspace-local para aproveitar as vantagens da atribuição centralizada de workspace e do gerenciamento de acesso a dados usando Unity Catalog. workspaceO nível SCIM também não reconhece os grupos account atribuídos à sua identidade federada workspace e workspace. O nível SCIM API falhará se envolver grupos account. Para obter mais informações sobre como desativar o workspace-level SCIM, consulte Migrar o provisionamento do workspace-level SCIM para o nível account .
Converta grupos locais do workspace em grupos de contas
Databricks recomenda a conversão dos grupos workspace-local existentes para grupos account. Consulte Migrar grupos workspace-local para grupos account para obter instruções.
Atribua permissões de workspace a grupos
Agora que a federação de identidade está habilitada no seu workspace, você pode atribuir os usuários, os diretores de serviço e os grupos nas permissões da sua conta nesse workspace. O Databricks recomenda que você atribua permissões de grupos a workspaces em vez de atribuir permissões de workspace a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.
Saiba mais
Gerencie usuários, diretores de serviço e grupos e saiba mais sobre o modelo de identidade da Databricks.
Sincronize usuários e grupos do seu provedor de identidade e comece a usar o provisionamento SCIM.
Práticas recomendadas do Unity Catalog, saiba como configurar melhor o Unity Catalog.