Práticas recomendadas de identidade

Este artigo fornece uma perspectiva opinativa sobre como configurar melhor a identidade no Databricks. Isso inclui um guia sobre como migrar para federação de identidade, que permite que você gerencie todos os seus usuários, grupos e princípios de serviço na conta da Databricks.

Para obter uma visão geral do modelo de identidade Databricks, consulte identidades Databricks.

Para obter informações sobre como acessar APIs do Databricks com segurança, consulte Autenticação de API segura.

Configurar usuários, entidades de serviço e grupos

Existem três tipos de identidade de Databricks:

  • Usuários: Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.

  • Princípios de serviço: identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

  • Grupos: Os grupos simplificam o gerenciamento de identidade, facilitando a atribuição de acesso a workspaces, dados e outros objetos seguros.

A Databricks recomenda a criação de entidades de serviço para executar trabalhos de produção ou modificar dados de produção. Se todos os processos que atuam nos dados de produção forem executados usando entidades de serviço, os usuários interativos não precisarão de nenhum privilégio de gravação, exclusão ou modificação na produção. Isso elimina o risco de um usuário substituir acidentalmente os dados de produção.

É uma prática recomendada atribuir acesso a workspaces e políticas de controle de acesso no Unity Catalog a grupos, em vez de a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.

Veja a seguir as funções administrativas que podem gerenciar identidades do Databricks:

  • Osadministradores da conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções administrativas. Eles podem dar aos usuários acesso ao workspace, desde que esses workspaces usem federação de identidade.

  • Administradores de workspace podem adicionar usuários e entidades de serviço à conta do Databricks. Eles também podem adicionar grupos à conta do Databricks se os seus workspaces estiverem habilitados para federação de identidades. Os administradores do workspace podem conceder aos usuários, entidades de serviço e grupos acesso aos seus workspaces.

  • Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

  • Os gerentes da entidade de serviço podem gerenciar funções em uma entidade de serviço.

A Databricks recomenda que haja um número limitado de administradores de conta por conta e administradores de workspace em cada workspace.

Sincronize usuários e grupos do seu provedor de identidade com a sua conta da Databricks

O Databricks recomenda o uso do provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para a sua conta do Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Quando um usuário deixa sua organização ou não precisa mais de acesso ao Databricks, os administradores podem encerrar o usuário em seu provedor de identidade e a conta desse usuário também será removida do Databricks. Isso garante um processo de desligamento consistente e evita que usuários não autorizados acessem dados confidenciais.

Você deve procurar sincronizar todos os usuários e grupos que pretendem usar o Databricks com o console da conta, em vez de workspaces individuais. Dessa forma, você só precisa configurar um aplicativo de provisionamento SCIM para manter todas as identidades consistentes em todos os workspaces da conta.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seu workspace, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível accountestiver habilitado. Consulte Atualizar para federação de identidades.

Diagrama SCIM no nível da conta

Se tiver menos de 10.000 usuários no seu fornecedor de identidade, a Databricks recomenda atribuir um grupo no seu fornecedor de identidade que contenha todos os utilizadores à aplicação SCIM ao nível da conta. Utilizadores, grupos e entidades de serviço específicos podem então ser atribuídos a partir da conta a workspaces específicos dentro de Databricks utilizando a federação de identidades.

Configurar logon único e login unificado

O login único (SSO) permite que você autentique seus usuários usando o provedor de identidade da sua organização. O Databricks recomenda a configuração do SSO para aumentar a segurança e melhorar a usabilidade.

O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Quando o SSO estiver ativado em sua account, você poderá optar por ativar o login unificado para todos os espaços de trabalho ou para espaços de trabalho selecionados. workspace de login unificado usa a configuração de SSO no nível account , e todos os usuários, incluindo administradores account e workspace , devem entrar no Databricks usando SSO. A Databricks recomenda que você configure o login unificado para todos os workspaces.

Se sua account foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua account por default para todos workspace, novos e existentes, e não poderá ser desabilitado.

Para obter mais informações, consulte Configurar o SSO no console da sua conta do Databricks.

Habilitar federação de identidade

A federação de identidade permite que você configure usuários, princípios de serviço e grupos no console da conta e, em seguida, atribua a essas identidades acesso a espaços de trabalho específicos.Isso simplifica a administração de Databricks e a governança de dados.

Importante

Se sua account foi criada depois de 8 de novembro de 2023, a federação de identidade será habilitada em todos os novos workspace por default e não poderá ser desativada.

Com a federação de identidades, você configura usuários, entidades de serviço e grupos do Databricks uma vez no console da conta, em vez de repetir a configuração separadamente em cada workspace. Isso reduz o atrito na integração de uma nova equipe ao Databricks e permite que você mantenha um aplicativo de provisionamento SCIM com seu provedor de identidade para a conta do Databricks, em vez de um aplicativo de provisionamento SCIM separado para cada workspace. Depois que usuários, entidades de serviço e grupos forem adicionados à conta, você poderá atribuir a eles permissões em workspaces. Você só pode atribuir acesso de identidades no nível da conta a workspaces habilitados para federação de identidades.

Diagrama de identidade no nível da conta

Para habilitar um workspace para federação de identidade, consulte Como os administradores habilitam a federação de identidade em um workspace?. Quando a atribuição estiver concluída, a federação de identidade será marcada como Ativada na tabConfiguração do workspace no console da account .

A federação de identidades está habilitada no nível do workspace, e você pode ter uma combinação de workspaces federados com identidades e workspaces federados sem identidades. Para os workspaces que não estão habilitados para federação de identidades, os administradores do workspace gerenciam seus usuários, entidade de serviço e grupos do workspace inteiramente dentro do escopo do workspace (o modelo legado). Eles não podem usar o console da conta ou as APIs no nível da conta para atribuir usuários da conta a esses workspaces, mas podem usar qualquer uma das interfaces no nível do workspace. Sempre que um novo usuário ou diretor de serviço for adicionado a um workspace com interfaces em nível de workspace, esse usuário ou entidade de serviço será sincronizado com o nível da conta. Isso permite que você tenha um conjunto consistente de usuários e diretores de serviços em sua conta.

No entanto, quando um grupo é incluído em um espaço de trabalho federado sem identidade usando interfaces em nível de espaço de trabalho, esse grupo é um grupo local de espaço de trabalho e não é incluído na conta. Você deve tentar usar grupos account em vez de grupos locais workspace . workspace-local groups não podem receber políticas de controle de acesso no Unity Catalog ou permissões para outro workspace.

Atualizar para federação de identidade

Se você estiver habilitando a federação de identidade em um workspace existente, faça o seguinte:

  1. Migre o provisionamento SCIM no nível do workspace para o nível da conta

    Se você tiver um provisionamento SCIM no nível workspaceconfigurado em seu workspace, deverá configurar o provisionamento SCIM no nível accounte desativar o provisionador SCIM no nível workspace . O SCIM em nível de workspacecontinuará a criar e atualizar grupos locais workspace . Databricks recomenda o uso de grupos account em vez de grupos locais de workspacepara aproveitar a atribuição de workspace centralizado e o gerenciamento de acesso a dados usando o Unity Catalog. O SCIM em nível de workspacetambém não reconhece grupos account designados à sua workspace federada de identidade e as chamadas de API SCIM em nível de workspacefalharão se envolverem grupos account . Para obter mais informações sobre como desabilitar o SCIM no nível workspace , consulte Migrar provisionamento do SCIM no nível workspacepara o nível account .

  2. Converta grupos locais do workspace em grupos de contas

    Databricks recomenda converter seus grupos locais de workspaceexistentes em grupos account . Consulte Migrar grupos locais do workspace para grupos account para obter instruções.

Atribua permissões de workspace a grupos

Agora que a federação de identidade está habilitada no seu workspace, você pode atribuir os usuários, os diretores de serviço e os grupos nas permissões da sua conta nesse workspace. O Databricks recomenda que você atribua permissões de grupos a workspaces em vez de atribuir permissões de workspace a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.

Adicionar permissões de workspace

Saiba mais