Práticas recomendadas de identidade

Este artigo fornece uma perspectiva opinativa sobre como configurar melhor a identidade no Databricks. Isso inclui um guia sobre como migrar para federação de identidade, que permite que você gerencie todos os seus usuários, grupos e princípios de serviço na conta da Databricks.

Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.

Para obter informações sobre como acessar com segurança Databricks APIs, consulte Autenticação segura API .

Configurar usuários, entidades de serviço e grupos

Há três tipos de identidade do Databricks:

  • Usuários: Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.

  • Princípios de serviço: identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

  • Grupos: Os grupos simplificam o gerenciamento de identidade, facilitando a atribuição de acesso a workspaces, dados e outros objetos seguros.

A Databricks recomenda a criação de entidades de serviço para executar trabalhos de produção ou modificar dados de produção. Se todos os processos que atuam nos dados de produção forem executados usando entidades de serviço, os usuários interativos não precisarão de nenhum privilégio de gravação, exclusão ou modificação na produção. Isso elimina o risco de um usuário substituir acidentalmente os dados de produção.

É uma prática recomendada atribuir acesso a workspaces e políticas de controle de acesso no Unity Catalog a grupos, em vez de a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.

Veja a seguir as funções administrativas que podem gerenciar identidades do Databricks:

  • Osadministradores da conta podem adicionar usuários, entidades de serviço e grupos à conta e atribuir-lhes funções administrativas. Eles podem dar aos usuários acesso ao workspace, desde que esses workspaces usem federação de identidade.

  • Administradores de workspace podem adicionar usuários e entidades de serviço à conta do Databricks. Eles também podem adicionar grupos à conta do Databricks se os seus workspaces estiverem habilitados para federação de identidades. Os administradores do workspace podem conceder aos usuários, entidades de serviço e grupos acesso aos seus workspaces.

  • Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

  • Os gestores entidades de serviço podem gerir funções numa entidade de serviço.

A Databricks recomenda que haja um número limitado de administradores de conta por conta e administradores de workspace em cada workspace.

Sincronize usuários e grupos do seu provedor de identidade com a sua conta da Databricks

O Databricks recomenda o uso do provisionamento SCIM para sincronizar usuários e grupos automaticamente do seu provedor de identidade para a sua conta do Databricks. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Quando um usuário deixa sua organização ou não precisa mais de acesso ao Databricks, os administradores podem encerrar o usuário em seu provedor de identidade e a conta desse usuário também será removida do Databricks. Isso garante um processo de desligamento consistente e evita que usuários não autorizados acessem dados confidenciais.

Você deve procurar sincronizar todos os usuários e grupos que pretendem usar o Databricks com o console da conta, em vez de workspaces individuais. Dessa forma, você só precisa configurar um aplicativo de provisionamento SCIM para manter todas as identidades consistentes em todos os workspaces da conta.

Importante

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Upgrade para federação de identidade.

Diagrama SCIM no nível da conta

Se tiver menos de 10.000 usuários no seu fornecedor de identidade, a Databricks recomenda atribuir um grupo no seu fornecedor de identidade que contenha todos os utilizadores à aplicação SCIM ao nível da conta. Utilizadores, grupos e entidades de serviço específicos podem então ser atribuídos a partir da conta a workspaces específicos dentro de Databricks utilizando a federação de identidades.

Configurar o logon único e o login unificado

O login único (SSO) permite que você autentique seus usuários usando o provedor de identidade da sua organização. O Databricks recomenda a configuração do SSO para aumentar a segurança e melhorar a usabilidade.

O login unificado permite que o senhor gerencie uma configuração SSO em seu account que é usada para o espaço de trabalho account e Databricks. Quando o SSO está ativado no seu account, o senhor pode optar por ativar o login unificado para todos os espaços de trabalho ou para os espaços de trabalho selecionados. O espaço de trabalho de login unificado usa a configuração account-level SSO e todos os usuários, incluindo os administradores account e workspace, devem fazer login em Databricks usando SSO. Databricks recomenda que o senhor configure o login unificado para todos os espaços de trabalho.

Se o seu account foi criado depois de 21 de junho de 2023, o login unificado é ativado no seu account por default para todos os espaços de trabalho, novos e existentes, e não pode ser desativado.

Para obter mais informações, consulte SSO no seu console Databricks account .

Habilitar federação de identidade

A federação de identidade permite que você configure usuários, princípios de serviço e grupos no console da conta e, em seguida, atribua a essas identidades acesso a espaços de trabalho específicos.Isso simplifica a administração de Databricks e a governança de dados.

Importante

Se o seu account foi criado após 8 de novembro de 2023, a federação de identidade é ativada em todos os novos espaços de trabalho pelo default e não pode ser desativada.

Com a federação de identidades, você configura usuários, entidades de serviço e grupos do Databricks uma vez no console da conta, em vez de repetir a configuração separadamente em cada workspace. Isso reduz o atrito na integração de uma nova equipe ao Databricks e permite que você mantenha um aplicativo de provisionamento SCIM com seu provedor de identidade para a conta do Databricks, em vez de um aplicativo de provisionamento SCIM separado para cada workspace. Depois que usuários, entidades de serviço e grupos forem adicionados à conta, você poderá atribuir a eles permissões em workspaces. Você só pode atribuir acesso de identidades no nível da conta a workspaces habilitados para federação de identidades.

Diagrama de identidade no nível da conta

Para habilitar um workspace para a federação de identidade, consulte Como os administradores habilitam a federação de identidade em um workspace? Quando a atribuição é concluída, a federação de identidade é marcada como Ativada na Configuração do workspace tab no console account.

A federação de identidades está habilitada no nível do workspace, e você pode ter uma combinação de workspaces federados com identidades e workspaces federados sem identidades. Para os workspaces que não estão habilitados para federação de identidades, os administradores do workspace gerenciam seus usuários, entidade de serviço e grupos do workspace inteiramente dentro do escopo do workspace (o modelo legado). Eles não podem usar o console da conta ou as APIs no nível da conta para atribuir usuários da conta a esses workspaces, mas podem usar qualquer uma das interfaces no nível do workspace. Sempre que um novo usuário ou diretor de serviço for adicionado a um workspace com interfaces em nível de workspace, esse usuário ou entidade de serviço será sincronizado com o nível da conta. Isso permite que você tenha um conjunto consistente de usuários e diretores de serviços em sua conta.

No entanto, quando um grupo é adicionado a um workspace federado sem identidade usando interfaces de nível workspace, esse grupo é um grupoworkspace -local e não é adicionado ao account. O senhor deve procurar usar os grupos account em vez dos grupos workspace-local. workspaceOs grupos locais não podem receber políticas de controle de acesso em Unity Catalog ou permissões para outros espaços de trabalho.

Atualizar para federação de identidade

Se você estiver habilitando a federação de identidade em um workspace existente, faça o seguinte:

  1. Migre o provisionamento SCIM no nível do workspace para o nível da conta

    Se o senhor tiver um workspace-level SCIM provisionamento configurado no seu workspace, deverá configurar o account-level SCIM provisionamento e desativar o workspace-level SCIM provisionamento. workspaceO nível SCIM continuará a criar e atualizar os grupos workspace-local. Databricks recomenda o uso de grupos account em vez de grupos workspace-local para aproveitar as vantagens da atribuição centralizada de workspace e do gerenciamento de acesso a dados usando Unity Catalog. workspaceO nível SCIM também não reconhece os grupos account atribuídos à sua identidade federada workspace e workspace. O nível SCIM API falhará se envolver grupos account. Para obter mais informações sobre como desativar o workspace-level SCIM, consulte Migrar o provisionamento do workspace-level SCIM para o nível account .

  2. Converta grupos locais do workspace em grupos de contas

    Databricks recomenda a conversão dos grupos workspace-local existentes para grupos account. Consulte Migrar grupos workspace-local para grupos account para obter instruções.

Atribua permissões de workspace a grupos

Agora que a federação de identidade está habilitada no seu workspace, você pode atribuir os usuários, os diretores de serviço e os grupos nas permissões da sua conta nesse workspace. O Databricks recomenda que você atribua permissões de grupos a workspaces em vez de atribuir permissões de workspace a usuários individualmente. Todas as identidades de Databricks podem ser atribuídas como membros de grupos, e os membros herdam permissões que são atribuídas ao grupo.

Adicionar permissões de workspace

Saiba mais