Gerenciar usuários, entidades de serviço e grupos

Este artigo apresenta o modelo de gerenciamento de identidade do Databricks e fornece uma visão geral de como gerenciar usuários, grupos e diretores de serviços no Databricks.

Para obter uma perspectiva opinativa sobre como configurar melhor a identidade no Databricks, consulte Práticas recomendadas de identidade.

Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.

Identidades de Databricks

Há três tipos de identidade do Databricks:

  • Usuários: Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.

  • Princípios de serviço: identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

  • Grupos: uma coleção de identidades usadas pelos administradores para gerenciar o acesso do grupo ao workspace, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. Existem dois tipos de grupos no Databricks: grupos account e grupos locais workspace . Para obter mais informações, consulte Diferença entre grupos de contas e grupos locais de espaço de trabalho.

Você pode ter no máximo 10.000 usuários e diretores de serviços combinados e 5.000 grupos em uma conta. Cada workspace pode ter no máximo 10.000 usuários e diretores de serviços combinados e 5.000 grupos.

Para obter instruções detalhadas, consulte:

Quem pode gerenciar identidades no Databricks?

Para gerenciar identidades no Databricks, você deve ter uma das seguintes funções: a função de administrador da conta, a função de administrador do workspace ou a função de gerente em uma entidade de serviço ou um grupo.

  • os administradores account podem adicionar usuários, entidades de serviço e grupos à account e atribuir-lhes funções administrativas. administradores account podem atualizar e deletar usuários, entidades de serviço e grupos da account. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidade.

  • Os administradores do workspace podem adicionar usuários e entidades de serviço à account do Databricks. Eles também poderão adicionar grupos à account do Databricks se o seu workspace estiver habilitado para federação de identidade. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho. Eles não podem excluir usuários e entidade de serviço da account.

    os administradores workspace também podem gerenciar grupos locais workspace . Para obter mais informações, consulte gerenciar grupos locais do espaço de trabalho (legado).

  • Os gerentes de grupo podem gerenciar a participação no grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. os administradores account têm a função de gerente de grupo em todos os grupos da account. os administradores workspace têm a função de gerente de grupo nos grupos account que eles criam. Consulte Quem pode gerenciar grupos account ?.

  • Os gestores entidades de serviço podem gerir funções numa entidade de serviço. Os administradores de conta têm a função de gestor de entidade de serviço em todas as entidades de serviço da conta. Os administradores do workspace têm a função de gestor de entidade de serviço nos principais serviços que criam. Para obter mais informações, consulte Funções para gerenciar entidades de serviço.

Como os administradores atribuem usuários à conta?

A Databricks recomenda usar o provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente do seu provedor de identidade para sua account do Databricks. Os usuários em uma account do Databricks não têm acesso default a um workspace, dados ou recurso compute . administradores account e administradores workspace podem atribuir usuários account ao workspace. os administradores workspace também podem adicionar um novo usuário diretamente a um workspace, o que adiciona automaticamente o usuário à account e o atribui a esse workspace.

Usando o compartilhamento de painel para account, os usuários podem compartilhar painéis publicados com outros usuários no Databricks account, mesmo que esses usuários não sejam membros de seu workspace. Para obter mais informações, consulte What is share to account?

Para obter instruções detalhadas sobre como adicionar usuários à account, consulte:

Como os administradores atribuem usuários aos workspaces?

Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um workspace Databricks, um administrador account ou administrador workspace precisa atribuí-los a um workspace. Você pode atribuir acesso ao workspace a usuários, entidade de serviço e grupos existentes na account , desde que o workspace esteja habilitado para federação de identidades.

Os administradores do workspace também podem adicionar um novo usuário, entidade de serviço ou grupo account diretamente a um workspace. Esta ação adiciona automaticamente o usuário, entidade de serviço ou grupo account escolhido à account e os atribui a esse workspace específico.

Diagrama de identidade no nível da conta

Observação

Os administradores workspace também podem criar grupos legados workspace-local no workspace usando a API de grupos workspace . grupos workspace-local não são adicionados automaticamente à account. workspace-local groups não podem ser atribuídos a workspace adicionais nem ter acesso concedido aos dados em um metastore Unity Catalog .

Para os workspace que não estão habilitados para federação de identidade, os administradores workspace gerenciam os usuários workspace , a entidade de serviço e os grupos inteiramente dentro do escopo do workspace. Os usuários e a entidade de serviço adicionados ao workspace federado sem identidade são automaticamente adicionados à account. Os grupos adicionados ao workspace federado sem identidade são grupos locais workspaceherdados que não são adicionados à account.

Para obter instruções detalhadas, consulte:

Como os administradores habilitam a federação de identidade em um workspace?

Se sua account foi criada depois de 8 de novembro de 2023, a federação de identidade será habilitada em todos os novos workspace por default e não poderá ser desativada.

Para habilitar a federação de identidade em um workspace, um administrador account precisa habilitar o workspace para Unity Catalog atribuindo um metastore Unity Catalog . Consulte Habilitar um workspace para o Unity Catalog.

Quando a atribuição é concluída, a federação de identidades é marcada como Habilitada na guia Configuração do workspace no console da conta.

Os administradores do workspace podem saber se um workspace tem a federação de identidades habilitada na página de configurações do administrador do workspace. Em um workspace federado de identidade, quando você optar por adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do workspace, terá a opção de selecionar um usuário, entidade de serviço ou grupo da sua conta para adicionar ao workspace.

Adicionar federação de identidade do usuário

Em um workspace federado sem identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos da sua conta.

Adicionar usuário na AWS

Atribuição de funções administrativas

Os administradores de conta podem atribuir outros usuários como administradores de conta. Eles também podem se tornar administradores do metastore do Unity Catalog por terem criado um metastore e podem transferir a função de administrador do metastore para outro usuário ou grupo.

Tanto os administradores da conta quanto os administradores do workspace podem designar outros usuários como administradores do workspace. A função de administrador do workspace é determinada pela associação ao grupo de administradores do workspace, que é um grupo padrão no Databricks e não pode ser excluído.

Os administradores de conta também podem atribuir outros usuários como Marketplace administradores.

Consulte:

Configurando o login único (SSO)

O login único (SSO) permite que você autentique seus usuários usando um provedor de identidade terceirizado, como o Okta. Caso o seu provedor de identidade suporte o protocolo SAML 2.0 (ou, no caso de SSO no nível da conta, o protocolo OIDC), você poderá usar o SSO do Databricks para integrá-lo ao seu provedor de identidade.

Visualização

O login unificado está atualmente em visualização pública para account criadas antes de 21 de junho de 2023. O login unificado está geralmente disponível para account criadas após 21 de junho de 2023.

O login unificado permite que você gerencie uma configuração de SSO em sua account que é usada para a account e workspace do Databricks. Quando o SSO estiver ativado em sua account, você poderá ativar o login unificado para todos workspace ou para os workspace selecionados. workspace de login unificado usa a configuração de SSO no nível account . A Databricks recomenda que você habilite o login unificado para todos workspace. Se sua account foi criada depois de 21 de junho de 2023, o login unificado estará habilitado em sua account por default para todos os workspace e não poderá ser desabilitado. Para ativar o login unificado, consulte Configurar o SSO na consola da sua conta Databricks.