Pular para o conteúdo principal

Gerenciamento de identidade e permissões

Esta página apresenta o modelo de gerenciamento de identidade do SAP Databricks e fornece uma visão geral de como gerenciar usuários, grupos e entidades de serviço no SAP Databricks.

Depois que o SAP Databricks account for provisionado, o senhor poderá provisionar usuários para o SAP Databricks usando o serviço SAP Cloud Identity, Identity provisionamento. Databricks recomenda continuar a usar o serviço SAP Cloud Identity como fonte única de verdade para todos os usuários em seu SAP Databricks account. Além disso, os administradores do account podem adicionar diretamente os usuários que não foram sincronizados por meio do SCIM.

Databricks recomenda organizar os usuários em grupos de nível accounte, em seguida, atribuir políticas de controle de acesso e workspace a grupos em vez de usuários individuais. O senhor também pode adicionar seus grupos sincronizados do SCIM aos grupos do account.

Identidades SAP Databricks

Há três tipos de identidade SAP Databricks:

  • Usuários : Identidades de usuário reconhecidas pelo SAP Databricks e representadas por endereços email.
  • Grupos : coleção de identidades usada pelos administradores para gerenciar o acesso do grupo a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
  • Princípios de serviço : identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

Um SAP Databricks account pode ter um máximo de 10.000 usuários e entidades de serviço combinados, além de até 5.000 grupos.

Quem pode gerenciar identidades no SAP Databricks?

Para gerenciar identidades no SAP Databricks, o senhor deve ter uma das seguintes opções: a função de administrador account, a função de administrador workspace ou a função de gerente em uma entidade de serviço ou grupo.

  • Os administradores de conta podem adicionar usuários, entidades de serviço e grupos ao site account e atribuir-lhes funções de administrador. Os administradores de contas podem atualizar e excluir usuários, entidades de serviço e grupos no site account. Eles também podem dar aos usuários acesso ao espaço de trabalho.
  • Os administradores do espaço de trabalho podem adicionar usuários, grupos e entidades de serviço ao SAP Databricks account. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso ao seu espaço de trabalho. Eles não podem excluir usuários e entidades de serviço do site account.
  • Gerentes de grupo podem gerenciar a associação do grupo e excluir o grupo. Eles também podem atribuir a outros usuários o papel de gerente de grupo. Os administradores de conta têm a função de gerente de grupo em todos os grupos na conta. Os administradores do workspace têm a função de gerente de grupo nos grupos de contas que criam.
  • Os gestores entidades de serviço podem gerir funções numa entidade de serviço. Os administradores de conta têm a função de gestor de entidade de serviço em todas as entidades de serviço da conta. Os administradores do workspace têm a função de gestor de entidade de serviço nos principais serviços que criam.

Atribuição de funções de administrador

Os administradores de conta podem atribuir outros usuários como administradores de conta.

Tanto os administradores de account quanto os administradores de workspace podem designar outros usuários como administradores de workspace. A função de administrador workspace é determinada pela associação ao grupo workspace admins , que é um grupo default no SAP Databricks e não pode ser excluído.

controle de acesso a objetos do espaço de trabalho

Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos de nível workspace, como Notebook e consultas. Os administradores do espaço de trabalho têm a permissão CAN MANAGE em todos os objetos de seu workspace, o que lhes dá a capacidade de gerenciar permissões em todos os objetos de seu espaço de trabalho. Os usuários têm automaticamente a permissão CAN MANAGE para os objetos que criam.

Para obter informações sobre ACLs em Databricks, consulte Listas de controle de acesso.

Controle de acesso a dados

Em Databricks, o acesso aos dados é controlado por Unity Catalog, que fornece controle de acesso centralizado, auditoria, linhagem e recursos de descobrimento de dados em todo o seu espaço de trabalho Databricks.

Cada objeto protegido no Unity Catalog tem um proprietário que, junto com os administradores, pode gerenciar as permissões do objeto. Para obter mais informações, consulte Objetos de banco de dados no SAP Databricks.

Última atualização em