Compartir a través de

Administración de entidades de servicio

En esta página se explica cómo administrar entidades de servicio para las áreas de trabajo y la cuenta de Azure Databricks.

Para obtener información general sobre las entidades de servicio, consulte Entidades de servicio.

Nota:

En esta página se supone que el área de trabajo tiene habilitada la federación de identidades, que es el valor predeterminado para la mayoría de las áreas de trabajo. Para obtener información sobre las áreas de trabajo heredadas sin federación de identidades, consulte Áreas de trabajo heredadas sin federación de identidades.

Sincronización de entidades de servicio con la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID

Puede sincronizar automáticamente los principios de servicio de Microsoft Entra ID desde el tenant de Microsoft Entra ID a su cuenta de Azure Databricks mediante la administración automática de identidades. Databricks usa microsoft Entra ID como origen, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. Consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.

El aprovisionamiento SCIM no admite la sincronización de entidades de servicio.

Agregar entidades de servicio a la cuenta

Los administradores de cuentas y los administradores del área de trabajo pueden agregar entidades de servicio a la cuenta de Azure Databricks mediante la consola de cuenta o la página de configuración del administrador del área de trabajo.

Las entidades de servicio se pueden crear en Azure Databricks o vincularlas desde una entidad de servicio existente de Microsoft Entra ID. Consulte las Entidades de servicio de Databricks y Microsoft Entra ID. Cuando la administración automática de identidades está habilitada, puede buscar y agregar entidades de servicio directamente desde el identificador de Microsoft Entra.

Los administradores de cuentas y los administradores del área de trabajo pueden agregar entidades de servicio a la cuenta de Azure Databricks mediante la consola de cuenta o la página de configuración del administrador del área de trabajo.

Consola de la cuenta

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. En la pestaña Entidades de servicio , haga clic en Agregar entidad de servicio.
  4. En Administración, elija Administrado por Databricks o Administrado por Microsoft Entra ID.
  5. Si eligió Administrado por Microsoft Entra ID, en Id. de aplicación de Microsoft Entra, pegue el identificador de aplicación (cliente) de la entidad de servicio.
  6. Escriba un nombre para la entidad de servicio.
  7. Haga clic en Agregar.

Configuración del administrador del área de trabajo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

  3. Haga clic en la pestaña Identidad y acceso .

  4. Siguiente a Entidades de servicio, haga clic en Administrar.

  5. Haga clic en Agregar entidad de servicio.

  6. Haga clic en Agregar nuevo.

  7. Seleccione Administrado por Databricks o Administrado por Microsoft Entra ID. Si selecciona Administrado por Microsoft Entra ID, pegue el ID de la aplicación (cliente) para la entidad de servicio.

  8. Escriba un nombre para la entidad de servicio.

  9. Haga clic en Agregar.

Asignar roles de administrador de cuenta a un principal de servicio

Nota:

La página de detalles del principal del servicio solo muestra los roles que se asignan directamente al principal del servicio. Los roles heredados a través de la pertenencia a grupos están activos, pero sus alternancias no se muestran como habilitadas en la interfaz de usuario.

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. En la pestaña Entidades de servicio , busque y haga clic en el nombre de usuario.
  4. En la pestaña Roles , seleccione uno o varios roles.

Asignación de una entidad de servicio a un área de trabajo

Los administradores de cuentas y los administradores del área de trabajo pueden asignar entidades de servicio a un área de trabajo de Azure Databricks mediante la consola de cuenta o la página de configuración del administrador del área de trabajo.

Consola de la cuenta

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Áreas de trabajo.
  3. Haga clic en el nombre del área de trabajo.
  4. En la pestaña Permisos , haga clic en Agregar permisos.
  5. Busque y seleccione la entidad de servicio, asigne el nivel de permiso ( usuario o administrador del área de trabajo) y haga clic en Guardar.

Configuración del administrador del área de trabajo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Siguiente a Entidades de servicio, haga clic en Administrar.
  5. Haga clic en Agregar entidad de servicio.
  6. Seleccione una entidad de servicio existente.
  7. Haga clic en Agregar.

Quite una entidad de servicio de un área de trabajo

Los administradores de cuentas y los administradores del área de trabajo pueden quitar una entidad de servicio de un área de trabajo de Azure Databricks mediante la consola de cuenta o la página de configuración del administrador del área de trabajo.

Cuando se elimina una entidad de seguridad de un área de trabajo, ésta ya no puede acceder al área de trabajo, aunque se mantienen los permisos sobre la entidad de seguridad. Si la entidad de seguridad de servicio se vuelve a agregar posteriormente al área de trabajo, recupera sus permisos anteriores.

Consola de la cuenta

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Áreas de trabajo.
  3. Haga clic en el nombre del área de trabajo.
  4. En la pestaña Permisos, busca entidad de servicio.
  5. Haga clic en el icono de menú Kebab. Menú kebab situado en el extremo derecho de la fila de la entidad de servicio y seleccione Quitar.
  6. En el cuadro de diálogo de confirmación, haga clic en Quitar.

Configuración del administrador del área de trabajo

Cuando se elimina una entidad de seguridad de un área de trabajo, ésta ya no puede acceder al área de trabajo, aunque se mantienen los permisos sobre la entidad de seguridad. Si la entidad de seguridad de servicio se vuelve a agregar posteriormente a un área de trabajo, recupera sus permisos anteriores.

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Siguiente a Entidades de servicio, haga clic en Administrar.
  5. Seleccione la entidad de servicio.
  6. En la esquina superior derecha, haga clic en Eliminar.
  7. Haga clic en Eliminar para confirmar.

Asigne el rol de administrador del área de trabajo a un principal de servicio

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Junto a Grupos, haga clic en Administrar.
  5. Seleccione el grupo del sistema admins.
  6. Haga clic en Agregar miembros.
  7. Selecciona la entidad de servicio y haz clic en Confirmar.

Para eliminar la función de administrador del área de trabajo de una entidad de servicio, elimina la entidad de servicio del grupo de administradores.

Desactivar una entidad de servicio

Puede desactivar un principal de servicio a nivel de cuenta o de área de trabajo. La desactivación impide que la entidad de servicio autentique y acceda a las API de Databricks, pero no elimina sus permisos ni objetos asociados. Esto es preferible a la eliminación, que es una acción destructiva.

Efectos de la desactivación:

  • La entidad de servicio no puede autenticar ni acceder a las API de Databricks.
  • Las aplicaciones o scripts que usen los tokens que generó esa entidad de servicio ya no pueden acceder a la API de Databricks. Los tokens permanecerán, pero no se podrán usar para autenticarse mientras una entidad de servicio esté desactivada.
  • Los recursos de proceso que pertenecen a la entidad de servicio permanecen en ejecución.
  • Los trabajos programados creados por la entidad de servicio generan un error a menos que se asignen a un nuevo propietario.

Cuando se reactiva, el principal de servicio recupera el acceso con los mismos permisos.

Desactivación de nivel de cuenta

Los administradores de cuentas pueden desactivar entidades de servicio de una cuenta de Azure Databricks. Cuando una entidad de servicio se desactiva en el nivel de cuenta, no se puede autenticar en la cuenta de Azure Databricks ni en ninguna área de trabajo de la cuenta.

No se puede desactivar una entidad de servicio mediante la consola de la cuenta. En su lugar, use la API de entidades de servicio de cuentas.

Por ejemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Desactivación de nivel de área de trabajo

Cuando una entidad de servicio se desactiva en el nivel de área de trabajo, no se puede autenticar en esa área de trabajo específica, pero todavía puede autenticarse en la cuenta y en otras áreas de trabajo de la cuenta.

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Siguiente a Entidades de servicio, haga clic en Administrar.
  5. Seleccione la entidad de servicio que desea desactivar.
  6. En Estado, desactive Activo.

Para establecer una entidad de servicio en activa, realice los mismos pasos, pero active la casilla en su lugar.

Eliminación de entidades de servicio de la cuenta de Azure Databricks

Los administradores de cuentas pueden eliminar entidades de servicio de una cuenta de Azure Databricks. Los administradores de área de trabajo no pueden. Al eliminar una entidad de servicio de la cuenta, esa entidad de seguridad también se quita de tus áreas de trabajo.

Importante

Al quitar una entidad de servicio de la cuenta, esa entidad de servicio también se quitará de sus áreas de trabajo, independientemente de si se hubiera habilitado o no la federación de identidad. Se recomienda abstenerse de eliminar entidades de servicio de nivel de cuenta a menos que quieras que pierdan acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de servicios principales:

  • Las aplicaciones o scripts que usen los tokens que generó esa entidad de servicio ya no podrán acceder a las API de Databricks
  • Los trabajos que pertenecen a la entidad de servicio fallan
  • Proceso que pertenece a la detención de la entidad de servicio
  • Las consultas o paneles que haya creado esa entidad de servicio y que se hayan compartido mediante el uso de la credencial Ejecutar como propietario tienen que asignarse a un nuevo propietario para evitar que se produzca un error de uso compartido

Cuando se elimina una entidad de seguridad de servicio de Microsoft Entra ID de una cuenta, la entidad de seguridad de servicio ya no puede acceder a la cuenta ni a sus áreas de trabajo, aunque se mantienen los permisos sobre la entidad de seguridad de servicio. Si la entidad de seguridad de servicio se vuelve a agregar posteriormente a la cuenta, recupera sus permisos anteriores.

Para quitar una entidad de servicio mediante la consola de la cuenta, haz lo siguiente:

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. En la pestaña Entidades de servicio , busque y haga clic en el nombre de usuario.
  4. En la pestaña Información principal , haga clic en el icono de menú Kebab. Menú kebab en la esquina superior derecha y seleccione Eliminar.
  5. En el cuadro de diálogo de confirmación, haga clic en Confirmar eliminación.

Nota:

Cuando la administración de identidades automática está habilitada, las entidades de servicio que se encuentran en Microsoft Entra ID están visibles en la consola de la cuenta. Su estado se muestra como Inactivo: Sin uso y no se pueden quitar de la lista de entidades de servicio. No están activos en la cuenta y no cuentan con los límites.

Administración de entidades de seguridad de servicio usando la API

Los administradores de cuentas y de áreas de trabajo pueden administrar entidades de servicio en la cuenta de Azure Databricks y en las áreas de trabajo usando las API de Databricks. Para administrar roles en una entidad de servicio mediante la API, consulte Administración de roles de entidad de servicio mediante la CLI de Databricks.

Administración de entidades de servicio en la cuenta mediante la API

Los administradores pueden agregar y administrar entidades de servicio en la cuenta de Azure Databricks usando la API de entidades de servicio de cuentas. Los administradores de la cuenta y los administradores del área de trabajo invocan la API mediante una dirección URL de punto de conexión diferente:

  • Los administradores de cuenta usan {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Los administradores de área de trabajo usan {workspace-domain}/api/2.0/account/scim/v2/.

Para más detalles, consulte el Account Service Principals API.

Administración de entidades de servicio en el área de trabajo mediante la API

Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar entidades de servicio a áreas de trabajo. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.

  • Los administradores de cuenta usan {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Los administradores de área de trabajo usan {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Consulte Api de asignación de áreas de trabajo.

Nota:

En el caso de las áreas de trabajo heredadas sin federación de identidades, los administradores del área de trabajo pueden usar la API de entidades de servicio del área de trabajo para asignar entidades de servicio a sus áreas de trabajo.

Administración de tokens de acceso para una entidad de servicio

Las entidades de servicio se pueden autenticar en las API de Databricks mediante tokens de OAuth o tokens de acceso personal (PAT), cada una con diferentes ámbitos y consideraciones de seguridad.

Importante

Databricks recomienda usar tokens de OAuth para la autenticación de la entidad de servicio siempre que sea posible para mejorar la seguridad y la administración del ciclo de vida. Use PAT solo cuando OAuth no esté disponible para su caso de uso.

  • Tokens de OAuth de Azure Databricks

    • Autentíquese en las API de nivel de cuenta y de nivel de área de trabajo.
    • Los tokens de OAuth creados en el nivel de cuenta pueden acceder tanto a las API de cuenta como al área de trabajo. Los tokens de OAuth creados en el nivel de área de trabajo se limitan a las API del área de trabajo.
    • Se recomienda OAuth para la mayoría de los escenarios debido a la seguridad mejorada y la administración automática de tokens.
    • Para obtener instrucciones de configuración, consulte Autorizar el acceso de la entidad de servicio a Azure Databricks con OAuth.

  • Tokens de acceso personal

Para más información sobre cómo trabajar con identidades de servicio administradas de Microsoft (MSI) o tokens de acceso de Id. de Microsoft Entra, consulte Autenticación con identidades administradas de Azure y Autenticación con entidades de servicio de Microsoft Entra , respectivamente.

  • Last updated on