Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una entidad de servicio es una identidad especializada en Azure Databricks diseñada para la automatización y el acceso mediante programación. Las entidades de servicio proporcionan acceso seguro y de solo API a los recursos de Azure Databricks para las plataformas automatizadas de herramientas, scripts y CI/CD, sin depender de credenciales de usuario individuales.
Para obtener información sobre cómo administrar entidades de servicio, consulte Administración de entidades de servicio.
Nota:
En esta página se supone que el área de trabajo tiene habilitada la federación de identidades, que es el valor predeterminado para la mayoría de las áreas de trabajo. Para obtener información sobre las áreas de trabajo heredadas sin federación de identidades, consulte Áreas de trabajo heredadas sin federación de identidades.
¿Qué es una entidad de servicio?
Las entidades principales de servicio proporcionan a las herramientas y scripts automatizados acceso exclusivo por API a los recursos de Azure Databricks, ofreciendo mayor seguridad que el uso de cuentas de usuario. Puede conceder y restringir el acceso de una entidad de servicio a los recursos de la misma manera que un usuario de Azure Databricks. Por ejemplo, puede conceder a una entidad de servicio el rol administrador de la cuenta o administrador del área de trabajo, conceder acceso a los datos mediante el Catálogo de Unity o agregar una entidad de servicio como miembro a un grupo.
También puede conceder permisos a usuarios, entidades de servicio y grupos de Azure Databricks para usar entidades de servicio. Esto permite a los usuarios ejecutar trabajos como la entidad de servicio, en lugar de como su identidad, lo que evita que se produzcan errores en los trabajos si un usuario abandona la organización o se modifica un grupo.
Entidades de servicio de Databricks y Microsoft Entra ID
Las entidades de servicio pueden ser entidades de servicio administradas de Azure Databricks o entidades de servicio administradas de Microsoft Entra ID.
Las entidades de servicio administradas de Azure Databricks pueden autenticarse en Azure Databricks mediante la autenticación de OAuth de Databricks y los tokens de acceso personal. Las entidades de servicio administradas de Microsoft Entra ID pueden autenticarse en Azure Databricks mediante la autenticación de OAuth de Databricks y los tokens de Microsoft Entra ID. Para más información sobre la autenticación para entidades de servicio, consulte Administración de tokens para una entidad de servicio.
Las entidades de servicio administradas de Azure Databricks se administran directamente en Azure Databricks. Las entidades de servicio administradas de Microsoft Entra ID se administran en Microsoft Entra ID, lo que requiere permisos adicionales. Databricks recomienda usar entidades de servicio administradas de Azure Databricks para la automatización de Azure Databricks y que use entidades de servicio administradas de Microsoft Entra ID en casos en los que debe autenticarse con Azure Databricks y otros recursos de Azure al mismo tiempo.
Para crear una entidad de servicio administrada de Azure Databricks, omita esta sección y continúe leyendo en ¿Quién puede administrar y usar entidades de servicio?
Para usar entidades de servicio de Microsoft Entra ID en Azure Databricks, un usuario administrador debe crear una aplicación de Microsoft Entra ID en Azure. Para crear una entidad de servicio administrada de Identificación de Microsoft Entra, consulte Autenticar con entidades de servicio de Microsoft Entra.
Casos de uso comunes
Las entidades de servicio son ideales para escenarios de automatización como los siguientes, donde necesita acceso mediante programación seguro y confiable a los recursos de Databricks:
| Caso de uso | Example |
|---|---|
| Canalizaciones de CI/CD | Implemente cuadernos, bibliotecas y configuraciones automáticamente como parte de los flujos de trabajo de integración e implementación continuos. |
| Trabajos programados | Ejecute canalizaciones de ETL, trabajos de procesamiento de datos e informes automatizados según una programación sin depender de cuentas de usuario individuales. |
| Integraciones entre sistemas | Conecte aplicaciones y servicios externos a Databricks para la ingesta, transformación o análisis de datos. |
| Pruebas automatizadas | Ejecute pruebas de integración y valide las canalizaciones de datos como parte del marco de pruebas. |
| Infraestructura como código | Aprovisione y administre recursos de Databricks mediante herramientas como Terraform, plantillas de ARM o Conjuntos de recursos de Databricks. |
¿Quién puede administrar y usar entidades de servicio?
Para administrar entidades de servicio en Azure Databricks, debe tener uno de los roles siguientes:
| Rol | Capabilities |
|---|---|
| Administradores de cuentas |
|
| Administradores del área de trabajo |
|
| Administradores de entidades de servicio |
|
| Usuarios de la entidad de servicio |
|
Nota:
- El creador de una entidad de servicio se convierte automáticamente en el administrador de la entidad de servicio.
- Los usuarios con el rol de administrador del principal de servicio no heredan el rol de usuario del principal de servicio. Si desea utilizar la entidad de seguridad de servicio para ejecutar tareas, debe asignarse explícitamente el rol de usuario de entidad de seguridad de servicio, incluso después de crear la entidad de seguridad de servicio.
- Cuando se establece la
RestrictWorkspaceAdminsconfiguración enALLOW ALL, los administradores del espacio de trabajo pueden crear tokens en representación de cualquier entidad de servicio en su espacio de trabajo. Consulte Restringir administradores de áreas de trabajo.
Para obtener información sobre cómo conceder los roles de administrador y usuario de la entidad de seguridad del servicio, consulte Roles para administrar entidades de seguridad del servicio.
Sincronización de entidades de servicio con la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID
Puede sincronizar automáticamente los principales de servicio de Microsoft Entra ID desde el tenant de Microsoft Entra ID a su cuenta de Azure Databricks mediante la administración automática de identidades. Databricks usa microsoft Entra ID como origen, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. Consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.
El aprovisionamiento SCIM no admite la sincronización de entidades de servicio.
Recursos adicionales
- Administración de entidades de servicio : creación y administración de entidades de servicio
- Control de acceso de la entidad de servicio : concesión de roles de administrador y usuario
- Privilegios de trabajo : ejecución de trabajos como entidad de servicio
- Autenticación para la automatización de Databricks : métodos de autenticación para entidades de servicio
- Administración de identidades : introducción a la administración de identidades en Databricks
- Principales de servicio de Azure - Crear principales de servicio de Microsoft Entra ID
- Administración automática de identidades : sincronización de entidades de servicio de Microsoft Entra ID