Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Databricks fornece gerenciamento de identidade centralizado para usuários, grupos e principais de serviço em sua conta e espaços de trabalho. O gerenciamento de identidades no Azure Databricks permite controlar quem pode acessar seus workspaces, dados e recursos de computação, com opções flexíveis para sincronizar identidades de seu provedor de identidade.
Para obter uma perspectiva opinativa sobre como configurar melhor a identidade no Azure Databricks, consulte as melhores práticas de identidade.
Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.
Identidades do Azure Databricks
O Databricks dá suporte a três tipos de identidades para autenticação e controle de acesso:
| Tipo de identidade | Description |
|---|---|
| Usuários | Identidades de usuário reconhecidas pelo Azure Databricks e representadas por endereços de email. |
| Entidades de serviço | Identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD. |
| Grupos | Uma coleção de identidades usadas pelos administradores para gerenciar o acesso de grupo a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. |
Uma conta do Azure Databricks pode ter no máximo 10.000 usuários e entidades de serviço combinados, juntamente com até 5.000 grupos. Cada espaço de trabalho também pode ter no máximo 10.000 usuários e entidades de serviço combinados como membros, além de até 5.000 grupos.
Quem pode gerenciar identidades no Azure Databricks?
Para gerenciar identidades no Azure Databricks, você deve ter uma das seguintes funções:
| Função | Capabilities |
|---|---|
| Administradores de conta |
|
| Administradores do workspace |
|
| Gerentes de grupo |
|
| Gerentes de entidade de serviço |
|
Para estabelecer seu primeiro administrador de conta, consulte Estabelecer seu primeiro administrador de conta.
Fluxos de trabalho de gerenciamento de identidade
Observação
A maioria dos workspaces está habilitada para federação de identidade por padrão. A federação de identidade permite gerenciar identidades no nível da conta de maneira centralizada e atribuí-las a espaços de trabalho. Esta página pressupõe que seu workspace tenha a federação de identidade habilitada. Se você tiver um ambiente de trabalho herdado sem federação de identidade, consulte Ambientes de Trabalho Herdados Sem Federação de Identidade.
Federação de identidade
Databricks começou a habilitar automaticamente novos workspaces para federação de identidade e Unity Catalog em 9 de novembro de 2023. Workspaces habilitados por padrão para federação de identidade não podem ter essa desativação. Para obter mais informações, consulte Habilitação automática do Catálogo do Unity.
Em um workspace federado de identidade, ao adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do workspace, você pode selecionar entre as identidades que existem em sua conta. Em um workspace federado não de identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos de sua conta.
Para verificar se o workspace tem a federação de identidade habilitada, procure a federação de identidade: habilitada na página do workspace no console da conta. Para habilitar a federação de identidade para um workspace mais antigo, um administrador de conta deve ativar o Unity Catalog para o workspace, atribuindo um metastore do Unity Catalog. Veja Habilitar um workspace no Catálogo do Unity.
Sincronizar identidades de seu provedor de identidade
O Databricks recomenda sincronizar identidades do Microsoft Entra ID com o Azure Databricks usando a gestão automática de identidades. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025.
Usando o gerenciamento automático de identidade, você pode pesquisar diretamente usuários da ID do Microsoft Entra, entidades de serviço e grupos nas configurações de administrador do workspace e adicioná-los ao seu workspace e à conta do Azure Databricks. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. Para obter instruções detalhadas, consulte Sincronizar usuários e grupos automaticamente da ID do Microsoft Entra.
Atribuir identidades a espaços de trabalho
Para habilitar um usuário, entidade de serviço ou grupo a trabalhar em um workspace do Azure Databricks, um administrador de conta ou administrador de workspace os atribui ao workspace. Você pode atribuir acesso ao espaço de trabalho a qualquer usuário, principal de serviço ou grupo que exista na conta.
Os administradores do workspace também podem adicionar um novo usuário, entidade de serviço ou grupo diretamente a um workspace. Essa ação adiciona automaticamente a identidade à conta e a atribui a esse espaço de trabalho.
Para obter instruções detalhadas, consulte:
- Adicionar usuários a um workspace
- Adicionar entidades de serviço a um workspace
- Adicionar grupos a um espaço de trabalho
Compartilhar dashboards com usuários de conta
Usuários podem compartilhar painéis publicados com outros usuários na conta do Azure Databricks, mesmo que esses usuários não sejam membros do workspace deles. Usando o gerenciamento automático de identidade, os usuários podem compartilhar painéis com qualquer usuário na ID do Microsoft Entra, que adiciona o usuário à conta do Azure Databricks após o logon. Os usuários na conta do Azure Databricks que não são membros de nenhum workspace são equivalentes a usuários com acesso somente exibição em outras ferramentas. Eles podem exibir objetos que foram compartilhados com eles, mas não podem modificar objetos. Os usuários de uma conta do Azure Databricks não têm acesso padrão a um workspace, a dados ou a recursos de computação. Para obter mais informações, consulte Gerenciamento de usuários e grupos.
Authentication
SSO (logon único)
O SSO (autenticação única) na forma de login com suporte da ID do Microsoft Entra está disponível no Azure Databricks por padrão para todos os clientes, tanto no console da conta quanto nos espaços de trabalho. Veja Logon único com o Microsoft Entra ID.
Provisionamento just-in-time
Você pode configurar o provisionamento JIT (just-in-time) para criar automaticamente novas contas de usuário do Microsoft Entra ID após o primeiro logon. Veja Provisionar automaticamente usuários (JIT).
Controle de acesso
Os administradores podem atribuir funções, direitos e permissões a usuários, entidades de serviço e grupos para controlar o acesso a workspaces, dados e outros objetos protegíveis. Para saber mais, confira Visão geral do controle de acesso.
Workspaces herdados sem federação de identidade
Para espaços de trabalho que não estão habilitados para federação de identidade, os administradores do espaço de trabalho gerenciam os usuários, entidades de serviço e grupos inteiramente dentro do escopo do espaço de trabalho. Usuários e entidades de serviço adicionados a workspaces federados não por identidade são adicionados automaticamente à conta. Se o usuário do workspace compartilhar um nome de usuário (ou seja, um endereço de email) com um usuário ou administrador da conta que já existe, esses usuários serão mesclados em uma única identidade. Os grupos adicionados a workspaces federados não por identidade são grupos locais de workspace herdados que não são adicionados à conta.
Para habilitar a federação de identidade para um workspace herdado, consulte a federação de identidade.
Recursos adicionais
- Práticas recomendadas de gerenciamento de identidade – Diretrizes opinativas sobre como configurar a identidade no Azure Databricks
- Usuários – Gerenciar identidades de usuário
- Principais de serviço – Gerenciar identidades de principais de serviço
- Grupos – Gerenciar identidades de grupo
- Controle de acesso – Gerenciar permissões e acesso
- Provisionamento SCIM – Sincronize identidades de seu provedor de identidade
- Grupos locais de workspace – gerenciar grupos locais de workspace herdados