Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve como o Azure Databricks sincroniza automaticamente usuários, entidades de serviço e grupos da ID do Microsoft Entra usando o gerenciamento automático de identidade.
Visão geral do gerenciamento automático de identidade
O gerenciamento automático de identidade permite que você adicione diretamente usuários, entidades de serviço e grupos da ID do Microsoft Entra no Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. Quando o gerenciamento automático de identidade estiver habilitado, você pode pesquisar diretamente nos workspaces federados de identidade por usuários, entidades de serviço e grupos do Microsoft Entra ID, e adicioná-los ao seu workspace. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nas associações de grupo são respeitadas no Azure Databricks.
O provisionamento JIT (Just-In-Time) sempre é habilitado quando o gerenciamento automático de identidade é ativado e você não pode desativá-lo. Novos usuários do Microsoft Entra ID são provisionados automaticamente no Azure Databricks após o primeiro logon. Consulte Provisionar automaticamente usuários (JIT).
Os usuários também podem compartilhar painéis com qualquer usuário, entidade de serviço ou grupo na ID do Microsoft Entra. Quando compartilhados, esses usuários, entidades de serviço e membros de grupos são adicionados automaticamente à conta do Azure Databricks após o logon. Eles não são adicionados como membros à área de trabalho na qual o painel está. Membros do Microsoft Entra ID que não têm acesso ao workspace recebem acesso a uma cópia para visualização de um painel publicado com permissões para dados compartilhados. Para obter mais informações sobre o compartilhamento de dashboard, consulte Compartilhar um painel.
Não há suporte para o gerenciamento automático de identidade em workspaces federados não identitários. Para obter mais informações sobre federação de identidade, consulte Federação de identidade.
Status do usuário e do grupo
Quando o gerenciamento automático de identidade está habilitado, usuários, entidades de serviço e grupos da ID do Microsoft Entra ficam visíveis no console da conta e na página de configurações do administrador do workspace. O status deles reflete a atividade e o estado entre o Microsoft Entra ID e o Azure Databricks:
| Situação | Significado |
|---|---|
| Inativo: sem uso | Para usuários e entidades de serviço: identidade na ID do Microsoft Entra que ainda não fez logon no Azure Databricks. Para grupos: o grupo não foi adicionado a um espaço de trabalho. |
| Ativo | A identidade está ativa no Azure Databricks. |
| Ativo: Removido do EntraID | Anteriormente estava ativo no Azure Databricks e foi removido da ID do Microsoft Entra. Não é possível fazer logon ou autenticar em APIs. |
| Desativado | A identidade foi desativada no Microsoft Entra ID. Não é possível fazer logon ou autenticar em APIs. |
Dica
Como prática recomendada de segurança, o Databricks recomenda revogar tokens de acesso pessoal para usuários Deactivated e Active: Removed From EntraID .
As identidades gerenciadas usando o gerenciamento automático de identidade são mostradas como Externas no Azure Databricks. Identidades externas não podem ser atualizadas usando a interface do usuário do Azure Databricks.
Gerenciamento automático de identidade versus provisionamento SCIM
Quando o gerenciamento automático de identidades está habilitado, todos os usuários, grupos e afiliações de grupo são sincronizados do Microsoft Entra ID para o Azure Databricks, de modo que o provisionamento SCIM não é necessário. Se você mantiver o aplicativo empresarial SCIM em execução em paralelo, o aplicativo SCIM continuará a gerenciar usuários e grupos configurados no aplicativo empresarial Microsoft Entra ID. Não gerencia identidades do Microsoft Entra ID que não foram adicionadas usando o provisionamento SCIM.
O Databricks recomenda o uso do gerenciamento automático de identidade. A tabela a seguir compara os recursos de gerenciamento automático de identidades com os recursos do provisionamento SCIM.
| Características | Gerenciamento automático de identidade | Provisionamento SCIM |
|---|---|---|
| Sincronizar usuários | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Somente membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Princípios do serviço de sincronização | ✓ | |
| Configurar e gerenciar o aplicativo de ID do Microsoft Entra | ✓ | |
| Requer a edição Premium do Microsoft Entra ID | ✓ | |
| Requer a função de administrador do aplicativo em nuvem do Microsoft Entra ID | ✓ | |
| Requer federação de identidade | ✓ |
ID externa do Azure Databricks e ID de objeto do Microsoft Entra ID
O Azure Databricks usa a ID do Microsoft Entra ObjectId como o vínculo autoritativo para sincronizar identidades e associações de grupo e atualiza automaticamente o campo externalId para corresponder ao fluxo ObjectId em um fluxo recorrente diário. Em alguns casos, incompatibilidades ou identidades duplicadas ainda podem ocorrer, especialmente se um usuário, principal de serviço ou grupo for adicionado ao Azure Databricks por meio do gerenciamento automático de identidades e de outro método, como o provisionamento SCIM. Nessas situações, você pode ver entradas duplicadas, com uma listagem com o status de Inativo: sem uso. O usuário não está inativo e pode fazer logon no Azure Databricks.
Você pode mesclar essas identidades duplicadas fornecendo sua ID externa no Azure Databricks. Use a API Usuários da Conta, Entidades de Serviço da Conta ou Grupos de Contas para atualizar a entidade de segurança a fim de adicionar a objectId do Microsoft Entra ID ao campo externalId.
Como o externalId pode ser atualizado ao longo do tempo, a Azure Databricks recomenda fortemente que você não use fluxos de trabalho personalizados que dependem do externalId.
Como funciona a sincronização de membros de grupo
Quando o gerenciamento automático de identidade está habilitado, o Azure Databricks atualiza as associações de grupo de usuários da ID do Microsoft Entra durante atividades que disparam verificações de autenticação e autorização, por exemplo, logons de navegador, autenticação de token ou execuções de trabalho. Isso garante que as permissões baseadas em grupo no Azure Databricks permaneçam sincronizadas com as alterações feitas na ID do Microsoft Entra.
Quando o Azure Databricks atualiza as associações de grupo, ele busca associações de grupo transitivas (aninhadas) do Microsoft Entra ID. Isso significa que, se um usuário for membro do Grupo A e o Grupo A for membro do Grupo B, o Azure Databricks reconhecerá o usuário como tendo associação em ambos os grupos. O Azure Databricks busca apenas associações para grupos que foram adicionados ao Azure Databricks. Ele não sincroniza ou reconstrói a hierarquia de grupo pai completa do Microsoft Entra ID.
O Azure Databricks atualiza as associações de grupo em agendas diferentes, dependendo da atividade:
- Logins do navegador: as associações de grupos serão sincronizadas se mais de 5 minutos tiverem passado desde a última sincronização
- Outras atividades (por exemplo, autenticação de token ou trabalhos em execução): associações de grupo sincronizam se mais de 40 minutos tiverem passado desde a última sincronização
Habilitar o gerenciamento automático de identidade
O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Os administradores de conta podem habilitar o gerenciamento automático de identidade no console da conta.
Como administrador de conta, faça logon no console da conta.
Na barra lateral, clique em Segurança.
Na guia Provisionamento de usuário , alterne o gerenciamento automático de identidade para Habilitado.
As alterações levam de cinco a dez minutos para entrar em vigor.
Depois que sua conta estiver habilitada, para adicionar e remover usuários, entidades de serviço e grupos da ID do Microsoft Entra, siga as instruções abaixo:
Desabilitar o gerenciamento automático de identidade
Quando o gerenciamento automático de identidades é desabilitado:
- Os usuários e as entidades de serviço permanecem: eles retêm o acesso, mas não são mais sincronizados com a ID do Microsoft Entra. Você pode remover ou desativar manualmente usuários e entidades de serviço no console da conta depois de desabilitar o gerenciamento automático de identidade.
- Os grupos perdem a associação: os grupos permanecem no Azure Databricks, mas todos os membros do grupo são removidos.
- Nenhuma sincronização com a ID do Microsoft Entra: as alterações na ID do Microsoft Entra (como remoções de usuário ou atualizações de grupo) não são refletidas no Azure Databricks.
- Sem herança de permissão: os usuários gerenciados pelo gerenciamento automático de identidade não podem herdar permissões de grupos pai. Isso afeta modelos de permissão aninhados baseados em grupo.
Se você planeja desabilitar o gerenciamento automático de identidades, o Databricks recomenda configurar o provisionamento SCIM com antecedência como uma alternativa. O SCIM pode então assumir a sincronização de identidades e grupos.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Segurança.
- Na guia Provisionamento de usuário , alterne o gerenciamento automático de identidade para Desabilitado.
Auditar logons do usuário
Você pode consultar a tabela system.access.audit para auditar quais usuários fizeram login no workspace. Por exemplo:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Para mais informações sobre a tabela system.access.audit, consulte Referência da tabela do sistema de log de auditoria.