Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como adicionar, atualizar e remover usuários do Azure Databricks.
Para obter uma visão geral do modelo de identidade do Azure Databricks, consulte as identidades do Azure Databricks.
Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.
Observação
Esta página pressupõe que seu workspace tenha a federação de identidade habilitada, que é o padrão para a maioria dos workspaces. Para obter informações sobre workspaces herdados sem federação de identidade, consulte workspaces herdados sem federação de identidade.
Quem pode gerenciar usuários?
Para gerenciar usuários no Azure Databricks, você deve ser um administrador de conta ou um administrador de workspace.
Os administradores de conta podem adicionar usuários à conta e atribuí-los a funções de administrador. Eles também podem atribuir usuários a espaços de trabalho e configurar o acesso a dados para eles em diferentes espaços de trabalho.
Os administradores do workspace podem adicionar usuários a um workspace do Azure Databricks, atribuir a eles a função de administrador do workspace e gerenciar o acesso a objetos e funcionalidades no workspace, como a capacidade de criar clusters ou acessar ambientes baseados em persona especificados. A adição de um usuário a um workspace do Azure Databricks também o adiciona à conta.
Os administradores do workspace são membros do
adminsgrupo no workspace, que é um grupo reservado que não pode ser excluído.Os usuários com uma função de Proprietário ou Colaborador interno do Azure ou função personalizada com as permissões de administrador do Azure necessárias recebem automaticamente a função de administrador do workspace quando clicam em Iniciar Workspace no portal do Azure. Para obter mais informações, consulte o que são administradores de workspace?.
Sincronizar usuários com sua conta do Azure Databricks do locatário do Microsoft Entra ID
Você pode sincronizar usuários do locatário do Microsoft Entra ID com sua conta do Azure Databricks automaticamente ou um conector de provisionamento do SCIM.
O gerenciamento automático de identidade permite adicionar usuários, entidades de serviço e grupos da ID do Microsoft Entra ao Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Sincronizar usuários e grupos automaticamente da ID do Microsoft Entra.
O Provisionamento SCIM permite configurar um aplicativo empresarial no Microsoft Entra ID para manter usuários e grupos sincronizados com o Microsoft Entra ID. Para obter instruções, consulte Sincronizar usuários e grupos da ID do Microsoft Entra usando SCIM.
Adicionar usuários à sua conta
Console da conta
Os administradores de conta podem adicionar usuários à sua conta do Azure Databricks usando o console da conta. Os usuários de uma conta do Azure Databricks não têm acesso padrão a um workspace, a dados ou a recursos de computação. Um usuário não pode pertencer a mais de 50 contas do Azure Databricks.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Na guia Usuários , clique em Adicionar Usuário.
- Insira um nome e o endereço de e-mail do usuário.
- Clique em Adicionar usuário.
Configurações de administrador do workspace
Como administrador do workspace, faça logon no workspace do Azure Databricks.
Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
Clique na guia Identidade e acesso .
Ao lado de Usuários, clique em Gerenciar.
Clique em Adicionar usuário.
Clique em Adicionar novo.
Insira um endereço de email para o usuário.
É possível adicionar qualquer usuário que pertença ao locatário do Microsoft Entra ID do seu workspace do Azure Databricks. Adicionar um novo usuário ao workspace também adiciona o usuário à sua conta do Azure Databricks.
Clique em Adicionar.
Atribuir funções de administrador de conta a um usuário
Observação
A página detalhes do usuário exibe apenas as funções que são atribuídas diretamente ao usuário. As funções herdadas por meio da associação de grupo estão ativas, mas suas alternâncias não são mostradas como habilitadas na interface do usuário.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Localize e clique no nome de usuário.
- Na guia Funções , selecione uma ou mais funções.
Atribuir um usuário a um espaço de trabalho
Administradores de conta e administradores de workspace podem atribuir princípios de serviço a um workspace do Azure Databricks usando o console da conta ou a página de configurações do administrador do workspace.
Console da conta
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Workspaces.
- Clique no nome do seu workspace.
- Na guia Permissões , clique em Adicionar permissões.
- Pesquise e selecione o usuário, atribua o nível de permissão ( usuário ou administrador do workspace) e clique em Salvar.
Configurações de administrador do workspace
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso .
- Ao lado de Usuários, clique em Gerenciar.
- Clique em Adicionar Usuário.
- Selecione um usuário existente para atribuir ao workspace ou clique em Adicionar novo para criar um novo usuário.
- Clique em Adicionar.
Remover um usuário de um espaço de trabalho
Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente ao workspace, ele recuperará suas permissões anteriores.
Console da conta
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Workspaces.
- Clique no nome do seu workspace.
- Na guia Permissões , localize o usuário.
- Clique no
à direita da linha do usuário e selecione Remover. - Na caixa de diálogo de confirmação, clique em Remover.
Configurações de administrador do workspace
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso .
- Ao lado de Usuários, clique em Gerenciar.
- Localize o usuário e o Menu kebab à direita da linha do usuário e selecione Remover.
- Clique em Excluir para confirmar.
Atribuir a função de administrador do workspace a um usuário
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso .
- Ao lado de Usuários, clique em Gerenciar.
- Selecionar o usuário.
- Em Direitos, ative o acesso de Administrador.
Para remover a função de administrador do workspace de um usuário do workspace, execute as mesmas etapas, mas desmarque a alternância Acesso de administrador.
Desativar um usuário
Você pode desativar um usuário no nível da conta ou do workspace.
Os administradores da conta podem desativar usuários em uma conta do Azure Databricks. A desativação impede que o usuário autentique e acesse a conta, workspaces ou APIs do Databricks, mas não remove suas permissões ou objetos. Isso é preferível à remoção, que é uma ação destrutiva.
Efeitos da desativação:
- O usuário não pode autenticar ou acessar a interface do usuário ou as APIs do Databricks.
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
- Os recursos de computação pertencentes ao usuário permanecem em execução.
- Os trabalhos agendados criados pelo usuário falham, a menos que sejam atribuídos a um novo proprietário.
Quando reativado, o usuário recupera o acesso com as mesmas permissões.
Desativação no nível da conta
Os administradores de conta podem desativar um usuário em uma conta do Azure Databricks. Quando um usuário é desativado no nível da conta, ele não pode se autenticar na conta do Azure Databricks ou em qualquer workspace na conta.
Não é possível desativar um usuário usando o console da conta. Em vez disso, use a API de Usuários da Conta. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Desativação no nível do workspace
Quando um usuário é desativado no nível do workspace, ele não pode se autenticar nesse workspace específico, mas ainda pode se autenticar na conta e em outros workspaces na conta.
Não é possível desativar um usuário usando a página de configurações da administração do espaço de trabalho. Em vez disso, use a API de Usuários do Workspace. Por exemplo:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Remover usuários da sua conta do Azure Databricks
Os administradores da conta podem excluir os usuários de uma conta do Azure Databricks. Os administradores do workspace não podem. Ao excluir um usuário da conta, esse usuário também é removido de seus workspaces. Se você remover um usuário usando o console da conta, lembre-se de também remover o usuário usando quaisquer conectores de provisionamento do SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento SCIM adicionará o usuário de volta na próxima vez que houver sincronização. Consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.
Importante
Quando você remove um usuário da conta, esse usuário também é removido de seus espaços de trabalho, independentemente de a federação de identidade ter sido habilitada ou não. Recomendamos que você se abstenha de excluir usuários no nível da conta, a menos que queira que eles percam acesso a todos os espaços de trabalho da conta. Esteja ciente das seguintes consequências da exclusão de usuários:
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar APIs do Databricks.
- Os trabalhos de propriedade do usuário falham.
- Clusters pertencentes ao usuário param.
- As bibliotecas instaladas por esse usuário são inválidas e devem ser reinstaladas.
- Consultas ou dashboards criados pelo usuário e compartilhados usando a credencial Executar como Proprietário precisam ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.
Quando um usuário é removido de uma conta, ele não pode mais acessar a conta ou seus workspaces, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente à conta, ele recuperará suas permissões anteriores.
Para remover um usuário usando o console da conta, faça o seguinte:
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Localize e clique no nome de usuário.
- Na guia Informações do Usuário , clique no Menu kebab no canto superior direito e selecione Excluir.
- Na caixa de diálogo de confirmação, clique em Confirmar exclusão.
Observação
Quando o gerenciamento automático de identidade está habilitado, os usuários que estão na ID do Microsoft Entra ficam visíveis no console da conta. Seu status é exibido como Inativo: nenhum uso e eles não podem ser removidos da lista de usuários. Eles não estão ativos na conta e não contam com os limites dos usuários.
Gerenciar usuários usando a API
Administradores de conta e administradores de workspace podem gerenciar usuários na conta e nos workspaces do Azure Databricks usando APIs do Databricks.
Gerenciar usuários na conta usando a API
Os administradores podem adicionar e gerenciar usuários na conta do Azure Databricks usando a API de Usuários de Conta. Administradores de conta e administradores de workspace invocam a API usando uma URL de ponto de extremidade diferente:
- Os administradores da conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Os administradores do workspace usam
{workspace-domain}/api/2.0/account/scim/v2/.
Para obter detalhes, consulte a API de Usuários da Conta.
Gerenciar usuários no workspace usando a API
Os administradores de conta e de espaço de trabalho podem usar a API de Atribuição de Espaço de Trabalho para atribuir usuários a espaços de trabalho. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.
- Os administradores da conta usam
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Os administradores do workspace usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.
Consulte a API de Atribuição do Workspace.
Observação
Para workspaces herdados sem federação de identidade, os administradores do workspace podem usar a API de Usuários do Workspace para atribuir usuários aos seus workspaces.