Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um principal de serviço é uma identidade especializada no Azure Databricks, projetada para automação e acesso programático. As entidades de serviço fornecem acesso seguro somente à API aos recursos do Azure Databricks para ferramentas automatizadas, scripts e plataformas de CI/CD, sem depender de credenciais de usuário individuais.
Para saber como gerenciar entidades de serviço, consulte Gerenciar entidades de serviço.
Observação
Esta página pressupõe que seu workspace tenha a federação de identidade habilitada, que é o padrão para a maioria dos workspaces. Para obter informações sobre espaços de trabalho herdados sem federação de identidade, consulte Espaços de Trabalho Herdados sem Federação de Identidade.
O que é uma entidade de serviço?
As entidades de serviço fornecem acesso somente à API de scripts e ferramentas automatizadas aos recursos do Azure Databricks, fornecendo maior segurança do que o uso de contas de usuário. Você pode conceder e restringir o acesso de uma entidade de serviço a recursos da mesma maneira que um usuário do Azure Databricks. Por exemplo, você pode conceder a uma entidade de serviço a função de administrador de conta ou administrador de workspace, conceder acesso aos dados usando o Catálogo do Unity ou adicionar uma entidade de serviço como membro a um grupo.
Você pode conceder aos usuários, entidades de serviço e grupos do Azure Databricks permissões para usar uma entidade de serviço. Isso permite que os usuários executem trabalhos como principal de serviço, em vez de suas identidades de usuário, o que impede que os trabalhos falhem se um usuário deixar a sua organização ou um grupo for modificado.
Entidades de serviço do Databricks e do Microsoft Entra ID
As entidades de serviço podem ser entidades de serviço gerenciadas do Azure Databricks ou entidades de serviço gerenciadas do Microsoft Entra ID.
As entidades de serviço gerenciadas do Azure Databricks podem se autenticar no Azure Databricks usando a autenticação do Databricks OAuth e tokens de acesso pessoal. As entidades de serviço gerenciadas do Microsoft Entra ID podem se autenticar no Azure Databricks usando a autenticação OAuth do Databricks e os tokens de ID do Microsoft Entra. Para mais informações sobre a autenticação para entidades de serviço, confira Gerenciar tokens de uma entidade de serviço.
As entidades de serviço gerenciadas do Azure Databricks são gerenciadas diretamente no Azure Databricks. As entidades de serviços gerenciadas do Microsoft Entra ID são gerenciadas no Microsoft Entra ID, o que requer permissões adicionais. O Databricks recomenda que você use as entidades de serviço gerenciadas do Azure Databricks para automação do Azure Databricks e use as entidades de serviço gerenciadas do Microsoft Entra ID nos casos em que você deve autenticar com o Azure Databricks e outros recursos do Azure ao mesmo tempo.
Para criar uma entidade de serviço gerenciada do Azure Databricks, ignore esta seção e continue lendo com Quem pode gerenciar e usar entidades de serviço?.
Para usar as entidades de serviço gerenciadas do Microsoft Entra ID no Azure Databricks, um usuário administrador deve criar um aplicativo de ID do Microsoft Entra no Azure. Para criar um principal de serviço gerenciado pelo Microsoft Entra ID, consulte Autenticação com principais de serviço do Microsoft Entra.
Casos de uso comuns
As entidades de serviço são ideais para cenários de automação como os seguintes, onde seja necessário acesso programático seguro e confiável aos recursos do Databricks.
| Caso de uso | Example |
|---|---|
| Pipelines de CI/CD | Implante notebooks, bibliotecas e configurações automaticamente como parte de seus fluxos de trabalho de integração e implantação contínuas. |
| Trabalhos agendados | Execute pipelines de ETL, trabalhos de processamento de dados e relatórios automatizados em um cronograma, sem depender de contas de usuário individuais. |
| Integrações entre sistemas | Conecte aplicativos e serviços externos ao Databricks para ingestão, transformação ou análise de dados. |
| Teste automatizado | Execute testes de integração e valide pipelines de dados como parte da estrutura de teste. |
| Infraestrutura como código | Provisione e gerencie recursos do Databricks usando ferramentas como Terraform, modelos do ARM ou Pacotes de Ativos do Databricks. |
Quem pode gerenciar e usar os entidades de serviço?
Para gerenciar entidades de serviço no Azure Databricks, você deve ter uma das seguintes funções:
| Função | Capabilities |
|---|---|
| Administradores de conta |
|
| Administradores do workspace |
|
| Gerentes de entidade de serviço |
|
| Usuários da entidade de serviço |
|
Observação
- O criador de uma entidade de serviço torna-se automaticamente o gerente da entidade de serviço.
- Os usuários com a função de gerente da entidade de serviço não herdam a função de usuário da entidade de serviço. Se quiser usar a entidade de serviço para executar trabalhos, você precisará atribuir explicitamente a função de usuário da entidade de serviço, mesmo depois de criar a entidade de serviço.
- Quando a
RestrictWorkspaceAdminsconfiguração é definida comoALLOW ALL, os administradores do workspace podem criar tokens em nome de qualquer entidade de serviço em seu workspace. Confira Restringir administradores do workspace.
Para obter informações sobre como conceder as funções de gerente da entidade de serviço e de usuário, consulte Funções para gerenciar entidades de serviço.
Sincronize os principais serviços com sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID
Você pode sincronizar os principais de serviço do Microsoft Entra ID automaticamente do seu locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidade. O Databricks usa a ID do Microsoft Entra como fonte, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Confira o artigo Sincronizar automaticamente usuários e grupos do Microsoft Entra ID.
O provisionamento do SCIM não oferece suporte à sincronização de entidades de serviço.
Recursos adicionais
- Gerenciar entidades de serviço – Criar e gerenciar entidades de serviço
- Controle de acesso de Service Principal – Conceder funções de usuário e administrador
- Privilégios de trabalho – Executar trabalhos como uma entidade de serviço principal
- Autenticação para automação do Databricks – Métodos de autenticação para entidades de serviço
- Gerenciar identidades – Visão geral do gerenciamento de identidades no Databricks
- Entidades de serviço do Azure – Criar entidades de serviço do Microsoft Entra ID
- Gerenciamento automático de identidade – Sincronizar as entidades de serviço do Microsoft Entra ID