Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página descreve como o Azure Databricks sincroniza automaticamente usuários, entidades de serviço e grupos do Microsoft Entra ID usando o gerenciamento automático de identidades.
Visão geral do gerenciamento automático de identidades
O gerenciamento automático de identidades permite que você adicione usuários, entidades de serviço e grupos do Microsoft Entra ID ao Azure Databricks sem configurar um aplicativo no Microsoft Entra ID. Quando o gerenciamento automático de identidades está habilitado, você pode pesquisar diretamente em espaços de trabalho federados de identidade para usuários, entidades de serviço e grupos do Microsoft Entra ID e adicioná-los ao seu espaço de trabalho. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, quaisquer alterações nas associações de grupo são respeitadas no Azure Databricks.
O provisionamento just-in-time (JIT) é sempre habilitado quando o gerenciamento automático de identidades está ativado e você não pode desativá-lo. Novos usuários do Microsoft Entra ID são automaticamente provisionados no Azure Databricks no primeiro login. Consulte Provisionar usuários automaticamente (JIT).
Os usuários também podem compartilhar painéis com qualquer usuário, entidade de serviço ou grupo no Microsoft Entra ID. Quando partilhados, esses utilizadores, principais de serviço e membros de grupos são automaticamente adicionados à conta Azure Databricks ao iniciar sessão. Eles não são adicionados como membros ao espaço de trabalho em que o painel está. Os membros do Microsoft Entra ID que não têm acesso à área de trabalho é-lhes concedido acesso a uma cópia apenas para visualização de um painel publicado com permissões de dados compartilhados. Para obter mais informações sobre o compartilhamento de painéis, consulte Compartilhar um painel.
O gerenciamento automático de identidades não é suportado em espaços de trabalho federados sem identidade. Para mais informações sobre federação de identidade, consulte Federação de identidade.
Status do usuário e do grupo
Quando o gerenciamento automático de identidades está habilitado, usuários, entidades de serviço e grupos do Microsoft Entra ID ficam visíveis no console da conta e na página de configurações de administração do espaço de trabalho. Seu status reflete sua atividade e estado entre o Microsoft Entra ID e o Azure Databricks:
| Situação | Significado |
|---|---|
| Inativo: Sem uso | Para utilizadores e entidades de serviço: identidade no Microsoft Entra ID que ainda não iniciou sessão no Azure Databricks. Para grupos: o grupo não foi adicionado a um espaço de trabalho. |
| Ativo | A identidade está ativa no Azure Databricks. |
| Ativo: Removido do EntraID | Anteriormente ativo no Azure Databricks e foi removido do Microsoft Entra ID. Não é possível efetuar login ou autenticar em APIs. |
| Desativada | A identidade foi desativada no Microsoft Entra ID. Não é possível efetuar login ou autenticar em APIs. |
Sugestão
Como prática recomendada de segurança, o Databricks recomenda a revogação de tokens de acesso pessoais para usuários Desativados e Ativos: Removidos do EntraID .
As identidades gerenciadas usando o gerenciamento automático de identidades são mostradas como Externas no Azure Databricks. As identidades externas não podem ser atualizadas usando a interface do usuário do Azure Databricks.
Gerenciamento automático de identidades vs provisionamento SCIM
Quando o gerenciamento automático de identidades está habilitado, todos os usuários, grupos e associações de grupo são sincronizados do Microsoft Entra ID para o Azure Databricks, portanto, o provisionamento SCIM não é necessário. Se você mantiver o aplicativo empresarial SCIM em execução em paralelo, o aplicativo SCIM continuará a gerenciar usuários e grupos configurados no aplicativo empresarial Microsoft Entra ID. Ele não gerencia identidades de ID do Microsoft Entra que não foram adicionadas usando o provisionamento SCIM.
O Databricks recomenda o uso do gerenciamento automático de identidades. A tabela abaixo compara os recursos do gerenciamento automático de identidades com os recursos do provisionamento SCIM.
| Caraterísticas | Gestão automática de identidades | Aprovisionamento SCIM |
|---|---|---|
| Sincronizar utilizadores | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Apenas para membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Entidades de serviço de sincronização | ✓ | |
| Configurar e gerenciar o aplicativo Microsoft Entra ID | ✓ | |
| Requer a edição Premium do Microsoft Entra ID | ✓ | |
| Requer a função de Administrador de Aplicações em Nuvem do Microsoft Entra ID | ✓ | |
| Requer uma federação de identidades | ✓ |
ID externo do Azure Databricks e ID do objeto do Microsoft Entra
O Azure Databricks usa a ID ObjectId do Microsoft Entra como o link autoritativo para sincronizar identidades e associações de grupo e atualiza automaticamente o externalId campo para corresponder ao ObjectId em um fluxo recorrente diário. Em alguns casos, incompatibilidades ou identidades duplicadas ainda podem ocorrer, especialmente se um usuário, entidade de serviço ou grupo for adicionado ao Azure Databricks por meio do gerenciamento automático de identidades e de outro método, como o provisionamento SCIM. Nessas situações, você pode ver entradas duplicadas, com uma listagem com o status Inativo: sem uso. O usuário não está inativo e pode fazer logon no Azure Databricks.
Você pode mesclar essas identidades duplicadas fornecendo sua ID externa no Azure Databricks. Use a API de Usuários de Conta, Principais de Serviço de Conta ou Grupos de Conta para atualizar a entidade de segurança e adicionar o seu ID do Microsoft Entra objectId no campo externalId.
Como o externalId pode ser atualizado ao longo do tempo, a Azure Databricks recomenda que você não use fluxos de trabalho personalizados que dependem do campo externalId.
Como funciona a sincronização de membros de grupo
Quando a gestão automática de identidade está ativada, o Azure Databricks atualiza as pertenças a grupos de utilizadores a partir do Microsoft Entra ID durante atividades que acionam verificações de autenticação e autorização, por exemplo, logins de navegador, autenticação de tokens ou execuções de trabalhos. Isto garante que as permissões baseadas em grupos no Azure Databricks permaneçam sincronizadas com as alterações feitas no Microsoft Entra ID.
Quando o Azure Databricks atualiza as pertenças a grupos, obtém pertenças transitivas (aninhadas) a partir do Microsoft Entra ID. Isto significa que, se um utilizador for membro do Grupo A, e o Grupo A for membro do Grupo B, o Azure Databricks reconhece o utilizador como pertencente a ambos os grupos. O Azure Databricks só recupera as adesões para grupos que foram adicionados ao Azure Databricks. Não sincroniza nem reconstrói toda a hierarquia dos grupos pais a partir do Microsoft Entra ID.
O Azure Databricks atualiza as associações de grupos em diferentes horários, dependendo da atividade:
- Logins do navegador: As afiliações aos grupos sincronizam se já passaram mais de 5 minutos desde a última sincronização.
- Outras atividades (por exemplo, autenticação de tokens ou tarefas em execução): As pertenças a grupos sincronizam se passarem mais de 40 minutos desde a última sincronização
Habilite o gerenciamento automático de identidades
O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Os administradores de conta podem ativar o gerenciamento automático de identidades no console da conta.
Como administrador da conta, inicie sessão na consola da conta.
Na barra lateral, clique em Segurança.
Na guia Provisionamento de usuário , alterne Gerenciamento automático de identidades para Habilitado.
As alterações demoram entre cinco a dez minutos a entrar em vigor.
Depois que sua conta estiver habilitada, para adicionar e remover usuários, entidades de serviço e grupos da ID do Microsoft Entra, siga as instruções abaixo:
- Adicionar utilizadores à sua conta
- Adicionar entidades de serviço à sua conta
- Adicionar grupos à sua conta
Desativar o gerenciamento automático de identidades
Quando o gerenciamento automático de identidades está desativado:
- Os usuários e as entidades de serviço permanecem: eles mantêm o acesso, mas não são mais sincronizados com o Microsoft Entra ID. Você pode remover ou desativar manualmente usuários e entidades de serviço no console da conta depois de desabilitar o gerenciamento automático de identidades.
- Os grupos perdem a associação: os grupos permanecem no Azure Databricks, mas todos os membros do grupo são removidos.
- Sem sincronização com o Microsoft Entra ID: as alterações no Microsoft Entra ID (como remoções de usuários ou atualizações de grupo) não são refletidas no Azure Databricks.
- Sem herança de permissões: os usuários gerenciados pelo gerenciamento automático de identidades não podem herdar permissões de grupos pai. Isso afeta modelos de permissão aninhados baseados em grupo.
Se você planeja desabilitar o gerenciamento automático de identidades, o Databricks recomenda configurar o provisionamento SCIM com antecedência como um fallback. O SCIM pode então assumir a sincronização de identidade e grupo.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Segurança.
- Na guia Provisionamento de usuário, alterneGerenciamento automático de identidades para Desabilitado.
Auditar logins de usuários
Você pode consultar a tabela system.access.audit para auditar quais usuários fizeram login no espaço de trabalho. Por exemplo:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Para obter mais informações sobre a tabela system.access.audit, consulte Audit log system table reference.