Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um principal de serviço é uma identidade especializada no Azure Databricks projetada para acesso programático e automação. As entidades de serviço fornecem acesso seguro apenas via API aos recursos do Azure Databricks a ferramentas automatizadas, scripts e plataformas de CI/CD, sem depender das credenciais de utilizadores individuais.
Para saber como gerenciar entidades de serviço, consulte Gerenciar entidades de serviço.
Observação
Esta página assume que o seu espaço de trabalho tem a federação de identidade ativada, que é o padrão para a maioria dos espaços de trabalho. Para informações sobre espaços de trabalho legados sem federação de identidade, veja Espaços de trabalho legados sem federação de identidade.
O que é um principal de serviço?
Os princípios de serviço fornecem ferramentas e scripts automatizados acesso apenas por API aos recursos do Azure Databricks, oferecendo maior segurança do que a utilização de contas de utilizador. Pode conceder e restringir o acesso de um principal de serviço a recursos da mesma forma que faz para um utilizador do Azure Databricks. Por exemplo, pode conceder a um principal de serviço o papel de administrador de conta ou de administrador de espaço de trabalho, conceder acesso a dados usando o Unity Catalog, ou adicionar um principal de serviço como membro a um grupo.
Você pode conceder permissões aos usuários, entidades de serviço e grupos do Azure Databricks para usar uma entidade de serviço. Isso permite que os utilizadores executem tarefas como principal de serviço, em vez de como sua identidade, o que evita falhas nas tarefas se um utilizador sair da organização ou se um grupo for modificado.
Entidades de serviço Databricks e Microsoft Entra ID
As entidades de serviço podem ser entidades de serviço geridas pelo Azure Databricks ou geridas pelo Microsoft Entra ID.
Os principais de serviço geridos pelo Azure Databricks podem autenticar-se no Azure Databricks através da autenticação OAuth do Databricks e tokens de acesso pessoal. Os entidades de serviço geridas pelo Microsoft Entra ID podem autenticar-se no ambiente Azure Databricks através da autenticação OAuth do Databricks e tokens de ID do Microsoft Entra. Para obter mais informações sobre autenticação para entidades de serviço, consulte Gerenciar tokens para uma entidade de serviço.
As entidades de serviço geridas do Azure Databricks são geridas diretamente no Azure Databricks. As entidades de serviço gerenciadas do Microsoft Entra ID são gerenciadas no Microsoft Entra ID, o que requer permissões adicionais. A Databricks recomenda que se utilize entidades de serviço geridas do Azure Databricks para a automatização do Azure Databricks e que se recorra a entidades de serviço geridas do Microsoft Entra ID nos casos em que seja necessário autenticar simultaneamente com o Azure Databricks e outros recursos do Azure.
Para criar uma entidade de serviço gerenciada do Azure Databricks, ignore esta seção e continue lendo com Quem pode gerenciar e usar entidades de serviço?.
Para utilizar os principais de serviço geridos do Microsoft Entra ID no Azure Databricks, um utilizador administrador deve criar uma aplicação Microsoft Entra ID no Azure. Para criar um principal de serviço gerido pelo Microsoft Entra ID, veja Autenticar com os principais de serviço Microsoft Entra.
Casos comuns de utilização
Os clientes de serviço são ideais para cenários de automação como os seguintes, onde precisa de acesso programático seguro e fiável aos recursos do Databricks:
| Caso de uso | Example |
|---|---|
| Pipelines de CI/CD | Implemente cadernos, bibliotecas e configurações automaticamente como parte dos seus fluxos de trabalho contínuos de integração e implementação. |
| Tarefas agendadas | Execute pipelines de ETL, tarefas de processamento de dados e relatórios automatizados de acordo com um agendamento, sem depender de contas individuais de utilizadores. |
| Integrações entre sistemas | Ligue aplicações e serviços externos ao Databricks para ingestão, transformação ou análise de dados. |
| Testes automatizados | Execute testes de integração e valide pipelines de dados como parte do seu framework de testes. |
| Infraestrutura como código | Providencie e gere recursos Databricks usando ferramentas como Terraform, templates ARM ou Databricks Asset Bundles. |
Quem pode gerenciar e usar entidades de serviço?
Para gerir princípios de serviço no Azure Databricks, deve ter uma das seguintes funções:
| Funções | Capabilities |
|---|---|
| Administradores de conta |
|
| Administradores do espaço de trabalho |
|
| Gestores principais de serviço |
|
| Utilizadores principais do serviço |
|
Observação
- O criador de um principal de serviço torna-se automaticamente o gestor principal de serviço.
- Os utilizadores com o papel de gestor principal de serviço não herdam o papel de utilizador principal de serviço. Se quiser usar a entidade de serviço para executar trabalhos, você precisará atribuir explicitamente a si mesmo a função de usuário da entidade de serviço, mesmo depois de criar a entidade de serviço.
- Quando a
RestrictWorkspaceAdminsdefinição está definida paraALLOW ALL, os administradores do espaço de trabalho podem criar tokens em nome de qualquer principal de serviço no seu espaço de trabalho. Consulte Restringir administradores de espaço de trabalho.
Para obter informações sobre como conceder funções de gerente e usuário da entidade de serviço, consulte Funções para gerir entidades de serviço.
Sincronize as entidades de serviço na sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID.
Você pode sincronizar entidades de serviço do Microsoft Entra ID automaticamente do locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidades. O Databricks usa a ID do Microsoft Entra como origem, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Veja Como sincronizar utilizadores e grupos automaticamente de Microsoft Entra ID.
O provisionamento SCIM não oferece suporte à sincronização de entidades de serviço.
Recursos adicionais
- Gerir entidades de serviço - Criar e gerir entidades de serviço
- Controlo de acesso do principal de serviço - Gestor de subsídios e funções de utilizador
- Privilégios de emprego - Gerir trabalhos como principal de serviços
- Autenticação para automação do Databricks - Métodos de autenticação para entidades de serviço
- Gerir identidades - Visão geral da gestão de identidade no Databricks
- Principais de serviço do Azure - Criar principais de serviço do Microsoft Entra ID
- Gestão automática de identidade - Sincronizar princípios de serviço a partir do Microsoft Entra ID