Gerenciar usuários, entidades de serviço e grupos

Este artigo apresenta o modelo de gerenciamento de identidade do Databricks e fornece uma visão geral de como gerenciar usuários, grupos e diretores de serviços no Databricks.

Para obter uma perspectiva opinativa sobre como configurar melhor a identidade no Databricks, consulte Práticas recomendadas de identidade.

Para gerenciar o acesso de usuários, entidades de serviço e grupos, consulte Autenticação e controle de acesso.

Identidades de Databricks

Há três tipos de identidade do Databricks:

  • Usuários: Identidades de usuário reconhecidas pelo Databricks e representadas por endereços de e-mail.

  • Princípios de serviço: identidades para uso com jobs, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.

  • Grupos: uma coleção de identidades usadas pelos administradores para gerenciar o acesso do grupo ao workspace, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos. Existem dois tipos de grupos no Databricks: grupos account e grupos locais workspace . Para obter mais informações, consulte Diferença entre grupos de contas e grupos locais de espaço de trabalho.

Você pode ter no máximo 10.000 usuários e diretores de serviços combinados e 5.000 grupos em uma conta. Cada workspace pode ter no máximo 10.000 usuários e diretores de serviços combinados e 5.000 grupos.

Para obter instruções detalhadas, consulte:

Quem pode gerenciar identidades no Databricks?

Para gerenciar identidades no Databricks, você deve ter uma das seguintes funções: a função de administrador da conta, a função de administrador do workspace ou a função de gerente em uma entidade de serviço ou um grupo.

  • os administradores account podem adicionar usuários, entidades de serviço e grupos à account e atribuir-lhes funções administrativas. administradores account podem atualizar e deletar usuários, entidades de serviço e grupos da account. Eles podem dar aos usuários acesso a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidade.

  • Os administradores do workspace podem adicionar usuários e entidades de serviço à account do Databricks. Eles também poderão adicionar grupos à account do Databricks se o seu workspace estiver habilitado para federação de identidade. Os administradores do espaço de trabalho podem conceder aos usuários, entidades de serviço e grupos acesso aos seus espaços de trabalho. Eles não podem excluir usuários e entidade de serviço da account.

    os administradores workspace também podem gerenciar grupos locais workspace . Para obter mais informações, consulte gerenciar grupos locais do espaço de trabalho (legado).

  • Os gerentes de grupo podem gerenciar a participação no grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. os administradores account têm a função de gerente de grupo em todos os grupos da account. os administradores workspace têm a função de gerente de grupo nos grupos account que eles criam. Consulte Quem pode gerenciar grupos account ?.

  • Os gestores entidades de serviço podem gerir funções numa entidade de serviço. Os administradores de conta têm a função de gestor de entidade de serviço em todas as entidades de serviço da conta. Os administradores do workspace têm a função de gestor de entidade de serviço nos principais serviços que criam. Para obter mais informações, consulte Funções para gerenciar entidades de serviço.

Como os administradores atribuem usuários à conta?

A Databricks recomenda usar o provisionamento SCIM para sincronizar todos os usuários e grupos automaticamente do seu provedor de identidade para sua account do Databricks. Os usuários em uma account do Databricks não têm acesso default a um workspace, dados ou recurso compute . administradores account e administradores workspace podem atribuir usuários account ao workspace. os administradores workspace também podem adicionar um novo usuário diretamente a um workspace, o que adiciona automaticamente o usuário à account e o atribui a esse workspace.

Para obter instruções detalhadas sobre como adicionar usuários à account, consulte:

Como os administradores atribuem usuários aos workspaces?

Para permitir que um usuário, entidade de serviço ou grupo trabalhe em um workspace Databricks, um administrador account ou administrador workspace precisa atribuí-los a um workspace. Você pode atribuir acesso ao workspace a usuários, entidade de serviço e grupos existentes na account , desde que o workspace esteja habilitado para federação de identidades.

Os administradores do workspace também podem adicionar um novo usuário, entidade de serviço ou grupo account diretamente a um workspace. Esta ação adiciona automaticamente o usuário, entidade de serviço ou grupo account escolhido à account e os atribui a esse workspace específico.

Diagrama de identidade no nível da conta

Observação

Os administradores workspace também podem criar grupos legados workspace-local no workspace usando a API de grupos workspace . grupos workspace-local não são adicionados automaticamente à account. workspace-local groups não podem ser atribuídos a workspace adicionais nem ter acesso concedido aos dados em um metastore Unity Catalog .

Para os workspace que não estão habilitados para federação de identidade, os administradores workspace gerenciam os usuários workspace , a entidade de serviço e os grupos inteiramente dentro do escopo do workspace. Os usuários e a entidade de serviço adicionados ao workspace federado sem identidade são automaticamente adicionados à account. Os grupos adicionados ao workspace federado sem identidade são grupos locais workspaceherdados que não são adicionados à account.

Para obter instruções detalhadas, consulte:

Como os administradores habilitam a federação de identidade em um workspace?

Se o seu account foi criado após 6 de março de 2024, a federação de identidade é ativada em todos os novos espaços de trabalho pelo default e não pode ser desativada.

Para habilitar a federação de identidade em um workspace, um administrador account precisa habilitar o workspace para Unity Catalog atribuindo um metastore Unity Catalog . Consulte Habilitar um workspace para o Unity Catalog.

Quando a atribuição é concluída, a federação de identidades é marcada como Habilitada na guia Configuração do workspace no console da conta.

Os administradores do workspace podem saber se um workspace tem a federação de identidades habilitada na página de configurações do administrador do workspace. Em um workspace federado de identidade, quando você optar por adicionar um usuário, entidade de serviço ou grupo nas configurações de administrador do workspace, terá a opção de selecionar um usuário, entidade de serviço ou grupo da sua conta para adicionar ao workspace.

Adicionar federação de identidade do usuário

Em um workspace federado sem identidade, você não tem a opção de adicionar usuários, entidades de serviço ou grupos da sua conta.

Adicionar usuário no GCP

Atribuição de funções administrativas

Os administradores de conta podem atribuir outros usuários como administradores de conta. Eles também podem se tornar administradores do metastore do Unity Catalog por terem criado um metastore e podem transferir a função de administrador do metastore para outro usuário ou grupo.

Tanto os administradores da conta quanto os administradores do workspace podem designar outros usuários como administradores do workspace. A função de administrador do workspace é determinada pela associação ao grupo de administradores do workspace, que é um grupo padrão no Databricks e não pode ser excluído.

Os administradores de conta também podem atribuir outros usuários como Marketplace administradores.

Consulte:

Configurando o login único (SSO)

Os usuários do Databricks account e autenticam-se com sua de workspace clouds identidade do Google account (ou GSuite)account usando a implementação OAuth 2.0 do Google , que está em conformidade com a especificação OpenID Connect e é certificada pelo OpenID. Databricks fornece os valores de escopo do perfil openid na solicitação de autenticação ao Google.

Opcionalmente, você pode configurar sua account de identidade do Google Cloud (ou account GSuite) para federar com um provedor de identidade (IdP) SAML 2.0 externo para verificar as credenciais do usuário. O Google Cloud Identity pode ser federado com Microsoft Entra ID (anteriormente Azure Active Directory), Okta, Ping e outros IdPs. No entanto, o Databricks interage apenas diretamente com as APIs do Google Identity Platform.

Consulte Logon único.