Gerenciar usuários

Este artigo explica como adicionar, atualizar e remover usuários do Databricks.

Para obter uma visão geral do modelo de identidade Databricks, consulte identidades Databricks.

Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.

Visão geral do gerenciamento de usuários

Para gerenciar usuários no Databricks, você deve ser um administrador da conta ou um administrador do workspace.

  • os administradores account podem adicionar usuários à account e atribuir-lhes funções administrativas. Eles também podem atribuir usuários a espaços de trabalho e configurar o acesso a dados para eles nos espaços de trabalho, desde que esses espaços de trabalho usem federação de identidade.

  • os administradoresworkspace podem adicionar usuários a um workspace do Databricks, atribuir-lhes a função de administrador workspace e gerenciar o acesso a objetos e funcionalidades no workspace, como a capacidade de criar clusters ou acessar ambientes específicos baseados em persona. Adicionar um usuário a um workspace do Databricks também o adiciona à account.

    Os administradores do workspace são membros do grupo admins no workspace, que é um grupo reservado que não pode ser excluído.

Importante

Se o seu account foi criado após 6 de março de 2024, a federação de identidade é ativada em todos os novos espaços de trabalho pelo default e não pode ser desativada.

Sincronize usuários com sua conta do Databricks de um provedor de identidade

Os administradores da conta podem sincronizar usuários do seu provedor de identidade (IdP) com sua conta do Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seu workspace, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível accountestiver habilitado. Consulte Migrar o provisionamento do SCIM no nível workspacepara o nível account .

Para obter instruções, consulte identidades de provisionamento para sua conta do Databricks.

Gerenciar usuários em sua conta

os administradores account podem adicionar usuários à sua account do Databricks usando o consoleaccount . Os usuários em uma account do Databricks não têm acesso default a um workspace, dados ou recurso compute .

Adicionar usuários à sua conta usando o console da conta

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Usuários , clique em Adicionar usuário.

  4. Digite um nome e um endereço de e-mail para o usuário.

  5. Clique em Adicionar usuário.

Observação

Um usuário não pode pertencer a mais de 50 contas do Databricks.

Para dar aos usuários acesso a um workspace, você deve adicioná-los ao workspace. Veja gerenciar usuários em sua área de trabalho.

Atribuir funções de administrador de conta a um usuário

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Encontre e clique no nome de usuário.

  4. Na aba Funções, habilite Administrador da conta ou Administrador do Marketplace.

Atribuir um usuário a um workspace usando o console da conta

Para adicionar usuários a um workspace usando o console account , o workspace deve ser habilitado para federação de identidade. os administradores workspace também podem atribuir usuários ao workspace usando a página de configurações do administrador workspace . Consulte Atribuir um usuário a um workspace usando a página de configurações de administração workspace .

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em workspaces.

  3. Clique no nome do workspace.

  4. Na guia Permissões, clique em Adicionar permissões.

  5. Procure e selecione o usuário, atribua o nível de permissão (usuário ou administrador do workspace) e clique em Salvar.

Remover um usuário de um workspace usando o console da conta

Para remover usuários de um workspace usando o console account , o workspace deve estar habilitado para federação de identidade. Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas no usuário. Se o usuário for adicionado novamente ao workspace posteriormente, ele recuperará as permissões anteriores.

  1. Como administrador account , log in no consoleaccount

  2. Na barra lateral, clique em workspaces.

  3. Clique no nome do workspace.

  4. Na guia Permissões, localize o usuário.

  5. Clique no Menu Kebab menu kebab na extrema direita da linha do usuário e selecione Remover.

  6. Na caixa de diálogo de confirmação, clique em Remover.

Desativar um usuário em sua conta Databricks

Os administradores da conta podem desativar usuários em uma conta do Databricks. Um usuário desativado não pode fazer logon na conta ou nos workspaces do Databricks. No entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados. Quando um usuário é desativado, o seguinte é verdadeiro:

  • O usuário não pode acessar a conta ou qualquer um de seus workspaces usando nenhum método.

  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.

  • Os blocos de anotações de propriedade do usuário permanecem.

  • Os clusters de propriedade do usuário permanecem em execução.

  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário é reativado, ele pode fazer login no Databricks com as mesmas permissões. A recomendação do Databricks é desativar os usuários da conta em vez de excluí-los, pois a exclusão de um usuário é uma ação destrutiva.

Você não pode desativar um usuário usando o console account . Em vez disso, use a API de usuários account . Consulte Desativar um usuário na sua conta do Databricks usando a API.

Remover usuários da sua conta Databricks

Os administradores da conta podem excluir usuários de uma conta do Databricks. Os administradores do workspace não podem. Quando você remove um usuário da conta, esse usuário também é removido de seus workspaces.

Importante

Quando você remove um usuário da conta, esse usuário também é removido de suas áreas de trabalho, independentemente de a federação de identidade ter sido habilitada ou não.Recomendamos que você evite excluir os usuários de nível de conta, a menos que deseje que eles percam o acesso a todas as áreas de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Aplicativos ou scripts que utilizarem tokens gerados pelo usuário não poderão mais acessar as APIs do Databricks

  • Os jobs pertencentes ao usuário não vão funcionar

  • Os clusters pertencentes ao usuário serão interrompidos

  • As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Quando um usuário é removido de uma account, o usuário não pode mais acessar a account ou seu espaço de trabalho, mas as permissões são mantidas no usuário. Se o usuário for adicionado novamente à account posteriormente, ele recuperará as permissões anteriores.

Para remover um usuário usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Encontre e clique no nome de usuário.

  4. Na tab Informações do usuário , clique no botão Menu Kebab menu kebab no canto superior direito e selecione Excluir.

  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um usuário usando o console da conta, certifique-se também de remover o usuário usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento SCIM adicionará o usuário de volta na próxima vez que ele sincronizar. Consulte Sincronizar usuários e grupos do seu provedor de identidade.

Para remover um usuário de uma account do Databricks usando APIs SCIM, você deve ser um administrador account . Consulte as identidades de provisionamento para sua conta do Databricks e a API de grupos de contas.

Gerenciar usuários no workspace

Os administradores do workspace podem adicionar e gerenciar usuários usando a página de configurações de administração do workspace.

Atribuir um usuário a um workspace usando a página de configurações de administrador do workspace

Para adicionar um usuário a um workspace usando a página de configurações de administração do workspace, faça o seguinte:

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique na Identidade e acesso tab.

  4. Ao lado de Usuários, clique em gerenciar.

  5. Clique em Adicionar usuário.

  6. Selecione um usuário existente para designar ao workspace ou clique em Adicionar novo para criar um novo usuário.

  7. Clique em Adicionar.

    Databricks envia um email de confirmação. Se o usuário não receber o e-mail de confirmação em cinco minutos, peça que ele verifique sua pasta de spam.

Observação

Se o seu workspace não estiver habilitado para federação de identidade, você verá apenas a opção de adicionar um novo usuário ao workspace. Se você adicionar um usuário que compartilha um nome de usuário (endereço email ) com um usuário account existente, esses usuários serão merge.

Observação

Para ativar a autenticação do ID do Google para APIs REST do workspace, você pode adicionar um endereço de serviço do Google account email como usuário do workspace. Consulte Autenticação com tokens de ID do Google. O endereço account serviço do Google não pode ser usado para log in no aplicativo da web. Adicionar uma account de serviço como usuário é diferente de adicioná-la como entidade de serviço do Databricks. Se você adicionar um endereço de serviço account email do Google como usuário do workspace, o Databricks não enviará o de notificação de email convite.

Atribuir a função de administrador do workspace a um usuário usando a página de configurações de administrador do workspace

Para atribuir a função de administrador da área de trabalho usando a página de configurações de administração da área de trabalho, siga as etapas abaixo:

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique na Identidade e acesso tab.

  4. Ao lado de Usuários, clique em gerenciar.

  5. Selecione o usuário.

  6. Clique na guia Direitos.

  7. Clique no botão de alternância ao lado de Acesso de administrador.

Para remover a função de administrador do espaço de trabalho de um usuário do espaço de trabalho, execute as mesmas etapas, mas desmarque a alternância de acesso de administrador .

Desativar um usuário no workspace Databricks

Os administradores do workspace podem desativar usuários em um workspace do Databricks. Um usuário desativado não pode fazer login no workspace nem acessá-lo por meio das APIs do Databricks, no entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados.Quando um usuário é desativado:

  • O usuário não pode fazer login nos workspaces usando nenhum método.

  • O status do usuário é exibido como Inativo na página de configuração do administrador workspace .

  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.

  • Os blocos de anotações de propriedade do usuário permanecem.

  • Os clusters de propriedade do usuário permanecem em execução.

  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário é reativado, ele pode fazer login no workspace com as mesmas permissões. Databricks recomenda desativar usuários em vez de removê-los porque remover um usuário é uma ação destrutiva. Você não pode desativar um usuário usando a página de configurações de administração workspace . Em vez disso, use a API de usuários workspace . Consulte Desativar um usuário em seu workspace do Databricks usando a API.

Remover um usuário de um workspace usando a página de configurações de administrador do workspace

Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas no usuário. Se o usuário for adicionado novamente ao workspace posteriormente, ele recuperará as permissões anteriores.

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique na Identidade e acesso tab.

  4. Ao lado de Usuários, clique em gerenciar.

  5. Encontre o usuário e Menu Kebab menu kebab na extremidade direita da linha do usuário e selecione Remover.

  6. Clique em Excluir para confirmar.

Gerencie usuários usando a API

Os administradores de conta e de workspace podem gerenciar usuários na conta e nos workspaces do Databricks usando as APIs do Databricks.

Gerenciar usuários na conta usando a API

Os administradores podem adicionar e gerenciar usuários na conta do Databricks usando a API de usuários da conta. Administradores de conta e administradores de workspace invocam a API com outra URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.

  • Os administradores do workspace usam {workspace-domain}/api/2.0/account/scim/v2/.

Para obter detalhes, consulte a API Usuários da conta.

Desativar um usuário em sua conta da Databricks usando a API

Os administradores da conta podem alterar o status de um usuário para desativá-lo usando a API de usuários da conta. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

O status de um usuário desativado é rotulado como Inativo no console da conta.

Quando você desativa um usuário da account, esse usuário também é desativado em seu workspace.

Gerenciar usuários no workspace usando a API

Os administradores de conta e de workspace podem usar a API de atribuição de workspace para atribuir usuários a workspaces habilitados para federação de identidade. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.

  • Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.

  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Consulte API de atribuição de workspace.

Se o seu workspace não estiver habilitado para a federação de identidades, o administrador do workspace poderá usar as APIs no nível do workspace para atribuir usuários aos seus workspaces. Consulte API de usuários do workspace.

Desative um usuário no workspace Databricks usando a API

Os administradores do workspace podem alterar o status de um usuário para desativá-lo usando a API Usuários do workspace. Por exemplo:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

O status de um usuário desativado é identificado como Inativo na página de configurações de administrador do workspace.