Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A gestão automática de identidades permite-lhe adicionar utilizadores, principais de serviço e grupos do Microsoft Entra ID de forma fluida ao Azure Databricks. Quando a gestão automática de identidade está ativada, pode pesquisar diretamente em espaços de trabalho federados de identidade por utilizadores, principais de serviço e grupos, e adicioná-los ao seu espaço de trabalho. O Azure Databricks utiliza o Microsoft Entra ID como fonte de registo, pelo que quaisquer alterações nas associações de grupos são respeitadas no Azure Databricks.
O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025.
Os utilizadores também podem partilhar painéis com qualquer utilizador, entidade de serviço ou grupo no respetivo fornecedor de identidade. Quando são partilhados, esses utilizadores, entidades de serviço e membros de grupos são automaticamente adicionados à conta do Azure Databricks ao iniciar a sessão. Eles não são adicionados como membros ao espaço de trabalho em que o painel está. Aos utilizadores que não têm acesso ao espaço de trabalho é concedido acesso a uma cópia só de leitura de um painel publicado com permissões de dados partilhados. Para obter mais informações sobre o compartilhamento de painéis, consulte Compartilhar um painel.
O provisionamento just-in-time (JIT) é sempre habilitado quando o gerenciamento automático de identidades está ativado e você não pode desativá-lo. Os novos utilizadores são automaticamente provisionados no Azure Databricks no primeiro login. Consulte Provisionar usuários automaticamente (JIT).
O gerenciamento automático de identidades não é suportado em espaços de trabalho federados sem identidade. Para mais informações sobre federação de identidade, consulte Federação de identidade.
Estatutos dos utilizadores e dos grupos
Quando o gerenciamento automático de identidades está habilitado, usuários, entidades de serviço e grupos do Microsoft Entra ID ficam visíveis no console da conta e na página de configurações de administração do espaço de trabalho. Seu status reflete sua atividade e estado entre o Microsoft Entra ID e o Azure Databricks:
| Status | Meaning |
|---|---|
| Inativo: Sem uso | Para utilizadores e entidades de serviço: identidade existente no fornecedor de identidade que ainda não iniciou sessão no Azure Databricks. Para grupos: o grupo não foi adicionado a um espaço de trabalho. |
| Ativos | A identidade está ativa no Azure Databricks. |
| Ativo: Removido de [IdP] | Anteriormente ativo no Azure Databricks e foi eliminado do fornecedor de identidade. O Azure Databricks desativa automaticamente estes utilizadores durante a próxima sincronização de identidade. Não é possível iniciar sessão nem autenticar em APIs. |
| Desativada | A identidade é desativada no fornecedor de identidade ou o Azure Databricks desativa automaticamente a identidade após a eliminação do fornecedor de identidade. Não é possível efetuar login ou autenticar em APIs. |
| Negado | A identidade foi adicionada à lista de negação de acesso à conta. Azure Databricks define a identidade como inactive. Não consegue iniciar sessão, usar tokens de acesso pessoal ou aparecer em diálogos de partilha. Consulte Negar o acesso de identidades à sua conta. |
A etiqueta de estado Ativo: Removido de [IdP] inclui o nome do seu fornecedor de identidade. Por exemplo, Ativo: Removido do EntraID.
Tip
Como boa prática de segurança, a Databricks recomenda revogar os tokens de acesso pessoal dos utilizadores Desativados e Ativos: removidos de [IdP]. Quando os utilizadores são eliminados do fornecedor de identidade, o Azure Databricks desativa automaticamente as suas contas, mas não revoga automaticamente os tokens.
As identidades gerenciadas usando o gerenciamento automático de identidades são mostradas como Externas no Azure Databricks. As identidades externas não podem ser atualizadas usando a interface do usuário do Azure Databricks.
Partilha e atribuição de permissões
Quando a gestão automática de identidades está ativada, pode selecionar utilizadores e principais de serviço a partir do Microsoft Entra ID ao partilhar ou atribuir permissões em todo o Azure Databricks.
Para grupos, o comportamento de partilha difere consoante o tipo de ativo:
- Ativos ao nível da conta: Os grupos estão disponíveis ao partilhar ou atribuir permissões a ativos ao nível da conta, como aplicações Databricks, objetos do Unity Catalog, dashboards de IA/BI, Genie Spaces e atribuição de espaços de trabalho.
- Ativos ao nível do espaço de trabalho: Para partilhar ativos ao nível do espaço de trabalho (como cadernos, jobs, armazéns SQL, alertas e ficheiros) com grupos, os administradores do espaço de trabalho devem primeiro adicionar diretamente o grupo ao espaço de trabalho.
Gerenciamento automático de identidades vs provisionamento SCIM
Quando a gestão automática de identidade está ativada, todos os utilizadores, grupos e membros de grupos sincronizam-se do seu fornecedor de identidade para o Azure Databricks, pelo que a provisão SCIM não é necessária. Se mantiveres o provisionamento SCIM a correr em paralelo, o SCIM continua a gerir identidades que foram adicionadas usando o provisionamento SCIM. Não faz a gestão de identidades que não foram adicionadas com o provisionamento SCIM.
O provisionamento SCIM requer o papel de Administrador de Aplicações Cloud e uma aplicação Microsoft Entra ID separada.
O Azure Databricks recomenda usar gestão automática de identidades. A tabela abaixo compara os recursos do gerenciamento automático de identidades com os recursos do provisionamento SCIM.
| Características | Gestão automática de identidades | Aprovisionamento SCIM |
|---|---|---|
| Sincronizar utilizadores | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Apenas para membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Entidades de serviço de sincronização | ✓ | |
| Disponível por padrão no Azure Databricks | ✓ | |
| Funciona com todas as edições Microsoft Entra ID | ✓ | |
| Disponível sem funções de administrador do Microsoft Entra ID | ✓ | |
| Requer uma federação de identidades | ✓ |
ID externo do Azure Databricks e ID de objeto do Microsoft Entra ID
O Azure Databricks usa a ID ObjectId do Microsoft Entra como o link autoritativo para sincronizar identidades e associações de grupo e atualiza automaticamente o externalId campo para corresponder ao ObjectId em um fluxo recorrente diário. A Databricks recomenda não misturar métodos de provisionamento. Adicionar a mesma identidade tanto através da gestão automática de identidade como do provisionamento SCIM causa entradas duplicadas e conflitos de permissões. Use a gestão automática de identidade como única fonte de verdade, com as pertenças a grupos a espelhar o Microsoft Entra ID.
Você pode mesclar essas identidades duplicadas fornecendo sua ID externa no Azure Databricks. Use a API de Usuários de Conta, Principais de Serviço de Conta ou Grupos de Conta para atualizar a entidade de segurança e adicionar o seu ID do Microsoft Entra objectId no campo externalId.
Como o externalId pode ser atualizado ao longo do tempo, Azure Databricks recomenda fortemente que não uses fluxos de trabalho personalizados que dependam do campo externalId.
Como funciona a sincronização de membros de grupo
Quando a gestão automática de identidade está ativada, o Azure Databricks atualiza as pertenças a grupos de utilizadores do seu fornecedor de identidade durante atividades que acionam verificações de autenticação e autorização, por exemplo, logins do navegador, autenticação de tokens ou execuções de trabalhos. Isto garante que as permissões baseadas em grupos no Azure Databricks permaneçam sincronizadas com as alterações feitas no seu fornecedor de identidade.
Quando o Azure Databricks atualiza as pertenças a grupos, recupera as pertenças transitivas (aninhadas) do seu fornecedor de identidade. Isto significa que, se um utilizador for membro do Grupo A, e o Grupo A for membro do Grupo B, o Azure Databricks reconhece o utilizador como pertencente a ambos os grupos. O Azure Databricks só recupera as adesões para grupos que foram adicionados ao Azure Databricks. Não sincroniza nem reconstrói toda a hierarquia do grupo de pais do seu fornecedor de identidade.
O Azure Databricks atualiza as associações de grupos em diferentes horários, dependendo da atividade:
- Logins do navegador: As afiliações aos grupos sincronizam se já passaram mais de 5 minutos desde a última sincronização.
- Outras atividades (por exemplo, autenticação de tokens ou tarefas em execução): As pertenças a grupos sincronizam se passarem mais de 40 minutos desde a última sincronização
Grupos aninhados e principais de serviço
Quando a gestão automática de identidades está ativada, os membros dos grupos aninhados herdam permissões dos grupos provisionados. As permissões atribuídas a um grupo pai aplicam-se a todos os utilizadores e entidades de serviço que pertencem ao grupo, incluindo aqueles adicionados diretamente ao grupo e aqueles que pertencem através de grupos aninhados. No entanto, grupos aninhados e entidades de serviço dentro de um grupo não são automaticamente referenciáveis na conta, com exceção da partilha de painéis.
Visibilidade de grupos aninhados
Grupos aninhados são visíveis no Azure Databricks. Considere um grupo de crianças, Group-C, que é um membro de um grupo de pais, Group-P. Se adicionares Group-P a um espaço de trabalho, todas as identidades em ambos Group-P e Group-C têm acesso ao espaço de trabalho. Nas interfaces de administração de contas e de espaço de trabalho, Group-C aparece como membro na Group-P página de detalhes dos membros do grupo. Apenas o primeiro nível de aninhamento é exibido na página de detalhes do grupo.
Considerações para grupos aninhados
- Acesso ao espaço de trabalho: Grupos aninhados e principais de serviço não precisam de ser adicionados diretamente a um espaço de trabalho para obter acesso. Se um grupo pai for adicionado a um espaço de trabalho, todos os membros desse grupo podem aceder ao espaço de trabalho.
- Ativos ao nível da conta: Os grupos estão disponíveis ao partilhar ou atribuir permissões a ativos ao nível da conta, como aplicações Databricks, objetos do Unity Catalog, dashboards de IA/BI, Genie Spaces e atribuição de espaços de trabalho.
- Limites de grupos de conta e entidades de serviço: Grupos aninhados e entidades de serviço que não estão diretamente provisionados para a conta não são contabilizados nos limites dos grupos de conta. Apenas os grupos explicitamente provisionados na conta contam para os limites.
Por exemplo, no Microsoft Entra ID, tem a seguinte estrutura de grupo:
-
Marketing-All(grupo principal)-
Marketing-US(grupo de crianças) -
Marketing-EU(grupo de crianças) -
Marketing-APAC(grupo de crianças)
-
Se um administrador de espaço de trabalho acrescentar Marketing-All ao seu espaço de trabalho:
- Acesso concedido: Todos os membros de
Marketing-Alle de todos os seus grupos filhos (Marketing-US,Marketing-EU,Marketing-APAC) podem aceder ao espaço de trabalho. Por exemplo, utilizadores e principaisMarketing-APACde serviço podem autenticar e usar o espaço de trabalho. - Provisão de conta: Apenas
Marketing-Allé provisionada para a conta Azure Databricks e conta para os limites dos grupos de conta. Os grupos filhos não contam para os limites, a menos que os configure explicitamente. - Ativos ao nível da conta:
Marketing-Alle todos os seus grupos filhos (Marketing-US,Marketing-EU,Marketing-APAC) estão disponíveis ao partilhar ou atribuir permissões a ativos ao nível da conta, como painéis e objetos no Catálogo Unity.
Habilite o gerenciamento automático de identidades
O gerenciamento automático de identidades é habilitado por padrão para contas criadas após 1º de agosto de 2025. Os administradores de conta podem ativar o gerenciamento automático de identidades no console da conta.
Como administrador da conta, inicie sessão na consola da conta.
Na barra lateral, clique em Segurança.
Na guia Provisionamento de usuário , alterne Gerenciamento automático de identidades para Habilitado.
As alterações demoram entre cinco a dez minutos a entrar em vigor.
Depois de a sua conta estar ativada, para adicionar e remover utilizadores, principais de serviço e grupos do seu fornecedor de identidade, siga as instruções abaixo:
- Adicionar utilizadores à sua conta
- Adicionar entidades de serviço à sua conta
- Adicionar grupos à sua conta
Para migrar do provisionamento SCIM, veja Migrar para gestão automática de identidades.
Desativar o gerenciamento automático de identidades
Quando o gerenciamento automático de identidades está desativado:
- Os utilizadores e os principais responsáveis do serviço mantêm-se: mantêm o acesso, mas já não estão sincronizados com o seu fornecedor de identidade. Você pode remover ou desativar manualmente usuários e entidades de serviço no console da conta depois de desabilitar o gerenciamento automático de identidades.
- Os grupos perdem a associação: os grupos permanecem no Azure Databricks, mas todos os membros do grupo são removidos.
- Sem sincronização com o fornecedor de identidade: Alterações no seu fornecedor de identidade (como remoções de utilizadores ou atualizações de grupo) não são refletidas no Azure Databricks.
- Sem herança de permissões: os usuários gerenciados pelo gerenciamento automático de identidades não podem herdar permissões de grupos pai. Isso afeta modelos de permissão aninhados baseados em grupo.
Se você planeja desabilitar o gerenciamento automático de identidades, o Databricks recomenda configurar o provisionamento SCIM com antecedência como um fallback. O SCIM pode então assumir a sincronização de identidade e grupo.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Segurança.
- Na guia Provisionamento de usuário, alterneGerenciamento automático de identidades para Desabilitado.
Negue identidades o acesso à sua conta
A lista de bloqueio de acesso à conta controla que identidades do seu fornecedor de identidade podem aceder à sua conta do Azure Databricks. Os administradores de conta podem adicionar utilizadores específicos, grupos ou principais de serviço à lista de negação para bloquear o seu acesso. A pertença à lista de negação é transitiva — se negar um grupo, todos os membros, incluindo os que pertencem a grupos aninhados, também são negados.
Para instruções de configuração e uma descrição completa do comportamento da lista de negação, consulte Negar o acesso de identidades à sua conta.
Auditar eventos de gestão automática de identidade
Quando a gestão automática de identidade está ativada, pode usar registos de auditoria para acompanhar as operações de identidade realizadas pelo processo automático de gestão de identidade.
Etiquetas de registo de auditoria para eventos de gestão automática de identidades
A gestão automática de identidade utiliza eventos de registo de auditoria existentes, mas adiciona etiquetas para identificar automaticamente as operações realizadas pelo processo de sincronização de identidade:
-
endpoint: "autoUserCreation" - Indica que o evento foi emitido pelo processo automático de gestão de identidade. Esta etiqueta aparece nas operações do utilizador (
add,activateUser,deactivateUser,updateUser), nas operações de grupo (createGroup,updateGroup,removeGroup), e nas operações de pertença ao grupo (addPrincipalToGroup,removePrincipalFromGroup). -
groupMembershipType: "IdentityProvider" - Aparece nas operações de pertença ao grupo (
addPrincipalToGroup,removePrincipalFromGroup) para indicar que a pertença ao grupo foi sincronizada pelo seu fornecedor de identidade.
Consultar eventos automáticos de auditoria de gestão de identidade
Pode consultar a system.access.audit tabela para acompanhar as operações automáticas de gestão de identidade. Por exemplo:
Rastrear os logins dos utilizadores:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Acompanhar utilizadores criados pela gestão automática de identidade:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Acompanhe as assinaturas de grupos sincronizadas pelo seu fornecedor de identidade:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Para obter mais informações sobre a tabela system.access.audit, consulte Audit log system table reference.
Comportamentos e limitações conhecidos
Esta secção descreve comportamentos que podem não ser imediatamente óbvios ao trabalhar com gestão automática de identidades.
Criação de grupos e atribuição de espaços de trabalho
Quando a gestão automática de identidades sincroniza grupos do seu fornecedor de identidade, cria-os automaticamente ao nível da conta. Estes eventos aparecem nos registos de auditoria como createGroup operações marcadas com endpoint: "autoUserCreation". A criação de grupos ao nível da conta é automática, mas a atribuição de espaços de trabalho é um passo manual separado. Os membros de um grupo sincronizado só têm acesso ao espaço de trabalho depois de um administrador da conta atribuir o grupo a um espaço de trabalho. A gestão automática de identidade controla a pertença ao grupo, e o administrador controla o acesso ao espaço de trabalho.
A sincronização de nomes de grupo não é proativa
Renomear um grupo no seu fornecedor de identidade não atualiza imediatamente o nome do grupo no Azure Databricks. O nome do grupo só sincroniza quando um administrador da conta abre a página de detalhes do grupo na consola da conta. Até lá, o grupo mantém o seu nome anterior em Azure Databricks.
A gestão automática de identidade não remove as assinaturas sincronizadas com SCIM
A gestão automática de identidades não remove as pertenças a grupos que foram originalmente sincronizadas usando o provisionamento SCIM. Isto é de propósito para evitar interromper tarefas e permissões existentes que dependem dessas associações. Para remover as subscrições sincronizadas com SCIM obsoletas, use a API SCIM para as limpar manualmente.
Configuração inicial da entidade de serviço na primeira utilização
Adicionar um grupo que contenha princípios de serviço ao Azure Databricks não fornece esses princípios de serviço. O Azure Databricks fornece princípios de serviço apenas na primeira utilização, como autenticação de token ou execução de trabalhos. Até que um principal de serviço autentique ou execute um trabalho, não aparece no Azure Databricks.
Diretórios Entra ID entre inquilinos não são suportados
A gestão automática de identidades não suporta diretórios Microsoft Entra ID entre locatários. Se precisar de gestão de identidades entre inquilinos, configure o provisionamento SCIM com a colaboração Microsoft Entra B2B.
Grupos aninhados e entidades de serviço usando a API e o Terraform
Grupos aninhados e principais de serviço que não são diretamente provisionados para a conta Azure Databricks são visíveis na interface da consola da conta, mas não podem ser recuperados ou geridos através das APIs Databricks ou do Terraform. Para os gerir programaticamente, provisione-os explicitamente na conta.
As permissões são transferidas ao migrar do SCIM para a gestão automática de identidade
Quando migra do provisionamento SCIM para a gestão automática de identidades, os grupos permanecem os mesmos objetos internos do Azure Databricks. Permissões do Unity Catalog, atribuições de espaços de trabalho e outras definições são transferidas automaticamente. Não perdes permissões durante a migração.