Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Nesta fase, você projeta a estratégia de administração de conta básica e gerenciamento de identidades para sua conta Azure Databricks.
Entender os limites administrativos
Azure Databricks administração é estruturada em quatro camadas intencionais que fornecem flexibilidade e controle para proteger dados e habilitar usuários. Entender esses limites é fundamental para a criação de uma estratégia de administração eficaz.
Camadas administrativas
- Camada de conta: Centraliza a administração e os serviços compartilhados em todo o locatário (por exemplo, federação de identidade, gerenciamento de espaço de trabalho e cobrança).
- Camada de workspace: limite operacional em que as equipes executam cargas de trabalho e controles específicos do workspace são aplicados.
- Camada de governança de dados: materializada por meio do Catálogo do Unity, permite a governança centralizada de dados e ativos de IA em toda a conta.
- Camada do plano de computação: descreve onde as cargas de trabalho são executadas e como os caminhos de rede são controlados.
Modelo de segurança em camadas
Nenhuma única camada é suficiente por conta própria. Os administradores devem evitar a concentração de proteções em apenas um limite e considerar o seguinte:
- Os controles de nível de conta estabelecem fundamentos consistentes de identidade e governança (por exemplo, criação de metastore, vinculação do metastore ao workspace, gerenciamento de identidade).
- Os controles no nível do workspace moldam como os usuários operam e quais padrões de execução são permitidos.
- Os controles de governança de dados fornecem controle de acesso granular e auditoria nos níveis de metastore e de área de trabalho.
- Os controles do plano de computação determinam onde as cargas de trabalho são executadas e quais caminhos de rede o runtime pode usar.
Esse modelo fornece aos administradores a flexibilidade necessária para habilitar os usuários, protegendo dados e recursos de computação.
Projetar estratégia de funções administrativas
Azure Databricks fornece cinco funções de administrador com escopos de controle diferentes. Crie sua estratégia de função administrativa com base na estrutura organizacional, no modelo de governança e na separação dos requisitos de tarefas.
Funções de administrador global
| Tipo de administrador | Scope | Principais responsabilidades |
|---|---|---|
| Administrador de contas | Toda a conta | Gerenciamento das configurações de conta, cobrança, configuração de identidade, criação de workspace, metastores do Catálogo Unity, alocação de recursos de nuvem |
| Administrador do espaço de trabalho | Workspace único | Gerenciar identidades de workspace, controle de acesso, configurações, recursos, políticas de computação |
Funções de administrador específicas do recurso
| Tipo de administrador | Scope | Principais responsabilidades |
|---|---|---|
| Administrador de metastore | Metastore do Catálogo do Unity | Função opcional para gerenciar o armazenamento de objetos do Unity Catalog no nível do metastore, centralizando o gerenciamento de dados nos workspaces. |
| Administrador do Marketplace | Toda a conta | Gerenciar perfil de provedor do Marketplace, criar e gerenciar listagens do Marketplace |
| Administrador de cobrança | Toda a conta | Exibir orçamentos e gerenciar políticas de uso sem servidor em toda a conta |
Padrões de design de função administrativa
- Administração centralizada: uma pequena equipe de administradores de contas gerencia todos os espaços de trabalho e metastores (adequado para pequenas organizações)
- Administração federada: administradores de conta lidam com serviços de nível de conta, administradores de workspace gerenciam seus workspaces, administradores de metastore gerenciam a governança de dados (adequada para grandes organizações)
- Funções segregadas: separar indivíduos para funções de administrador de conta, administrador de cobrança e administrador metastore para impor a conformidade (adequada para setores regulamentados)
Práticas recomendadas para funções administrativas
- Limite os privilégios de administrador da conta a dois ou três indivíduos confiáveis.
- Use administradores do espaço de trabalho para o gerenciamento diário do espaço de trabalho.
- Atribuir função de administrador metastore com base no modelo de governança (centralizado versus descentralizado).
- Habilite o log de auditoria para acompanhar as atividades de administrador em todas as camadas.
- Documente responsabilidades administrativas e procedimentos de escalonamento.
- Use grupos para funções de administrador em vez de usuários individuais sempre que possível.
- Impor a segregação de direitos entre contas administrativas.
Observação
Se nenhum usuário no seu locatário do Microsoft Entra ID tiver ainda feito logon no console da conta, você ou outro usuário deverá fazer logon como o primeiro administrador da conta. Para isso, é necessário ser um administrador global do Microsoft Entra ID, mas apenas ao fazer logon pela primeira vez no Console da Conta do Azure Databricks. Após o primeiro logon, você se torna um administrador da conta Azure Databricks e não precisa mais da função de Administrador Global Microsoft Entra ID para acessar a conta Azure Databricks. Como o primeiro administrador da conta, você pode atribuir usuários no locatário Microsoft Entra ID como administradores de conta adicionais (que podem atribuir mais administradores de conta). Administradores de conta adicionais não exigem funções específicas em Microsoft Entra ID. Consulte Gerenciar usuários, entidades de serviço e grupos.
Estratégia de identidade de design
A federação de identidade permite o gerenciamento centralizado de usuários, entidades de serviço e grupos no nível da conta e atribui a essas identidades acesso a workspaces específicos. Projete sua estratégia de identidade para equilibrar o controle centralizado com a flexibilidade operacional.
Tipos de identidade no Azure Databricks:
- Usuários: identidades de usuário reconhecidas por Azure Databricks e representadas por endereços de email.
- Entidades de serviço: identidades para uso com trabalhos, ferramentas automatizadas e sistemas, como scripts, aplicativos e plataformas de CI/CD.
- Grupos: coleções de identidades para gerenciar o acesso de grupo a workspaces, dados e outros objetos protegíveis.
Benefícios da federação de identidade:
- Gerenciamento centralizado: configurar usuários, grupos e entidades de serviço no nível da conta.
- Administração simplificada: atribua identidades no nível da conta a vários workspaces sem recriá-las.
- Governança unificada: única fonte de verdade para o gerenciamento de identidades em todos os workspaces.
- Provisionamento automatizado: use o gerenciamento automático de identidade para sincronizar identidades de Microsoft Entra ID.
A federação de identidade é ativada automaticamente para todos os espaços de trabalho com um metastore atribuído do Unity Catalog. Para novos workspaces, o Catálogo do Unity e a federação de identidade são habilitados por padrão.
Para obter uma documentação abrangente de gerenciamento de identidade, consulte Gerenciar usuários, entidades de serviço e grupos.
Considere os requisitos de identidade entre domínios
Algumas empresas têm vários domínios de email, como um usado exclusivamente para emails e outro para acesso do usuário. Essa configuração é suportada no Azure Databricks por meio do fornecimento do mapeamento apropriado no provisionamento SCIM ou na configuração do provedor de identidade.
Cenários de identidade entre domínios
- Domínio de email versus domínio de acesso: os usuários têm endereços de email diferentes para comunicação em vez de autenticação.
- Organizações mescladas: várias organizações com domínios de email diferentes consolidados em uma única conta de Azure Databricks.
- Empresas de várias marcas: unidades de negócios diferentes usando domínios de email separados, mas plataforma de Azure Databricks compartilhada.
Práticas recomendadas para identidade entre domínios:
- Mapeie os endereços de email corretamente nos mapeamentos de atributo SCIM.
- Testar fluxos de autenticação para usuários de todos os domínios antes da implantação em produção.
- Documente configurações de mapeamento de domínio para equipes operacionais.
- Verifique se o provedor de identidade dá suporte a cenários de vários domínios.
Projetar estratégia de gerenciamento automático de identidade
O AIM (gerenciamento automático de identidade) permite que Azure Databricks sincronize automaticamente usuários e grupos de Microsoft Entra ID sem a necessidade de um aplicativo separado no Microsoft Entra ID. AIM substitui o modelo de provisionamento SCIM anterior e elimina a complexidade da configuração.
Funcionalidades do AIM
- Sincronização direta: usuários, entidades de serviço, grupos e grupos aninhados sincronizados diretamente da Microsoft Entra ID.
- Fonte da verdade: Microsoft Entra ID é a fonte de registro, as alterações são automaticamente refletidas no Azure Databricks.
- Configuração simplificada: nenhum aplicativo empresarial é necessário, reduz a sobrecarga administrativa.
- Recursos aprimorados: sincroniza grupos aninhados e principais de serviço (não disponíveis com SCIM).
Práticas recomendadas para AIM
- Use AIM como o método padrão para sincronização de identidade (recomendado para todas as novas implantações).
- Aproveite grupos aninhados para simplificar o gerenciamento de permissões.
- Utilize princípios de serviço para cargas de trabalho automatizadas em vez de contas de usuário.
- Documentação da estrutura de grupo do Microsoft Entra ID para administradores do Azure Databricks.
O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025.
Para obter uma configuração detalhada de gerenciamento automático de identidades, consulte Sincronize usuários e grupos automaticamente do Microsoft Entra ID.
Compreenda o provisionamento just-in-time
O provisionamento just-in-time (JIT) cria automaticamente contas de usuário quando os usuários fazem logon pela primeira vez no Azure Databricks usando o SSO (logon único). Isso simplifica a integração do usuário eliminando a criação manual da conta.
Fluxo de trabalho de provisionamento JIT
- O usuário é autenticado por meio do provedor de identidade de SSO
- Azure Databricks verifica se existe uma conta para o usuário autenticado
- Se nenhuma conta existir, Azure Databricks provisionará nova conta de usuário usando atributos do provedor de identidade
- O usuário obtém acesso imediato aos ambientes de trabalho atribuídos
Benefícios do JIT
- Integração automatizada: nenhuma criação de conta manual é necessária para novos usuários.
- Sobrecarga administrativa reduzida: eliminar tíquetes de criação de conta e os atrasos.
- Provisionamento consistente: detalhes do usuário sincronizados automaticamente do provedor de identidade.
- A experiência do usuário aprimorada: Os usuários têm acesso ao Azure Databricks imediatamente após a autenticação.
Considerações de design JIT
- Atribuição de workspace: planeje como novos usuários são atribuídos a workspaces (por exemplo, atribuição manual versus atribuição automatizada baseada em grupo).
- Permissões padrão: definir permissões padrão para usuários provisionados recentemente.
- Mapeamento de atributo: verifique se o provedor de identidade fornece atributos de usuário precisos (por exemplo, email, nome).
O provisionamento JIT é habilitado por padrão para contas criadas após 1º de maio de 2025.
Para obter uma configuração de provisionamento JIT detalhada, consulte Provisionar automaticamente usuários (JIT).
Recomendações de conta e identidade
Recomendado
- Autentique por meio do SSO (logon único) no nível da conta com seu provedor de identidade.
- Aproveite a MFA (autenticação multifator) em seu provedor de identidade para melhorar a segurança.
- Use SCIM ou AIM para sincronizar usuários e grupos com o console da conta.
- Habilite o provisionamento JIT (just-in-time) para incorporação automatizada de usuários.
- Limite o número de usuários administradores da conta (2 a 3 indivíduos confiáveis).
- Impor a segregação de direitos entre contas administrativas.
- Restrinja os administradores do workspace com base nos requisitos de estrutura organizacional e governança.
- Use a autenticação OAuth para entidades de serviço.
- Use entidades de serviço para executar tarefas administrativas e cargas de trabalho de produção.
- Automatize todas as operações administrativas usando o Terraform ou ferramentas semelhantes.
- Documente funções administrativas, responsabilidades e procedimentos de escalonamento.
- Use grupos para funções de administrador em vez de usuários individuais sempre que possível.
Avaliar com base nos requisitos
- Considere os requisitos de identidade entre domínios se sua organização usar vários domínios de email.
- Balancear a granularidade da função administrativa com a complexidade operacional.
- Considere os procedimentos de acesso emergencial para falhas no provedor de identidade.
- Planeje janelas de manutenção do provedor de identidade e cenários de contingência de SSO.
Resultados da fase 1
Depois de concluir a Fase 1, você deverá ter o seguinte:
- Estratégia de função administrativa projetada (por exemplo, administrador de conta, administrador do workspace, administrador do metastore).
- Estratégia de federação de identidade definida (provisionamento de conta-primeiro com AIM).
- Estratégia de SSO projetada com integração de Microsoft Entra ID e requisitos de MFA.
- Estratégia de provisionamento de usuário definida (provisionamento AIM + JIT).
- Requisitos de identidade entre domínios identificados (se aplicável).
- Responsabilidades administrativas e procedimentos de escalonamento documentados.
- Estratégia de entidade de serviço projetada para cargas de trabalho automatizadas.
Próxima fase: Fase 2: Estratégia de design de espaço de trabalho
Diretrizes de implementação: para obter instruções passo a passo para implementar sua conta e estratégia de identidade, consulte Gerenciar usuários, entidades de serviço e grupos.