Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O gerenciamento automático de identidade permite que você adicione diretamente usuários, entidades de serviço e grupos de Microsoft Entra ID ao Azure Databricks. Quando o gerenciamento automático de identidade está habilitado, você pode pesquisar diretamente em espaços de trabalho federados por identidade por usuários, entidades de serviço e grupos, e adicioná-los ao seu espaço de trabalho. Azure Databricks usa Microsoft Entra ID como fonte de registro, portanto, todas as alterações nas associações de grupo são respeitadas em Azure Databricks.
O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025.
Os usuários também podem compartilhar painéis com qualquer usuário, principal de serviço ou grupo em seu provedor de identidade. Quando compartilhados, esses usuários, entidades de serviço e membros de grupos são adicionados automaticamente à conta Azure Databricks após o logon. Eles não são adicionados como membros à área de trabalho na qual o painel está. Os usuários que não têm acesso ao espaço de trabalho recebem acesso a uma cópia somente para visualização de um painel publicado com permissões de dados compartilhados. Para obter mais informações sobre o compartilhamento de dashboard, consulte Compartilhar um painel.
O provisionamento JIT (Just-In-Time) sempre é habilitado quando o gerenciamento automático de identidade é ativado e você não pode desativá-lo. Os novos usuários são provisionados automaticamente no Azure Databricks após o primeiro logon. Consulte Provisionar automaticamente usuários (JIT).
Não há suporte para o gerenciamento automático de identidade em workspaces federados não identitários. Para obter mais informações sobre federação de identidade, consulte Federação de identidade.
Status do usuário e do grupo
Quando o gerenciamento automático de identidade está habilitado, usuários, entidades de serviço e grupos da ID do Microsoft Entra ficam visíveis no console da conta e na página de configurações do administrador do workspace. O status deles reflete a atividade e o estado entre o Microsoft Entra ID e o Azure Databricks:
| Status | Meaning |
|---|---|
| Inativo: sem uso | Para usuários e entidades de serviço: identidade no provedor de identidade que ainda não fez login no Azure Databricks. Para grupos: o grupo não foi adicionado a um espaço de trabalho. |
| Ativo | A identidade está ativa no Azure Databricks. |
| Ativo: Removido de [IdP] | Anteriormente ativo em Azure Databricks e foi excluído do provedor de identidade. O Azure Databricks desativa automaticamente esses usuários durante a próxima sincronização de identidade. Não é possível fazer logon ou autenticar em APIs. |
| Desativado | A identidade está desativada no provedor de identidade ou o Azure Databricks desativou automaticamente a identidade após sua exclusão do provedor de identidade. Não é possível fazer logon ou autenticar em APIs. |
| Negado | A identidade foi adicionada à lista de negação de acesso da conta. Azure Databricks define a identidade como inativa. Não é possível fazer logon, usar tokens de acesso pessoal ou aparecer em caixas de diálogo de compartilhamento. Consulte Negar acesso de identidades à sua conta. |
O rótulo de status Ativo: removido de [IdP] inclui o nome do seu provedor de identidade. Por exemplo, Ativo: Removido do EntraID.
Dica
Como prática recomendada de segurança, a Databricks recomenda revogar tokens de acesso pessoal para usuários Desativados e Ativos: removidos do [IdP]. Quando os usuários são excluídos do provedor de identidade, Azure Databricks desativa automaticamente suas contas, mas não revoga automaticamente os tokens.
As identidades gerenciadas usando o gerenciamento automático de identidade são mostradas como Externas no Azure Databricks. Identidades externas não podem ser atualizadas usando a interface do usuário do Azure Databricks.
Compartilhamento e atribuição de permissões
Quando o gerenciamento automático de identidades está habilitado, você pode selecionar usuários e entidades de serviço de Microsoft Entra ID ao compartilhar ou atribuir permissões em Azure Databricks.
Para grupos, o comportamento de compartilhamento difere por tipo de ativo:
- Ativos de nível de conta: os grupos estão disponíveis ao compartilhar ou atribuir permissões a ativos de nível de conta, como Aplicativos do Databricks, objetos do Catálogo do Unity, painéis de IA/BI, Espaços Genie e atribuição de workspace.
- Ativos no nível do workspace: para compartilhar ativos no nível do workspace (como notebooks, trabalhos, sql warehouses, alertas e arquivos) com grupos, os administradores do workspace devem primeiro adicionar diretamente o grupo ao workspace.
Gerenciamento automático de identidade versus provisionamento SCIM
Quando o gerenciamento automático de identidade está habilitado, todos os usuários, grupos e associações a grupos são sincronizados do seu provedor de identidade para o Azure Databricks, portanto, o provisionamento por SCIM não é necessário. Se você mantiver o provisionamento SCIM em paralelo, o SCIM continuará a gerenciar as identidades que foram adicionadas por meio do provisionamento SCIM. Ele não gerencia identidades que não foram adicionadas por meio do provisionamento SCIM.
O provisionamento SCIM requer a função Administrador de Aplicativos da Nuvem e um aplicativo separado do Microsoft Entra ID.
Azure Databricks recomenda usar o gerenciamento automático de identidade. A tabela a seguir compara os recursos de gerenciamento automático de identidades com os recursos do provisionamento SCIM.
| Características | Gerenciamento automático de identidade | Provisionamento SCIM |
|---|---|---|
| Sincronizar usuários | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Somente membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Princípios do serviço de sincronização | ✓ | |
| Disponível por padrão no Azure Databricks | ✓ | |
| Funciona com todas as edições da ID do Microsoft Entra | ✓ | |
| Disponível sem funções administrativas do Microsoft Entra ID | ✓ | |
| Requer federação de identidade | ✓ |
ID externo do Azure Databricks e ID de objeto do Microsoft Entra ID
O Azure Databricks usa a ID do Microsoft Entra ObjectId como o vínculo autoritativo para sincronizar identidades e associações de grupo e atualiza automaticamente o campo externalId para corresponder ao fluxo ObjectId em um fluxo recorrente diário. O Databricks recomenda não misturar métodos de provisionamento. Adicionar a mesma identidade por meio do gerenciamento automático de identidade e do provisionamento SCIM causa entradas duplicadas e conflitos de permissão. Use o gerenciamento automático de identidade como a única fonte de verdade, com as associações de grupo refletindo o Microsoft Entra ID.
Você pode mesclar essas identidades duplicadas fornecendo sua ID externa no Azure Databricks. Use a API Usuários da Conta, Entidades de Serviço da Conta ou Grupos de Contas para atualizar a entidade de segurança a fim de adicionar a objectId do Microsoft Entra ID ao campo externalId.
Como o externalId pode ser atualizado ao longo do tempo, Azure Databricks recomendamos que você não use fluxos de trabalho personalizados que dependam do campo externalId.
Como funciona a sincronização de membros de grupo
Quando o gerenciamento automático de identidade está habilitado, Azure Databricks atualiza as associações de grupo de usuários do seu provedor de identidade durante atividades que disparam verificações de autenticação e autorização, por exemplo, logons do navegador, autenticação de token ou execuções de trabalho. Isso garante que as permissões baseadas em grupo no Azure Databricks permaneçam sincronizadas com as alterações feitas em seu provedor de identidade.
Quando Azure Databricks atualiza as associações de grupo, ele busca associações de grupo transitivas (aninhadas) do seu provedor de identidade. Isso significa que, se um usuário for membro do Grupo A e o Grupo A for membro do Grupo B, o Azure Databricks reconhecerá o usuário como tendo associação em ambos os grupos. O Azure Databricks busca apenas associações para grupos que foram adicionados ao Azure Databricks. Ele não sincroniza ou reconstrói a hierarquia de grupo pai completa do seu provedor de identidade.
O Azure Databricks atualiza as associações de grupo em agendas diferentes, dependendo da atividade:
- Logins do navegador: as associações de grupos serão sincronizadas se mais de 5 minutos tiverem passado desde a última sincronização
- Outras atividades (por exemplo, autenticação de token ou trabalhos em execução): associações de grupo sincronizam se mais de 40 minutos tiverem passado desde a última sincronização
Grupos aninhados e principais de serviço
Quando o gerenciamento automático de identidade está habilitado, os membros de grupos aninhados herdam permissões de grupos provisionados. As permissões atribuídas a um grupo pai se aplicam a todos os usuários e entidades de serviço que pertencem ao grupo, incluindo aqueles adicionados diretamente ao grupo e àqueles que pertencem por meio de associações de grupo aninhadas. No entanto, grupos aninhados e principais de serviço em um grupo não são referenciáveis automaticamente na conta, exceto para o compartilhamento de dashboards.
Visibilidade de grupo aninhada
Grupos aninhados são visíveis no Azure Databricks. Considere um grupo filho, Group-C, que é membro de um grupo pai, Group-P. Se você adicionar Group-P a um espaço de trabalho, todas as identidades em Group-P e Group-C terão acesso ao espaço de trabalho. Nas interfaces do administrador da conta e do administrador do workspace, Group-C aparece como membro na página de detalhes dos membros do grupo Group-P. Somente o primeiro nível de aninhamento aparece na página de detalhes do grupo.
Considerações para grupos aninhados
- Acesso ao workspace: grupos hierárquicos e principais de serviço não precisam ser adicionados diretamente a um workspace para obter acesso. Se um grupo pai for adicionado a um espaço de trabalho, todos os membros desse grupo terão acesso ao espaço de trabalho.
- Ativos de nível de conta: os grupos estão disponíveis ao compartilhar ou atribuir permissões a ativos de nível de conta, como Aplicativos do Databricks, objetos do Catálogo do Unity, painéis de IA/BI, Espaços Genie e atribuição de workspace.
- Limites do grupo de contas e da entidade de serviço: grupos aninhados e entidades de serviço que não são provisionadas diretamente para a conta não contam para os limites do grupo de contas. Somente os grupos que são explicitamente provisionados à conta contam para os limites.
Por exemplo, na ID do Microsoft Entra, você tem a seguinte estrutura de grupo:
-
Marketing-All(grupo-pai)-
Marketing-US(grupo filho) -
Marketing-EU(grupo filho) -
Marketing-APAC(grupo filho)
-
Se um administrador de workspace adicionar Marketing-All ao seu workspace:
- Acesso concedido: todos os membros de
Marketing-Alle de todos os seus grupos filho (Marketing-US,Marketing-EU,Marketing-APAC) podem acessar o Workspace. Por exemplo, usuários e entidades de serviço emMarketing-APACpodem autenticar e usar o workspace. - Provisionamento de conta: somente
Marketing-Allé provisionado para a conta do Azure Databricks e conta para os limites do grupo de contas. Os grupos filho não são contados nos limites, a menos que você os provisione explicitamente. - Ativos no nível da conta:
Marketing-Alle todos os seus grupos filho (Marketing-US,Marketing-EU,Marketing-APAC) estão disponíveis ao compartilhar ou atribuir permissões a ativos no nível da conta, como dashboards e objetos no Catálogo do Unity.
Habilitar o gerenciamento automático de identidade
O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Os administradores de conta podem habilitar o gerenciamento automático de identidade no console da conta.
Como administrador da conta, faça logon no console da conta.
Na barra lateral, clique em Segurança.
Na guia Provisionamento de usuário , alterne o gerenciamento automático de identidade para Habilitado.
As alterações levam de cinco a dez minutos para entrar em vigor.
Depois que sua conta estiver habilitada, para adicionar e remover usuários, entidades de serviço e grupos do seu provedor de identidade, siga as instruções abaixo:
Para migrar do provisionamento SCIM, consulte Migrar para o gerenciamento automático de identidades.
Desabilitar o gerenciamento automático de identidade
Quando o gerenciamento automático de identidades é desabilitado:
- Os usuários e as entidades de serviço permanecem: eles mantêm o acesso, mas não são mais sincronizados com seu provedor de identidade. Você pode remover ou desativar manualmente usuários e entidades de serviço no console da conta depois de desabilitar o gerenciamento automático de identidade.
- Os grupos perdem a associação: os grupos permanecem no Azure Databricks, mas todos os membros do grupo são removidos.
- Nenhuma sincronização com o provedor de identidade: as alterações em seu provedor de identidade (como remoções de usuário ou atualizações de grupo) não são refletidas em Azure Databricks.
- Sem herança de permissão: os usuários gerenciados pelo gerenciamento automático de identidade não podem herdar permissões de grupos pai. Isso afeta modelos de permissão aninhados baseados em grupo.
Se você planeja desabilitar o gerenciamento automático de identidades, o Databricks recomenda configurar o provisionamento SCIM com antecedência como uma alternativa. O SCIM pode então assumir a sincronização de identidades e grupos.
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Segurança.
- Na guia Provisionamento de usuário , alterne o gerenciamento automático de identidade para Desabilitado.
Negar acesso de identidades à sua conta
A lista de bloqueio de acesso à conta controla quais identidades do seu provedor de identidade podem acessar sua conta do Azure Databricks. Os administradores de conta podem adicionar usuários, grupos ou entidades de serviço específicos à lista de negação para bloquear seu acesso. A participação na lista de bloqueio é transitiva — se você bloquear um grupo, todos os membros, incluindo aqueles em grupos aninhados, também serão bloqueados.
Para obter instruções de configuração e uma descrição completa do comportamento da lista de negação, consulte Negar acesso de identidades à sua conta.
Auditar eventos automáticos de gerenciamento de identidade
Quando o gerenciamento automático de identidades estiver habilitado, você poderá usar logs de auditoria para acompanhar as operações de identidade executadas pelo processo de gerenciamento automático de identidade.
Auditar marcas de log para eventos de gerenciamento automático de identidade
O gerenciamento automático de identidade usa eventos de log de auditoria existentes, mas adiciona marcas para identificar operações executadas automaticamente pelo processo de sincronização de identidade:
-
endpoint: "autoUserCreation" - Indica que o evento foi gerado pelo processo de gerenciamento automático de identidades. Essa marca aparece em operações de usuário (
add, ,activateUser,deactivateUser,updateUser), operações de grupo (createGroup,updateGroup, ),removeGroupe operações de associação de grupo (addPrincipalToGroup,removePrincipalFromGroup). -
groupMembershipType: "IdentityProvider" – aparece em operações de associação de grupo (
addPrincipalToGroup,removePrincipalFromGroup) para indicar que a associação de grupo foi sincronizada do seu provedor de identidade.
Consultar eventos de auditoria automática de gerenciamento de identidade
Você pode consultar a system.access.audit tabela para acompanhar as operações automáticas de gerenciamento de identidade. Por exemplo:
Acompanhar logons do usuário:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Acompanhe os usuários criados pelo gerenciamento automático de identidade:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Acompanhe as associações de grupo sincronizadas do seu provedor de identidade:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Para mais informações sobre a tabela system.access.audit, consulte Referência da tabela do sistema de log de auditoria.
Comportamentos e limitações conhecidos
Esta seção descreve comportamentos que podem não ser imediatamente óbvios ao trabalhar com o gerenciamento automático de identidade.
Criação de grupo e atribuição de workspace
Quando o gerenciamento automático de identidade sincroniza grupos de seu provedor de identidade, ele os cria automaticamente no nível da conta. Esses eventos aparecem em logs de auditoria como createGroup operações marcadas com endpoint: "autoUserCreation". A criação de grupo no nível da conta é automática, mas a atribuição de workspace é uma etapa manual separada. Os membros de um grupo sincronizado obtêm acesso ao espaço de trabalho somente depois que um administrador da conta atribui o grupo a um espaço de trabalho. O gerenciamento automático de identidade controla a associação de grupo e o administrador controla o acesso ao workspace.
A sincronização de nomes de grupo não é proativa
Renomear um grupo em seu provedor de identidade não atualiza imediatamente o nome do grupo no Azure Databricks. O nome do grupo é sincronizado somente quando um administrador da conta abre a página de detalhes do grupo no console da conta. Até lá, o grupo mantém seu nome anterior no Azure Databricks.
O gerenciamento automático de identidade não remove associações sincronizadas com SCIM
O gerenciamento automático de identidade não remove membros de grupo que foram originalmente sincronizados usando o provisionamento SCIM. Isso é intencional para evitar quebrar trabalhos e permissões existentes que dependem dessas associações. Para remover membros sincronizados com SCIM obsoletos, use a API SCIM para removê-los manualmente.
Provisionamento de principal de serviço no primeiro uso
Adicionar um grupo que contém entidades de serviço ao Azure Databricks não provisiona essas entidades de serviço. O Azure Databricks provisiona Princípios de Serviço somente no primeiro uso, como autenticação de token ou execução de tarefas. Até que um principal de serviço autentique ou execute um trabalho, ele não aparecerá no Azure Databricks.
Não há suporte para diretórios Entra ID em ambientes de locatários distintos
O gerenciamento automático de identidade não dá suporte a diretórios de identidade do Microsoft Entra em múltiplos locatários. Se você precisar de gerenciamento de identidade entre locatários, configure o provisionamento SCIM com a colaboração B2B do Microsoft Entra.
Grupos aninhados e entidades de serviço por meio da API e do Terraform
Grupos aninhados e principais de serviço que não são diretamente provisionados para a conta do Azure Databricks ficam visíveis no console da conta, mas não podem ser recuperados ou gerenciados por meio das APIs do Databricks ou do Terraform. Para gerenciá-los programaticamente, provisione-os explicitamente na conta.
As permissões são transferidas ao migrar do SCIM para o gerenciamento automático de identidade
Quando você migra do provisionamento SCIM para o gerenciamento automático de identidades, os grupos continuam sendo os mesmos objetos internos do Azure Databricks. As permissões do Catálogo do Unity, as atribuições de espaço de trabalho e outras configurações são transferidas automaticamente. Você não perde nenhuma permissão durante a migração.