Gerenciar entidades de serviço

Esta página explica como gerenciar entidades de serviço para sua conta e workspaces do Azure Databricks.

Para obter uma visão geral das entidades de serviço, consulte as entidades de serviço.

Sincronize os principais serviços com sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID

Você pode sincronizar automaticamente os principais de serviço do Microsoft Entra ID do seu locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidade. O Databricks usa a ID do Microsoft Entra como fonte, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Confira o artigo Sincronizar automaticamente usuários e grupos do Microsoft Entra ID.

O provisionamento do SCIM não oferece suporte à sincronização de entidades de serviço.

Adicionar entidades de serviço à sua conta

Administradores de conta e administradores de workspace podem adicionar entidades de serviço à conta do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

As entidades de serviço podem ser criadas no Azure Databricks ou vinculadas a partir de uma entidade de serviço do Microsoft Entra ID existente. Consulte principais serviços do Databricks e Microsoft Entra ID. Quando o gerenciamento automático de identidades estiver habilitado, você poderá pesquisar e adicionar entidades de serviço diretamente da ID do Microsoft Entra.

Administradores de conta e administradores de workspace podem adicionar entidades de serviço à conta do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Console da conta

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Entidades de serviço, clique em Adicionar entidade de serviço.
4. Em Gerenciamento, escolha Gerenciada pelo Databricks ou Gerenciada pelo Microsoft Entra ID.
5. Se você escolheu Gerenciada pelo Microsoft Entra ID, na opção ID do aplicativo do Microsoft Entra, insira a ID do aplicativo (cliente) da entidade de serviço.
6. Insira um nome para a entidade de serviço.
7. Clique em Adicionar.

Configurações de administrador do workspace

1. Como administrador do workspace, faça login no workspace do Azure Databricks.

2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

3. Clique na guia Identidade e acesso.

4. Ao lado de Entidades de serviço, clique em Gerenciar.

5. Clique em Adicionar entidade de serviço.

6. Clique em Adicionar nova.

7. Selecione Databricks gerenciado ou Microsoft Entra ID gerenciado. Se você selecionar Microsoft Entra ID gerenciado, cole a ID do aplicativo (cliente) para a entidade de serviço.

8. Insira um nome para a entidade de serviço.

9. Clique em Adicionar.

Atribuir funções administrativas no nível da conta a um principal de serviço

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Entidades de serviço, localize e clique no nome de usuário.
4. Na guia Funções , selecione uma ou mais funções.

Atribuir um principal de serviço a um espaço de trabalho

Administradores de conta e administradores de workspace podem atribuir entidades de serviço a um workspace do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Console da conta

Para adicionar usuários a um espaço de trabalho usando o console da conta, o espaço de trabalho deve estar habilitado para federação de identidade.

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Espaços de Trabalho.
3. Clique no nome do seu workspace.
4. Na guia Permissões, clique em Adicionar permissões.
5. Pesquise e selecione a entidade de serviço, atribua o nível de permissão (usuário do workspace ou Administrador) e clique em Salvar.

Configurações de administrador do workspace

1. Como administrador do workspace, faça login no workspace do Azure Databricks.
2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Clique em Adicionar entidade de serviço.
6. Selecionar uma entidade de serviço existente.
7. Clique em Adicionar.

Remover uma entidade de serviço de um workspace

Administradores de conta e administradores de workspace podem remover uma entidade de serviço de um workspace do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Quando uma entidade de serviço é removida de um workspace, ela perde o acesso ao workspace; no entanto, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada de volta ao workspace, ela recuperará suas permissões anteriores.

Console da conta

Para remover entidades de serviço de um workspace usando o console da conta, o workspace deve ser habilitado para federação de identidade.

1. Como administrador da conta, faça logon no console da conta
2. Na barra lateral, clique em Espaços de Trabalho.
3. Clique no nome do seu workspace.
4. Na guia Permissões, localize a entidade de serviço.
5. Clique no à extrema direita da linha do principal de serviço e selecione Remover.
6. No diálogo de confirmação, clique em Remover.

Configurações de administrador do workspace

Quando uma entidade de serviço é removida de um workspace, ela perde o acesso ao workspace; no entanto, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada de volta a um workspace, ela recuperará suas permissões anteriores.

1. Como administrador do workspace, faça login no workspace do Azure Databricks.
2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Selecione a entidade de serviço.
6. No canto superior direito, clique em Excluir.
7. Clique em Excluir para confirmar.

Atribuir a função de administrador do workspace a um principal de serviço

1. Como administrador do workspace, faça login no workspace do Azure Databricks.
2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o admins grupo de sistema.
6. Clique em Adicionar membros.
7. Selecione a entidade de serviço e clique em Confirmar.

Para remover a função de administrador do workspace de uma entidade de serviço, remova a entidade de serviço do grupo de administradores.

Desativar um serviço principal

Você pode desativar um principal de serviço no nível da conta ou do espaço de trabalho. A desativação impede que a entidade de serviço autentique e acesse APIs do Databricks, mas não remove suas permissões ou objetos. Isso é preferível à remoção, que é uma ação destrutiva.

Efeitos da desativação:

• A entidade de serviço não pode autenticar ou acessar as APIs do Databricks.
• Aplicativos ou scripts que usam os tokens gerados pela entidade de serviço não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser utilizados para autenticação enquanto uma entidade de serviço estiver desativada.
• Os recursos de computação pertencentes à entidade de serviço permanecem em execução.
• Os trabalhos agendados criados pela entidade de serviço falham, a menos que sejam atribuídos a um novo proprietário.

Quando reativado, o principal de serviço recupera o acesso com as mesmas permissões.

Desativação no nível da conta

Os administradores da conta podem desativar entidades de serviço de uma conta do Azure Databricks. Quando um principal de serviço é desativado no nível da conta, ele não pode se autenticar na conta do Azure Databricks ou em nenhum espaço de trabalho na conta.

Não é possível desativar uma entidade de serviço usando o console da conta. Em vez disso, use a API de Entidades de Serviço de Conta.

Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Desativação no nível do workspace

Quando um principal de serviço é desativado no nível do espaço de trabalho, ele não pode se autenticar nesse espaço de trabalho específico, mas ainda pode se autenticar na conta e em outros espaços de trabalho na conta.

1. Como administrador do workspace, faça login no workspace do Azure Databricks.
2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Entidades de serviço, clique em Gerenciar.
5. Selecione a entidade de serviço que você deseja desativar.
6. Em Status, desmarque Ativa.

Para definir uma entidade de serviço como ativa, execute as mesmas etapas, mas marque a caixa de seleção.

Remova as entidades de serviço da sua conta do Azure Databricks

Os administradores da conta podem excluir entidades de serviço de uma conta do Azure Databricks. Os administradores do workspace não podem. Quando você exclui uma entidade de serviço da conta, essa entidade também é removida dos workspaces.

Quando uma entidade de serviço do Microsoft Entra ID é removida de uma conta, ela perde o acesso à conta e aos workspaces associadas; no entanto, as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada de volta à conta, ela recuperará suas permissões anteriores.

Para remover uma entidade de serviço usando o console da conta, faça o seguinte:

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários.
3. Na guia Entidades de serviço, localize e clique no nome de usuário.
4. Na guia Informações Principais, clique no no canto superior direito e selecione Excluir.
5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Gerenciar entidades de serviço usando a API

Os administradores de contas e espaços de trabalho podem gerenciar entidades de serviço na conta e nos espaços de trabalho do Azure Databricks usando as APIs do Databricks. Para gerenciar funções em uma entidade de serviço usando a API, confira Gerenciar funções de entidade de serviço usando a CLI do Databricks.

Gerenciar as entidades de serviço na conta usando a API

Os administradores podem adicionar e gerenciar as entidades de serviço na conta do Azure Databricks usando a API de Entidades de Serviço para Contas. Administradores de conta e administradores de workspace invocam a API usando uma URL de ponto de extremidade diferente:

• Os administradores da conta usam {account-___domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Os administradores do workspace usam {workspace-___domain}/api/2.0/account/scim/v2/.

Para obter detalhes, consulte a API das Entidades de Serviço da Conta.

Gerenciar entidades de serviço no espaço de trabalho usando a API

Os administradores de contas e espaços de trabalho podem usar a API de Atribuição do Espaço de Trabalho para atribuir entidades de serviço a espaços de trabalho habilitados para federação de identidade. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.

• Os administradores da conta usam {account-___domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Os administradores do workspace usam {workspace-___domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Consulte API de Atribuição do Espaço de Trabalho.

Se o seu espaço de trabalho não estiver habilitado para a federação por identidade, um administrador do espaço de trabalho poderá usar as APIs no nível do espaço de trabalho para atribuir entidades de serviço aos seus espaços de trabalho. Consulte API de Entidades de Serviço do Espaço de Trabalho.

Gerenciar tokens para uma entidade de serviço

As entidades de serviço podem se autenticar nas APIs do Databricks usando tokens OAuth ou PATs (tokens de acesso pessoal), cada uma com escopos e considerações de segurança diferentes.

• Token OAuth do Azure Databricks

  • Autentique-se nas APIs em nível de conta e em nível de espaço de trabalho.
  • Os tokens OAuth criados no nível da conta podem acessar APIs de conta e de espaço de trabalho. Os tokens OAuth criados no nível do workspace têm como escopo as APIs do workspace.
  • O OAuth é recomendado para a maioria dos cenários devido à segurança aprimorada e ao gerenciamento automático de tokens.
  • Para obter instruções de instalação, consulte o acesso da entidade de serviço Authorize ao Azure Databricks com o OAuth.

• Tokens de acesso pessoal

  • Autentique apenas nas APIs de nível de espaço de trabalho.
  • O Databricks recomenda usar PATs somente quando o OAuth não tiver suporte.
  • Para obter mais informações, consulte a Autenticação com tokens de acesso pessoal do Azure Databricks (herdado).

Para obter detalhes sobre como trabalhar com tokens de acesso de Identidades de Serviço Gerenciado da Microsoft (MSI) ou Microsoft Entra ID, consulte Authenticate with Azure managed identities e Authenticate with MS Entra service principals, respectivamente.