Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página tem uma visão geral dos principais de serviço no Azure Databricks. Para saber como gerenciar entidades de serviço, consulte Gerenciar entidades de serviço.
O que é uma entidade de serviço?
Um principal de serviço é uma identidade especializada no Azure Databricks, projetada para automação e acesso programático. As entidades de serviço fornecem acesso somente à API de scripts e ferramentas automatizadas aos recursos do Azure Databricks, fornecendo maior segurança do que o uso de contas de usuários.
Você pode conceder e restringir o acesso de uma entidade de serviço a recursos da mesma maneira que um usuário do Azure Databricks. Por exemplo, você pode:
- Conceder a uma entidade de serviço a função de administrador de conta ou administrador do workspace
- Conceda a um principal de serviço acesso aos dados usando o Unity Catalog.
- Adicione uma entidade de serviço como membro a um grupo.
Você pode conceder aos usuários, entidades de serviço e grupos do Azure Databricks permissões para usar uma entidade de serviço. Isso permite que os usuários executem trabalhos como principal de serviço, em vez de suas identidades de usuário, o que impede que os trabalhos falhem se um usuário deixar a sua organização ou um grupo for modificado.
Benefícios do uso de entidades de serviço:
- Segurança e estabilidade: Automatize trabalhos e fluxos de trabalho sem depender de credenciais de usuário individuais para reduzir os riscos associados a alterações ou saídas da conta de usuário.
- Permissões flexíveis: Permitir que usuários, grupos ou outras entidades de serviço delegam permissões a uma entidade de serviço, permitindo a execução do trabalho em seu nome.
- API-Only identidade: Ao contrário dos usuários regulares do Databricks, as entidades de serviço são projetadas exclusivamente para acesso à API e não podem fazer logon na interface do usuário do Databricks.
Entidades de serviço do Databricks e do Microsoft Entra ID
As entidades de serviço podem ser entidades de serviço gerenciadas do Azure Databricks ou entidades de serviço gerenciadas do Microsoft Entra ID.
As entidades de serviço gerenciadas do Azure Databricks podem se autenticar no Azure Databricks usando a autenticação do Databricks OAuth e tokens de acesso pessoal. As entidades de serviço gerenciadas do Microsoft Entra ID podem se autenticar no Azure Databricks usando a autenticação OAuth do Databricks e os tokens de ID do Microsoft Entra. Para mais informações sobre a autenticação para entidades de serviço, confira Gerenciar tokens de uma entidade de serviço.
As entidades de serviço gerenciadas do Azure Databricks são gerenciadas diretamente no Azure Databricks. As entidades de serviços gerenciadas do Microsoft Entra ID são gerenciadas no Microsoft Entra ID, o que requer permissões adicionais. O Databricks recomenda que você use as entidades de serviço gerenciadas do Azure Databricks para automação do Azure Databricks e use as entidades de serviço gerenciadas do Microsoft Entra ID nos casos em que você deve autenticar com o Azure Databricks e outros recursos do Azure ao mesmo tempo.
Para criar uma entidade de serviço gerenciada do Azure Databricks, ignore esta seção e continue lendo com Quem pode gerenciar e usar entidades de serviço?.
Para usar as entidades de serviço gerenciadas do Microsoft Entra ID no Azure Databricks, um usuário administrador deve criar um aplicativo de ID do Microsoft Entra no Azure. Para criar uma entidade de serviço gerenciada do Microsoft Entra ID, consulte Authenticate with MS Entra service principals.
Quem pode gerenciar e usar os entidades de serviço?
Para gerenciar as entidades de serviço no Azure Databricks, você deve ter um dos seguintes: a função de administrador da conta, a função de administrador do espaço de trabalho ou a função de gerente ou usuário em uma entidade de serviço.
- Os administradores da conta podem adicionar entidades de serviço à conta e atribuir-lhes funções de administrador. Eles também podem atribuir entidades de serviço a espaços de trabalho, desde que esses espaços de trabalho usem federação de identidade.
- Os administradores do espaço de trabalho podem adicionar entidades de serviço a um espaço de trabalho do Azure Databricks, atribuir a elas a função de administrador do espaço de trabalho e gerenciar o acesso a objetos e funcionalidades no espaço de trabalho, como a capacidade de criar clusters ou acessar ambientes baseados em personas específicas.
- Os Gerentes da Entidade de Serviço podem gerenciar funções em uma entidade de serviço. O criador de uma entidade de serviço torna-se o gerente da entidade de serviço. Os administradores da conta são gerentes de entidades de serviço em todas as entidades de serviço de uma conta.
- Os Usuários da Entidade de Serviço podem executar trabalhos como a entidade de serviço. O trabalho é executado usando a identidade da entidade de serviço, em vez da identidade do proprietário do trabalho. Para obter mais informações, consulte Gerenciar identidades, permissões e privilégios para Trabalhos do Lakeflow.
Os usuários com a função Gerente de entidade de serviço não herdam a função Usuário da entidade de serviço. Se quiser usar a entidade de serviço para executar trabalhos, você precisará atribuir explicitamente a função de usuário da entidade de serviço, mesmo depois de criar a entidade de serviço.
Para obter informações sobre como conceder as funções de gerente da entidade de serviço e de usuário, consulte Funções para gerenciar entidades de serviço.
Sincronize os principais serviços com sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID
Você pode sincronizar os principais de serviço do Microsoft Entra ID automaticamente do seu locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidade. O Databricks usa a ID do Microsoft Entra como fonte, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Confira o artigo Sincronizar automaticamente usuários e grupos do Microsoft Entra ID.
O provisionamento do SCIM não oferece suporte à sincronização de entidades de serviço.