Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Databricks proporciona administración centralizada de identidades para usuarios, grupos y entidades de servicio en su cuenta y áreas de trabajo. La administración de identidades en Azure Databricks permite controlar quién puede acceder a las áreas de trabajo, los datos y los recursos de proceso, con opciones flexibles para sincronizar identidades desde el proveedor de identidades.
Si quiere leer una perspectiva fundamentada sobre la mejor forma de configurar identidades en Azure Databricks, consulte Procedimientos recomendados para las identidades.
Para administrar el acceso a usuarios, entidades de servicio y grupos, consulte Autenticación y control de acceso.
Identidades de Azure Databricks
Databricks admite tres tipos de identidades para la autenticación y el control de acceso:
| Tipo de identidad | Description |
|---|---|
| Usuarios | Identidades de usuario reconocidas por Azure Databricks y representadas por direcciones de correo electrónico. |
| Entidades de servicio | Identidades para su uso con trabajos, herramientas automatizadas y sistemas como scripts, aplicaciones y plataformas de CI/CD. |
| Grupos | Colección de identidades usadas por los administradores para administrar el acceso de grupo a áreas de trabajo, datos y otros objetos protegibles. Todas las identidades de Databricks se pueden asignar como miembros de grupos. |
Una cuenta de Azure Databricks puede tener un máximo de 10 000 usuarios combinados y entidades de servicio, junto con 5000 grupos como máximo. Cada área de trabajo también puede tener un máximo de 10 000 usuarios y entidades de servicio combinados como miembros, junto con 5000 grupos como máximo.
¿Quién puede administrar identidades en Azure Databricks?
Para administrar identidades en Azure Databricks, debe tener uno de los roles siguientes:
| Rol | Capabilities |
|---|---|
| Administradores de cuentas |
|
| Administradores del área de trabajo |
|
| Administradores de grupos |
|
| Administradores de entidades de servicio |
|
Para establecer el primer administrador de la cuenta, consulte Establecimiento de su primer administrador de cuenta.
Flujos de trabajo de administración de identidades
Nota:
La mayoría de las áreas de trabajo están habilitadas para la federación de identidades de forma predeterminada. La federación de identidades permite administrar identidades de forma centralizada en el nivel de cuenta y asignarlas a áreas de trabajo. En esta página se supone que el área de trabajo tiene habilitada la federación de identidades. Si tiene un área de trabajo heredada sin federación de identidades, consulte Áreas de trabajo heredadas sin federación de identidades.
Federación de identidades
Databricks comenzó a habilitar nuevas áreas de trabajo para la federación de identidades y el Catálogo de Unity automáticamente el 9 de noviembre de 2023. Las áreas de trabajo habilitadas para la federación de identidades de forma predeterminada no pueden deshabilitarla. Para más información, consulte Habilitación automática de Unity Catalog.
En un área de trabajo federada de identidad, al agregar un usuario, una entidad de servicio o un grupo en la configuración de administrador del área de trabajo, puede seleccionar entre las identidades que existen en su cuenta. En un área de trabajo federada que no sea de identidad, no tiene la opción de agregar usuarios, entidades de servicio o grupos de su cuenta.
Para comprobar si el área de trabajo tiene habilitada la federación de identidades, busque Federación de identidades: Habilitada en la página del área de trabajo de la consola de la cuenta. Para habilitar la federación de identidades en un área de trabajo anterior, un administrador de la cuenta debe activar el área de trabajo en Unity Catalog mediante la asignación de un metastore de Unity Catalog. Consulte Habilitar un área de trabajo para Unity Catalog.
Sincronización de identidades desde el proveedor de identidades
Databricks recomienda sincronizar identidades de Microsoft Entra ID a Azure Databricks mediante la administración automática de identidades. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025.
Con la administración automática de identidades, puede buscar directamente usuarios, entidades de servicio y grupos de Microsoft Entra ID en la configuración de administración del área de trabajo y agregarlos a su área de trabajo y a la cuenta de Azure Databricks. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. Para obtener instrucciones detalladas, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.
Asignación de identidades a áreas de trabajo
Para permitir que un usuario, una entidad de servicio o un grupo funcionen en un área de trabajo de Azure Databricks, un administrador de la cuenta o un administrador del área de trabajo los asigna al área de trabajo. Puede asignar acceso al área de trabajo a cualquier usuario, entidad de servicio o grupo que exista en la cuenta.
Los administradores del área de trabajo también pueden agregar un nuevo usuario, una entidad de servicio o un grupo directamente a un área de trabajo. Esta acción agrega automáticamente la identidad a la cuenta y la asigna a esa área de trabajo.
Para obtener instrucciones detalladas consulte:
- Agregar usuarios a un área de trabajo
- Agregar entidades de servicio a un área de trabajo
- Agregar grupos a un área de trabajo
Compartir paneles con usuarios de la cuenta
Los usuarios pueden compartir paneles publicados con otros usuarios de la cuenta de Azure Databricks, incluso si esos usuarios no son miembros de su área de trabajo. Con la administración automática de identidades, los usuarios pueden compartir paneles con cualquier usuario de Microsoft Entra ID, que agrega el usuario a la cuenta de Azure Databricks al iniciar sesión. Los usuarios de la cuenta de Azure Databricks que no son miembros de ningún área de trabajo son equivalentes a los usuarios de solo vista en otras herramientas. Pueden ver objetos que se han compartido con ellos, pero no pueden modificar objetos. Los usuarios de una cuenta de Azure Databricks no tienen acceso predeterminado a un área de trabajo, datos o recursos de proceso. Para obtener más información, consulte Administración de usuarios y grupos.
Autenticación
Inicio de sesión único (SSO)
El inicio de sesión único (SSO) en forma de inicio de sesión respaldado por Microsoft Entra ID está disponible en Azure Databricks para todos los clientes, tanto para la consola de la cuenta como para las áreas de trabajo de forma predeterminada. Consulte Inicio de sesión único con Microsoft Entra ID.
Aprovisionamiento justo a tiempo
Puede configurar el aprovisionamiento Just-In-Time (JIT) para crear automáticamente nuevas cuentas de usuario a partir de Microsoft Entra ID tras su primer inicio de sesión. Consulte Aprovisionamiento automático de usuarios (JIT).
Control de acceso
Los administradores pueden asignar roles, derechos y permisos a usuarios, entidades de servicio y grupos para controlar el acceso a áreas de trabajo, datos y otros objetos protegibles. Para obtener más información, consulte Introducción al control de acceso.
Áreas de trabajo heredadas sin federación de identidades
En el caso de las áreas de trabajo que no están habilitadas para la federación de identidades, los administradores del área de trabajo administran usuarios del área de trabajo, entidades de servicio y grupos completamente dentro del ámbito del área de trabajo. Los usuarios y las entidades de servicio agregadas a áreas de trabajo federadas que no son de identidad se agregan automáticamente a la cuenta. Si el usuario del área de trabajo comparte un nombre de usuario (es decir, una dirección de correo electrónico) con un usuario o administrador de cuenta que ya existe, esos usuarios se combinan en una sola identidad. Los grupos agregados a áreas de trabajo federadas que no son de identidad son grupos locales del área de trabajo heredados que no se agregan a la cuenta.
Para habilitar la federación de identidades para un área de trabajo heredada, consulte Federación de identidades.
Recursos adicionales
- Procedimientos recomendados de administración de identidades : guía fundamentada sobre la configuración de identidades en Azure Databricks
- Usuarios : administración de identidades de usuario
- Entidades de servicio : administración de identidades de entidad de servicio
- Grupos : administración de identidades de grupo
- Control de acceso : administración de permisos y acceso
- Aprovisionamiento SCIM - Sincronizar identidades desde tu proveedor de identidades
- Grupos locales del espacio de trabajo - Administrar grupos locales heredados del espacio de trabajo