La Administración Automática de Identidades (Automatic Identity Management) es una funcionalidad avanzada (actualmente en versión preliminar pública) que permite la sincronización integral de usuarios, grupos y entidades de servicio desde Microsoft Entra ID (Azure Active Directory) hacia Azure Databricks. Esta integración elimina la necesidad de configurar conectores SCIM manuales, posicionando a Entra ID como la fuente única de la verdad para la gestión de identidades en la plataforma de datos.
Con esta característica habilitada, cualquier alta, baja o cambio de pertenencia en Entra ID se replica automáticamente en Databricks, simplificando la administración de acceso y garantizando la coherencia y seguridad en la gestión de identidades.
Referencia oficial:
Automatic Identity Management in Azure Databricks
Para habilitar la sincronización automática, es imprescindible que el workspace de Azure Databricks tenga activada la federación de identidades, lo cual está directamente vinculado a la habilitación de Unity Catalog. La federación de identidades permite gestionar usuarios y grupos a nivel de cuenta, facilitando la asignación centralizada y la administración multi-workspace.
- Verifica la asociación al metastore desde el portal de administración:
- Si el workspace no está asociado:
Accede a la consola de cuenta y realiza una de las siguientes acciones:
- Habilita Unity Catalog siguiendo la documentación oficial:
Enable a workspace for Unity Catalog
- Habilita Unity Catalog siguiendo la documentación oficial:
- Haz clic en el metastore y verifica que el flag esté habilitado:
- Asigna el workspace:
Selecciona el metastore deseado y asígnalo:
- Confirma que la federación esté habilitada y el metastore asignado:
Si necesitas crear un nuevo metastore, sigue la documentación oficial: Create a Unity Catalog metastore
Referencia adicional:
Unity Catalog Overview
Para activar la funcionalidad:
-
Accede a la consola de cuenta de Databricks y habilita la preview desde el menú Previews:
Habilita el flag correspondiente:
-
Espera unos minutos a que se complete la sincronización:
-
Verifica el resultado en las pestañas “Users”, “Groups” y “Service Principals”:
Una vez completados los pasos previos, tendrás la configuración lista y los usuarios, grupos y service principals de Entra ID estarán disponibles en Databricks. A continuación, se detalla una guía paso a paso, ilustrada con imágenes, para cada escenario:
- Accede al panel de usuarios desde User Management en Databricks y selecciona la opción para añadir usuario:
- Los usuarios de Entra ID deberían aparecer listados:
- Una vez agregados, puedes ajustar sus permisos en Databricks:
- Si necesitas crear un usuario específico para Databricks (no recomendado salvo casos excepcionales), selecciona "+Create new user:" y define el nombre:
- El usuario aparecerá como activo y constará como usuario Databricks:
- Accede al panel de Service Principals desde User Management y selecciona la opción para añadir:
- Escribe el nombre del service principal de Entra ID (por ejemplo, 'pssql-backend') y selecciónalo:
- Una vez agregado, estará operativo:
- Para crear un Service Principal específico de Databricks, selecciona "Create new service principal:":
- El service principal aparecerá en la lista y en la columna "source" verás "Databricks":
-
Accede al panel de grupos desde User Management y selecciona la opción para añadir grupo:
-
Busca y selecciona el grupo de Entra ID (por ejemplo, "PurviewSecurity"):
-
El grupo aparecerá listado:
-
Podrás ver los componentes del grupo y su correspondencia con Entra ID:
-
Si eliminas un usuario del grupo en Entra ID, el cambio se refleja automáticamente en Databricks:
-
La sincronización es completa y puedes gestionar los roles de los usuarios Entra ID dentro del grupo:
- Para crear un grupo específico de Databricks, selecciona "Create new group:":
- Estos grupos pueden incluir usuarios, service principals u otros grupos, tanto de Entra ID como de Databricks, permitiendo una gestión flexible:
- En la vista de grupos, puedes identificar el origen (Entra ID o Databricks):
Cuando un usuario es eliminado de Entra ID (por ejemplo, por baja en la compañía), Databricks lo marca como “Account” para evitar la pérdida inmediata de activos asociados. Se recomienda:
-
Crear el usuario y agregarlo al grupo correspondiente:
-
Añadirlo a la lista de usuarios en Databricks:
-
Comprobar que el usuario forma parte del grupo:
-
Tras eliminarlo de Entra ID, Databricks muestra el usuario como “Account”:
Esto permite revisar y transferir los assets asociados antes de eliminarlo definitivamente.
-
Si decides borrar el usuario de Databricks, recibirás un aviso:
Tras confirmar, el usuario desaparecerá de la lista de usuarios activos.
- Centraliza la gestión de identidades en Entra ID para garantizar el cumplimiento de políticas corporativas y auditoría.
- Utiliza Service Principals para automatizaciones y recursos compartidos, evitando el uso de cuentas personales.
- Revisa periódicamente los accesos y realiza auditorías de pertenencia a grupos y roles.
- Evita la creación de usuarios/grupos nativos salvo casos justificados.
- Implementa el principio de mínimo privilegio y revisa los permisos asignados a usuarios y grupos.
- Aprovecha las capacidades de logging y monitorización de Azure y Databricks para detectar accesos no autorizados o anómalos.
- Antes de eliminar un usuario, evalúa sus assets (notebooks, jobs, dashboards):
- Si son válidos, transfiérelos a otro compañero.
- Si no aportan valor, elimínalos.
- Revisa los jobs y dashboards que haya creado para evitar fallos por falta de propietario.
Referencias clave: