Pular para o conteúdo principal

Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Este artigo descreve como configurar o provisionamento para o site Databricks account usando o Microsoft Entra ID.

Para que um usuário possa log in usar o Microsoft Entra ID, o senhor deve configurar o logon único do Microsoft Entra ID para Databricks. Consulte Configurar SSO em Databricks.

provisionamento de identidades para seu Databricks account usando Microsoft Entra ID

O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.

important

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o accountnível.

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ter a função Cloud Application Administrator no Microsoft Entra ID.

  • Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

  • O senhor deve ser um administrador do Databricks account .

  • Configure o logon único para que os usuários acessem log in e Databricks usando o ID Entra de Microsoft. Consulte Configurar SSO em Databricks.

Etapa 1: Configurar Databricks

  1. Databricks account log in Como Databricks account administrador do , acesse o console.
  2. Clique em Ícone de configurações do usuário Configurações .
  3. Clique em Provisionamento de usuários .
  4. Clique em Set up user provisioning (Configurar provisionamento de usuários ).

Copie os tokens SCIM e o URL da conta SCIM. O senhor os utilizará para configurar o aplicativo Microsoft Entra ID.

nota

Os tokens SCIM são restritos à conta SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras contas Databricks REST APIs.

Etapa 2: configurar o aplicativo corporativo

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.

  1. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications .
  2. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).
  3. Insira um nome para o aplicativo e clique em Adicionar .
  4. No menu gerenciar , clique em provisionamento .
  5. Defina o provisionamento Mode como Automático.
  6. Defina o URLSCIM API endpoint como o URL da conta SCIM que o senhor copiou anteriormente.
  7. Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.
  8. Clique em Test Connection (Testar conexão) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.
  9. Clique em Salvar .

Etapa 3: atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o aplicativo Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.

  1. Acesse gerenciar > Properties .
  2. Defina Assignment required como No . O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.
  3. Vá para gerenciar > provisionamento .
  4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado .
  5. Clique em Salvar .
  6. Acesse gerenciar > Usuários e grupos .
  7. Clique em Adicionar usuário/grupo , selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.

nota

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam no site Databricks account antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:

    • Os usuários e grupos serão mesclados se também existirem em Microsoft Entra ID.
    • Os usuários e grupos são ignorados se não existirem no Microsoft Entra ID. Os usuários que não existem no Microsoft Entra ID não podem log in para Databricks.

  • As permissões de usuário atribuídas individualmente que são duplicadas pela participação em um grupo permanecem mesmo após a remoção da associação ao grupo para o usuário.

  • A remoção direta de usuários de um Databricks account usando o console account tem os seguintes efeitos:

    • O usuário removido perde o acesso a esse Databricks account e a todo o espaço de trabalho no account.
    • O usuário removido não será sincronizado novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneça no aplicativo corporativo.

  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

  • Não é possível atualizar o endereço email de um usuário Databricks.

  • O senhor não pode sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço a partir do aplicativo Azure Databricks SCIM provisionamento Connector . Databricks Recomenda-se usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o Databricks Terraform senhor também pode usar o provedor ou scripts personalizados que tenham como alvo o provedor para Databricks SCIM API sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço.

  • As atualizações de nomes de grupos no Microsoft Entra ID não são sincronizadas com o Databricks.

  • Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode fazer com que o Databricks rejeite as solicitações de criação de usuário do aplicativo Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mail com alias, talvez seja necessário alterar o mapeamento default SCIM do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico

Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo no site Microsoft gráfico. Anote o ID do aplicativo e o ID do locatário para o aplicativo

  2. Acesse a página de visão geral dos aplicativos. Nessa página:

    1. Configure um segredo de cliente para o aplicativo e anote o segredo.
    2. Conceda ao aplicativo as seguintes permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy

  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.

  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

Solução de problemas

Usuários e grupos não sincronizam

  • Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector :

    • No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.

  • Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte este FAQ.

Microsoft Entra ID entidade de serviço do not sync

  • O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector : Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização .

O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se o senhor precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory no arquivo Azure IP Ranges and serviço Tags - Public Cloud. Faça o download no siteMicrosoft download. Para obter mais informações, consulte IP Ranges.

Última atualização em