Configurar o provisionamento SCIM para o Okta
Este artigo descreve como configurar o provisionamento Databricks usando o Okta. Seu Okta tenant deve estar usando o recurso Okta Lifecycle Management para provisionar usuários e grupos para Databricks.
Para que um usuário possa acessar log in usando o Okta, o senhor deve configurar o logon único do Okta para Databricks. Consulte Configurar SSO em Databricks.
Visão geral do provisionamento SCIM para Okta
Databricks está disponível como um aplicativo de provisionamento na Okta Integration Network (OIN), permitindo que o senhor use o Okta para provisionar usuários e grupos com o Databricks automaticamente.
O aplicativo Okta da Databricks permite que o senhor:
- Convidar usuários para uma account ou workspace do Databricks
- Adicionar usuários convidados ou ativos aos grupos
- Desativar usuários existentes em uma account ou workspace do Databricks
- Gerenciar grupos e associação a grupos
- Atualizar e gerenciar perfis
Requisitos
-
Sua account Databricks deve ter o plano Premium ouacima.
-
Você deve ser um usuário desenvolvedor do Okta.
-
O senhor deve ser o administrador do Databricks account .
-
Configure o logon único para que os usuários acessem log in em Databricks usando o Okta. Consulte Configurar SSO em Databricks.
Configure o account-level SCIM provisionamento usando o Okta
Esta seção descreve como configurar um conector Okta SCIM para provisionar usuários e grupos para o seu account.
Obtenha os tokens SCIM e o URL account SCIM em Databricks
-
account log in Como Databricks account administrador do, acesse o console.
-
Clique em
Configurações . -
Clique em Provisionamento de usuários .
-
Clique em Set up user provisioning (Configurar provisionamento de usuários ).
Copie os tokens SCIM e o URL da conta SCIM. Você os usará para configurar seu conector no Okta.
-
Os tokens SCIM são restritos à conta SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras contas Databricks REST APIs.
Configurar o provisionamento SCIM no Okta
-
Log in no portal de administração do Okta.
-
Vá para Aplicativos e clique em Procurar catálogo de aplicativos .
-
Procure a Databricks no Browse App Integration Catalog .
-
Clique em Adicionar integração .
-
Em Add Databricks , configure o seguinte:
- Em Application rótulo , digite um nome para o aplicativo.
- Selecione Não exibir o ícone do aplicativo para os usuários .
- Selecione Não exibir o ícone do aplicativo no aplicativo móvel Okta .
-
Clique em Concluído .
-
Clique em provisionamento e digite o seguinte:
- Em Provisioning Base URL (URL da base de provisionamento ), digite o URL do SCIM que o senhor copiou do Databricks.
- Em provisionamento API tokens , insira os tokens SCIM que o senhor copiou de Databricks.
-
Clique em Test API Credentials (Testar credenciais de API) , verifique se a conexão foi bem-sucedida e clique em Save (Salvar) .
-
Recarregar o provisionamento tab. Configurações adicionais aparecem após um teste bem-sucedido das credenciais da API.
-
Para configurar o comportamento ao enviar as alterações do Okta para Databricks, clique em provisionamento para o aplicativo .
- Clique em Editar . Habilite o recurso de que o senhor precisa. A Databricks recomenda ativar Create users (Criar usuários ), Update user attributes (Atualizar atributos do usuário ) e Deactivate users (Desativar usuários ).
- Em Databricks Attribute Mappings (Mapeamentos de atributos da Databricks), verifique seus mapeamentos de atributos da Databricks. Esses mapeamentos dependerão das opções que o senhor habilitou acima. Você pode adicionar e editar mapeamentos para atender às suas necessidades. Consulte Mapear atributos do aplicativo na página de provisionamento na documentação do Okta.
-
Para configurar o comportamento ao enviar as alterações do Databricks para o Okta, clique em To Okta . As configurações do default funcionam bem para o provisionamento do Databricks. Se o senhor quiser atualizar as configurações do default e os mapeamentos de atributos, consulte provisionamento e desprovisionamento na documentação do Okta.
Teste a integração
Para testar a configuração, use o Okta para convidar um usuário para o site Databricks account.
- No Okta, vá para Aplicativos e clique em Databricks .
- Clique em provisionamento .
- Clique em Atribuir e depois em Atribuir às pessoas .
- Procure um usuário do Okta e clique em Atribuir .
- Confirme os detalhes do usuário, clique em Atribuir e voltar e, em seguida, clique em Concluído .
- Log in no console da conta, clique em
Gerenciamento de usuários e confirme se o usuário foi adicionado.
Após esse teste simples, o senhor pode realizar operações em massa, conforme descrito em Use o Okta para gerenciar usuários e grupos em Databricks.
Use o Okta para gerenciar usuários e grupos no Databricks
Esta seção descreve as operações em massa que o senhor pode realizar usando o Okta SCIM provisionamento para o seu Databricks account.
Importar usuários do Databricks para o Okta
Para importar usuários do Databricks para o Okta, acesse Import tab e clique em Import Now (Importar agora ). Será solicitado que o senhor revise e confirme as atribuições de todos os usuários que não forem automaticamente associados aos usuários existentes do Okta pelo endereço email.
Adicione atribuições de usuários e grupos ao seu site Databricks account
Para verificar ou adicionar atribuições de usuários e grupos, acesse Assignments (Atribuições ) tab. Databricks recomenda adicionar o grupo Okta chamado Everyone ao aplicativo de provisionamento account-level SCIM. Isso sincroniza todos os usuários da sua organização com o site Databricks account.
Enviar grupos para o Databricks
Para enviar grupos do Okta para Databricks, acesse Push Groups tab. Os usuários que já existem em Databricks são correspondidos pelo endereço email.
Excluir um usuário ou grupo do account
Se o senhor excluir um usuário do aplicativo account-level Databricks no Okta, o usuário será excluído no Databricks account e perderá o acesso a todos os espaços de trabalho, estejam eles habilitados ou não para a federação de identidade.
Se o senhor excluir um grupo do aplicativo account-level Databricks no Okta, todos os usuários desse grupo serão excluídos do account e perderão o acesso a qualquer espaço de trabalho ao qual tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto ao account ou a qualquer espaço de trabalho). Databricks Recomenda que o senhor não exclua os grupos de nível account, a menos que queira que eles percam o acesso a todos os espaços de trabalho no account.
Esteja ciente das seguintes consequências da exclusão de usuários:
- Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks
- Os jobs pertencentes ao usuário não vão funcionar
- Os clusters pertencentes ao usuário serão interrompidos
- As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento
Solução de problemas e dicas
-
Os usuários sem nome ou sobrenome em seus perfis do Databricks não podem ser importados para o Okta como novos usuários.
-
Usuários que existiam no Databricks antes da configuração do provisionamento:
- São automaticamente vinculados a um usuário do Okta se já existirem no Okta e são combinados com base no endereço email (nome de usuário).
- Podem ser vinculados manualmente a um usuário existente ou criados como um novo usuário no Okta se eles não forem combinados automaticamente.
-
As permissões de usuário atribuídas individualmente e duplicadas por meio da participação em um grupo permanecem após a remoção da associação ao grupo para o usuário.
-
O senhor não pode renomear grupos no Databricks; não tente renomeá-los no Okta.
-
O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.