Pular para o conteúdo principal

Configurar o provisionamento do SCIM para o OneLogin

Este artigo descreve como configurar o provisionamento Databricks usando o Onelogin.

Para que um usuário possa acessar log in usando o OneLogin, o senhor deve configurar o logon único do OneLogin para Databricks. Consulte Configurar SSO em Databricks.

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ser o administrador do Databricks account .

  • Seu OneLogin account deve ser compatível com o provisionamento.

  • O senhor deve ser um superusuário ou proprietário da conta do OneLogin account.

  • Databricks recomenda que o senhor leia os artigos do OneLogin, What is User provisionamento and Deprovisioning?

  • Configure o logon único para que os usuários acessem log in em Databricks usando o OneLogin. Consulte Configurar SSO em Databricks.

Configure o account-level SCIM provisionamento usando o OneLogin

Esta seção descreve como configurar um conector do OneLogin SCIM para provisionar usuários e grupos para o seu account.

Obtenha os tokens SCIM e o URL account SCIM em Databricks

  1. account log in Como Databricks account administrador do, acesse o console.

    1. Clique em Ícone de configurações do usuário Configurações .

    2. Clique em Provisionamento de usuários .

    3. Clique em Set up user provisioning (Configurar provisionamento de usuários ).

      Copie os tokens SCIM e o URL da conta SCIM. Você os usará para configurar seu conector no OneLogin.

nota

Os tokens SCIM são restritos à conta SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras contas Databricks REST APIs.

Configurar o aplicativo de provisionamento do OneLogin SCIM

  1. Faça login no OneLogin como superusuário ou proprietário da conta e inicie o console de administração do OneLogin.

  2. Vá para Aplicativos e clique em Adicionar aplicativo .

  3. Procure e selecione SCIM Provisioner with SAML (SCIM v2 Core) .

  4. Clique em Salvar . A nova guia de configuração aparece à esquerda.

  5. Clique em Configuração .

  6. Em Databricks subdomain (subdomínio ), digite o URL da conta SCIM.

  7. No campo SCIM Bearer tokens (tokens de portador ), digite os tokens de acesso pessoal Databricks.

  8. Em API Connection (Conexão de API ), clique em Enable (Ativar ). O aplicativo se autentica na Databricks.

  9. Vá para provisionamento para ativar e configurar o provisionamento.

    1. Em fluxo de trabalho , selecione Habilitar provisionamento .

    2. Configure se deseja exigir a aprovação do administrador para criar, excluir ou atualizar um usuário.

nota

A Databricks recomenda que o senhor ative a aprovação do administrador para todas as operações como uma proteção inicial, para que não acione o provisionamento automático para seus usuários antes que a configuração e o teste tenham sido concluídos. Depois de testar e verificar se o provisionamento está funcionando como esperado, o senhor pode definir essas configurações para substituir a aprovação do administrador.

  1. Configure o comportamento no Databricks quando um usuário for excluído do OneLogin:

    • Não fazer nada não modifica o usuário no Databricks.
    • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
    • Delete exclui o usuário em Databricks e arquiva o recurso do usuário. Isso não é reversível.

  2. Configure o comportamento no Databricks quando um usuário for suspenso no OneLogin.

    • Não fazer nada não modifica o usuário no Databricks.
    • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.

  3. Em Entitlements (Direitos) , clique em refresh (atualizar ). No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos do OneLogin para o Databricks.

  4. Clique em Salvar.

Continue em Use o OneLogin para gerenciar usuários e grupos em Databricks para provisionar usuários e grupos em seu Databricks account.

Use o OneLogin para gerenciar usuários e grupos no Databricks

Esta seção descreve como usar o OneLogin para gerenciar usuários e grupos no site Databricks account.

Atribua grupos aos usuários do Databricks workspace

O senhor deve criar grupos do Databricks no Databricks e criar mapeamentos para mantê-los em sincronia com os campos do OneLogin. O senhor não pode adicionar grupos ao Databricks usando o OneLogin.

  1. No OneLogin, vá para Parameters (Parâmetros ) tab.
  2. Em Parâmetros opcionais , clique em Grupos .
  3. Verifique se todos os nomes de grupos foram importados com êxito de Databricks para o campo Values (Valores ) quando o senhor clicou em refresh (atualizar) no provisionamento tab (acima) e selecione o sinalizador Include in User (Incluir no provisionamento do usuário ).
  4. Clique em Salvar .

Depois de configurar o mapeamento de atributos, o senhor pode atribuir grupos aos usuários do Databricks ao provisioná-los. Para atribuir valores de grupo, é possível selecioná-los manualmente no registro de login do usuário para o aplicativo de provisionamento OneLogin SCIM. Em Usuários tab do aplicativo de provisionamento OneLogin SCIM, selecione o usuário a ser editado.

Também é possível usar as regras do OneLogin (mapeamentos) para atribuir usuários a grupos do Databricks automaticamente, com base em outro atributo do OneLogin, como a função do OneLogin. Por exemplo, para colocar todos os usuários que estão na função "Finance" do OneLogin no grupo Databricks "finance", o senhor pode acessar Rules (Regras ) tab no aplicativo de provisionamento do OneLogin SCIM e criar uma New Rule (Nova regra ) com a condição Roles - include - Finance (Funções - incluir - Finanças ) e a ação Set Groups in Databricks to - finance (Definir grupos em para - finanças ), como nesta captura de tela:

Regras tab

Agora, sempre que você adicionar um usuário à função "Finanças" do OneLogin e ao aplicativo de provisionamento do OneLogin SCIM, o usuário será atribuído ao grupo "finanças" no Databricks quando você reaplicar os mapeamentos de direitos.

Remover ou atualizar exercícios em grupo

Para remover ou atualizar atribuições de grupo, acesse Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM e selecione o usuário a ser editado. Remova ou substitua a seleção atual no campo de grupo, no campo IAM role personalizado ou no campo de direito personalizado.

Se você tiver configurado regras para atribuir grupos ao usuário com base em um atributo do OneLogin, como o OneLogin Role, remova esse atributo do usuário (por exemplo, remova o usuário do OneLogin Role). O senhor também pode alterar a regra que atribui o grupo, IAM role ou o direito aos usuários nessa função do OneLogin.

Acione uma sincronização

O senhor pode acionar manualmente uma sincronização dos usuários do OneLogin com os usuários do Databricks acessando o aplicativo de provisionamento do OneLogin SCIM e selecionando MORE ACTIONS -> Sync logins . Se um usuário for atribuído ao aplicativo, ele será adicionado ao seu Databricks account. No entanto, o inverso não é verdadeiro: um usuário criado no site Databricks account não será adicionado ao aplicativo de provisionamento OneLogin SCIM.

Para sincronizar manualmente os usuários do Databricks account com o OneLogin, crie um usuário no OneLogin com o mesmo nome de usuário e endereço email do usuário no Databricks account e, em seguida, atribua o usuário ao aplicativo no OneLogin.

Excluir usuários

Quando o senhor exclui usuários no OneLogin, o OneLogin os desativa do site Databricks account.

important

Não remova o administrador que configurou o aplicativo de provisionamento do OneLogin SCIM do Databricks ou do grupo admins. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.

Você pode desativar um usuário de várias maneiras:

  • Exclua ou suspenda o usuário do OneLogin.
  • Remova o usuário do aplicativo manualmente acessando Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM, selecionando o usuário e clicando no botão Delete (Excluir ).
  • Se você tiver configurado regras para atribuir o usuário ao aplicativo com base em um atributo do OneLogin, como o OneLogin Role, remova esse atributo do usuário (por exemplo, remova o usuário do OneLogin Role). Também é possível remover o aplicativo Databricks de uma função do OneLogin à qual o usuário está atribuído (isso desprovisiona o Databricks para todos os usuários da função).
nota

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Se o senhor excluir um usuário do OneLogin-gerenciar diretamente em Databricks, o usuário permanecerá ativo no aplicativo de provisionamento do OneLogin SCIM. Quando o senhor tentar excluir o usuário do aplicativo de provisionamento do OneLogin SCIM, a tentativa falhará, pois o usuário já foi excluído no Databricks.

Solução de problemas e dicas

  • Usuários que existiam no Databricks antes da configuração do provisionamento:

    • São automaticamente vinculados a um usuário do OneLogin se já existirem no OneLogin e são correspondidos com base no endereço email (nome de usuário).
    • Podem ser vinculados manualmente a um usuário existente ou criados como um novo usuário no OneLogin se eles não forem correspondidos automaticamente.

  • As permissões de usuário atribuídas individualmente e duplicadas por meio da participação em um grupo permanecem após a remoção da associação ao grupo para o usuário.

  • O senhor deve criar grupos do Databricks no Databricks; não é possível adicionar grupos usando o OneLogin.

  • O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.

Última atualização em