Pular para o conteúdo principal
Última atualização em

Administrar o aplicativo móvel Genie

info

Visualização

Esse recurso está em Prévia Pública.

Esta página é para equipes de IT e segurança que estão se preparando para implantar o aplicativo móvel Databricks Genie em sua organização. Abrange o modelo de segurança, a configuração recomendada e o processo de implantação.

Como o aplicativo móvel Genie mantém os dados seguros

O aplicativo móvel Genie não ignora a governança existente da Databricks. Os usuários herdam as mesmas permissões de dados e controles de acesso da versão web do Databricks.

Identidade e acesso

  • O acesso ao Genie One tem o escopo do workspace e os dados são regidos pelo Unity Catalog. Os usuários veem somente os workspaces onde eles têm pelo menos acesso de consumidor. A segurança em nível de linha e coluna continua a ser aplicada. Consulte O que é o acesso do consumidor?.

  • Habilitar a visualização no nível da conta não concede nenhum acesso de usuário. Permite apenas que o aplicativo oficial se autentique na sua conta. A associação e os direitos ainda vêm do seu processo de gerenciamento de usuários existente.

  • O aplicativo usa o mesmo cliente OAuth e fluxo que um navegador. Você não precisa de um registro de aplicativo IdP separado. Consulte Autenticação e controle de acesso.

  • O aplicativo usa o mesmo fluxo de autenticação que a experiência web. É um cliente OAuth próprio que inicia sessão por meio de login.databricks.com com seu provedor de identidade existente (Microsoft Entra ID, Okta, SAML, Google ou OTP de email). As políticas existentes de MFA, de acesso condicional e de postura do dispositivo continuam a se aplicar.

  • Se o login unificado estiver ativado, os usuários podem entrar e escolher um workspace sem um login separado por workspace. O login unificado está habilitado automaticamente para contas criadas após 21 de junho de 2023 ou para aquelas que não configuraram SSO antes de 12 de dezembro de 2024.

    • Sem login unificado, os usuários devem entrar na conta e, em seguida, entrar novamente em cada workspace de destino.

Salvaguardas do dispositivo

  • Tokens são criptografados com rotação automática. Somente o dispositivo autenticado pode acessar o Genie One.
  • A autenticação usa seu provedor de identidade, incluindo SSO e fatores como biometria (facial ou de impressão digital).

Rede e infraestrutura

O aplicativo Genie não usa um plano de dados móveis separado:

  • O aplicativo usa HTTPS para acessar os mesmos URLs de workspace e de account que um navegador. Não há endpoints exclusivos para dispositivos móveis, nem APIs não autenticadas.
  • Os controles de rede e DLP existentes ainda se aplicam, incluindo listas de acesso de IP, entrada baseada em contexto, Private Link, VPN móvel e DLP no dispositivo.
  • O Genie Mobile oferece suporte a workspaces com o perfil de segurança de compliance ativado. Dados em workspaces com perfil de segurança de compliance não se movem nem saem da região, em conformidade com o acesso via navegador web.

Recomendações de configuração base

Aplique os seguintes controles de segurança de linha de base ao implantar o aplicativo Genie. Se a estratégia de mobilidade da sua organização for mais restritiva, implemente os controles mais rigorosos.

Controle

Linha de base recomendada

Identidade

SSO com MFA

Entrada de rede

Listas de acesso IP habilitadas no workspace. Um método configurado, como uma VPN, para que os dispositivos se conectem de um endereço IP permitido.

Controles do workspace

Genie móvel está habilitado no nível da conta. Se estiver usando uma VPN, certifique-se de que os IPs da VPN sejam permitidos em cada workspace.

Postura do dispositivo

Implemente verificações de postura do dispositivo consistentes com sua estratégia móvel.

Distribuição de aplicativos

Instalação em loja pública (App Store ou Google Play)

nota

A VPN por aplicativo oferece o controle de rede mais forte porque apenas o tráfego do aplicativo Genie alcança o workspace. A VPN deve cobrir tanto login.databricks.com quanto seu host de workspace.

Listas de acesso de IP em nível de conta não são suportadas no momento. Use listas de acesso IP em nível de workspace para controlar o acesso móvel.

Entenda seu ambiente

Configuração do workspace

Antes de habilitar o aplicativo móvel do Genie, verifique as seguintes configurações do workspace:

  • Ativação de recursos : confirme se a pré-visualização está ativada antes de disponibilizá-la aos usuários. Consulte Ativar o aplicativo.
  • Listas de acesso IP : Se seu workspace usa listas de acesso IP, os endereços IP de usuários móveis devem estar na lista. Isso normalmente requer uma VPN.

Acesso à rede

Se o workspace tiver uma lista de acesso IP, dispositivos móveis devem se conectar de um endereço IP permitido. Uma VPN é a solução mais comum.

A VPN por aplicativo fornece o isolamento mais forte: apenas o tráfego do aplicativo Genie é roteado pela VPN. A VPN por aplicativo deve cobrir tanto login.databricks.com quanto o host do seu workspace.

Se o seu workspace for acessível apenas por meio do Private Link com a entrada pública bloqueada, os dispositivos móveis precisam de um caminho de rede que termine dentro da rede privada. Padrões comuns incluem:

  • Uma VPN móvel que termina on-premises ou em uma VPC emparelhada com a rede do workspace.
  • ExpressRoute, Direct Connect ou Interconnect com saída de rede móvel através de um gateway corporativo e Private Link.

Para obter mais informações, consulte Usuários para rede do Databricks.

No iOS, o aplicativo Genie usa os Apple Universal Links para interceptar links para /one/* em hosts de workspace e /mobile-redirect em login.databricks.com. A Apple valida isso ao buscar https://<host>/.well-known/apple-app-site-association de cada host na primeira vez que o aplicativo vê esse domínio.

Se sua rede bloquear este caminho (por exemplo, em um proxy que remove solicitações não autenticadas), a interceptação do Universal Link retorna silenciosamente para abrir o URL do workspace no Safari em vez de no aplicativo, e o retorno de chamada OAuth para /mobile-redirect não retorna o usuário ao aplicativo. Certifique-se de que este caminho esteja acessível a partir da rede ativa do dispositivo na primeira vez em que o aplicativo for iniciado.

VPN por aplicativo no iOS

O redirecionamento de login no iOS abre no navegador do sistema, não dentro do aplicativo. Uma VPN por aplicativo restrita apenas ao aplicativo Genie não cobrirá a janela de login. Para evitar falhas de login:

  • Inclua login.databricks.com na VPN em todo o dispositivo, ou na VPN por aplicativo do navegador do sistema e do aplicativo Genie.
  • Use uma postura ZTNA ou de túnel de dispositivo que sempre cobre login.databricks.com e hosts do workspace, independentemente de qual aplicativo iniciou o fluxo.

Não compatível

  • Entrada baseada em contexto : O caminho móvel do Genie One não oferece suporte atualmente às políticas de entrada baseadas em contexto no nível da conta. Se você depender de ingresso baseado em contexto como uma alternativa de IP/VPN, restrinja os usuários móveis na lista de acesso IP do workspace em vez disso.
  • Inspeção de TLS : o app não pina certificados. Proxies de inspeção TLS que apresentem um certificado raiz corporativo confiável pelo dispositivo funcionarão, desde que o seu MDM entregue o certificado raiz corporativo ao dispositivo através do mecanismo padrão (Perfil de Configuração da Apple ou armazenamento de certificados de dispositivo Android). A fixação de certificado pode ser adicionada antes da disponibilidade geral.

Processo de implantação

Use os seguintes passos gerais para lançar o aplicativo móvel Genie:

  1. Prepare seu workspace. Confirme se o Genie Mobile está habilitado no nível da conta. É necessário identificar os workspaces cujos usuários se deseja permitir em dispositivos móveis. Atualize as listas de acesso IP do workspace com IPs de saída da VPN se você usar uma VPN.
  2. Decida a postura da rede. Para a maioria das empresas, esta é uma VPN por aplicativo ou um túnel de dispositivo. Atualizar para incluir login.databricks.com e os domínios do seu workspace. Validar se os dispositivos móveis podem acessar o workspace.
  3. Atualize suas políticas do provedor de identidade. Verifique se sua política móvel permite a autenticação no seu workspace e aplica os requisitos de postura do dispositivo.
  4. Implantar o aplicativo. O aplicativo está disponível na Apple App Store e no Google Play. Se você usar um MDM, adicione com.databricks.one.mobile ao seu catálogo MDM como um aplicativo de loja iOS gerenciado ou aplicativo Google Play gerenciado, e atribua-o a grupos de dispositivos de destino.
  5. Execute um piloto com um pequeno grupo de usuários. Guie os usuários pela instalação do aplicativo, configuração de VPN, login e abertura de um espaço do Genie. Documentar quaisquer erros para alimentar a documentação do helpdesk.
  6. Implementar amplamente. Comunique o processo de instalação e quaisquer requisitos de VPN aos usuários através de seus canais de comunicação de IT.

Listas de acesso IP

Adicione os IPs de saída da rede que os dispositivos móveis usarão à lista de acesso IP em nível de **workspace**. As listas de acesso de IP no nível da account não são atualmente impostas no caminho de login móvel.

Consulte Configurar listas de acesso IP para workspaces.

VPN e acessibilidade da rede

Se seu workspace é acessível apenas por meio de Private Link, PrivateLink ou Private Service Connect, configure uma VPN móvel que abranja tanto login.databricks.com quanto o host do workspace.

Política de provedor de identidade

Adicione o aplicativo móvel Genie como um cliente permitido em seu provedor de identidade com SSO, acesso condicional, MFA e regras de postura do dispositivo que se alinhem à sua estratégia móvel.

Distribuição de apps

O aplicativo está disponível na Apple App Store e Google Play Store.

Para implantar por meio do MDM, consulte a documentação do seu provedor de MDM:

Compatibilidade do Gerenciamento de Dispositivos Móveis (MDM)

O aplicativo Genie suporta os seguintes MDMs:

Nesta página