Migrar para o gerenciamento automático de identidades com o Microsoft Entra ID
Esta página descreve como migrar uma conta Databricks para o gerenciamento automático de identidade com o Microsoft Entra ID.
Para os passos de configuração do Microsoft Entra ID, consulte Configurar o Microsoft Entra ID para o Gerenciamento Automático de Identidades.
Para uma visão geral do gerenciamento automático de identidades, consulte Gerenciamento automático de identidades.
Pré-requisitos
Antes de habilitar o gerenciamento automático de identidades, confirme que o ambiente atende aos seguintes requisitos.
Requisito | Detalhes | Como verificar |
|---|---|---|
Nível Premium ou Enterprise | Gerenciamento automático de identidades não está disponível em contas do nível Standard. | account console > account settings > Nível de Inscrição |
tenant único do Microsoft Entra ID | O gerenciamento automático de identidade não oferece suporte a identidades entre tenants. Todos os usuários, grupos e entidades de serviço devem pertencer a um único tenant do Microsoft Entra ID. Ambientes com identidades entre tenants devem permanecer no provisionamento de SCIM. | Confirme com a sua equipe de identidade. |
Federação de identidades habilitada em pelo menos um workspace | O gerenciamento automático de identidade requer pelo menos um workspace federado com identidades. Workspaces não federados continuam a funcionar, mas não usam gerenciamento automático de identidade. | No console da account, abra **Workspaces** e procure pelo selo **Federação de identidades**. Para habilitá-lo, consulte Habilitar federação de identidade. |
Função de administrador da account | Apenas administradores da conta podem habilitar o gerenciamento automático de identidades. | Console da account > **Gerenciamento de usuários**. Sua função deve exibir Administrador da conta . |
A gestão automática de identidades com o Microsoft Entra ID também requer que o Single Sign-On (SSO) do Microsoft Entra ID seja configurado para sua conta Databricks usando o mesmo tenant. Se o SSO não estiver configurado, ou se precisar usar um tenant diferente, entre em contato com a equipe da conta Databricks. Para configurar o Microsoft Entra ID, consulte Configure o Microsoft Entra ID para gerenciamento automático de identidade.
Funções e responsabilidades
Função | Responsabilidades | Comportamento após o gerenciamento automático de identidades ser ativado |
|---|---|---|
Administrador da conta | Ativar o gerenciamento automático de identidades. Configura, pausa ou desativa o SCIM no nível da conta. Executa validação e verificações de ID externo. Atribui grupos a workspaces. Gerencia identidades no nível da account e permissões do Unity Catalog. Analisa logs de auditoria relacionados à identidade. | É responsável por habilitar, validar e reverter o gerenciamento automático de identidades. Executa o script de mitigação de configuração incorreta de ID externo, se necessário. |
Administrador do workspace | Não controla o gerenciamento automático de identidades ou SCIM. Gerencia ACLs no nível do workspace usando identidades já atribuídas ao workspace. Executa testes pós-migração e relata problemas. | É possível pesquisar e provisionar identidades do Microsoft Entra ID diretamente do workspace ( Configurações > Identidade e Acesso > Gerenciar usuários ). Não é possível ativar ou desativar o gerenciamento automático de identidades. |
Usuário do workspace | Realiza login, executa Notebooks e Jobs e utiliza o compute atribuído. Compartilha ativos com identidades provisionadas. | Nenhuma alteração nas sessões ativas. Primeiro acesso após habilitar a gestão automática de identidades provisiona o usuário via JIT. As permissões são resolvidas por meio das mesmas associações de grupo como antes. É possível compartilhar ativos com identidades do Microsoft Entra ID. |
O que permanece o mesmo
Quando o gerenciamento automático de identidades é ativado, o seguinte é preservado:
- Associações de grupo sincronizadas via SCIM: O gerenciamento automático de identidade não remove associações de grupo que foram originalmente sincronizadas pelo SCIM. Isso é por design para evitar a quebra de jobs e permissões que dependem dessas associações.
- Permissões existentes : As permissões de workspace e do Unity Catalog continuam a ser resolvidas em relação às mesmas entidades.
- Sessões ativas : A gestão automática de identidades não força os usuários a se desconectarem nem interrompe as sessões em execução.
- Execução de Jobs: As entidades de serviço autenticadas com credenciais atuais continuam funcionando.
- Grupos locais do workspace : o gerenciamento automático de identidades gerencia apenas identidades no nível da account. Grupos locais do workspace continuam funcionando, mas não são sincronizados do Microsoft Entra ID.
- Entidades de serviço somente do Databricks : entidades de serviço não registradas no Microsoft Entra ID não são afetadas.
Migrar sem provisionamento SCIM existente
Use este caminho se sua conta do Databricks não tiver provisionamento SCIM no nível da conta. Este é o caminho de migração mais simples.
-
Auditar as automações que fazem referência a entidades de serviço pelo nome de exibição.
Quando o gerenciamento automático de identidade está habilitado, o Databricks trata o Microsoft Entra ID como a fonte autoritativa e substitui os nomes de exibição personalizados da entidade de serviço pelos do Microsoft Entra ID. Para evitar interrupções nos fluxos de trabalho, atualize qualquer automação (como configurações do Terraform ou scripts) para referenciar entidades de serviço pelo ID do aplicativo em vez do nome de exibição.
-
Ativar gerenciamento automático de identidades:
Configure o Microsoft Entra ID e habilite o gerenciamento automático de identidades seguindo Configure o Microsoft Entra ID para o gerenciamento automático de identidades. Isso cria uma credencial federada em seu aplicativo SSO, concede as permissões de leitura necessárias do Microsoft Graph, habilita as declarações de grupo e ativa o gerenciamento automático de identidade. Aguarde 5 a 10 minutos para que a alteração se propague.
-
(Opcional) Configurar a lista de recusa de acesso à account. Use a lista de recusa de acesso à conta para restringir identidades específicas do Microsoft Entra ID de acessarem sua conta da Databricks. Consulte Negar acesso de identidades à sua account.
-
(Opcional) Notificar administradores do workspace. Compartilhe a visão geral do gerenciamento automático de identidades com os administradores do workspace para que entendam as mudanças de comportamento esperadas, incluindo o provisionamento just-in-time.
Após ativar o gerenciamento automático de identidades, conclua os passos de validação.
Migrar do provisionamento SCIM existente
Use este caminho se sua account do Databricks atualmente usa provisionamento SCIM no nível da account. A Databricks recomenda habilitar o gerenciamento automático de identidades juntamente com seu provisionamento SCIM existente e executar ambos em paralelo. É possível desativar o SCIM após validar que a gestão automática de identidades está funcionando corretamente.
O que muda quando o gerenciamento automático de identidades é habilitado?
Comportamento | Antes da gestão automática de identidades | Após o gerenciamento automático de identidade |
|---|---|---|
Origem da identidade | O SCIM envia usuários, grupos e entidades de serviço do Microsoft Entra ID para o endpoint SCIM da account em uma programação. | Databricks lê identidades diretamente do Microsoft Entra ID usando a Graph API. O provisionamento é just-in-time (JIT) na primeira utilização ou login. |
Associações de grupo | Somente para membros diretos. Grupos aninhados precisam ser nivelados no Microsoft Entra ID ou nas regras de escopo do SCIM. | Associações de grupo transitivas são expandidas automaticamente. |
Latência de sincronização da associação de grupo | Aguarde o próximo ciclo SCIM, que dura geralmente 40 minutos. | Login no navegador: até 5 minutos. Não-navegador (jobs, CLI, entidades de serviço): até 40 minutos. |
Provisionamento de entidade de serviço | As entidades de serviço são regidas por regras de escopo SCIM. | Entidades de serviço são provisionadas no primeiro uso autenticado. Não é necessário nenhum SCIM push. |
Renomeações de grupo no Microsoft Entra ID | O SCIM atualiza o nome de exibição no próximo ciclo de sincronização. | Nomes de grupo não são ressincronizados proativamente. Um administrador de conta ao abrir a página de detalhes do grupo no console da conta aciona um refresh. Você também pode chamar a API de |
Preparar para migração
Antes de habilitar o gerenciamento automático de identidades, configure a conexão do Microsoft Entra ID. Siga os passos de 1 a 4 em Configurar o Microsoft Entra ID para o Gerenciamento Automático de Identidades para criar a credencial federada, conceder as permissões de leitura do Microsoft Graph necessárias e habilitar as declarações de grupo e, então, execute Testar conexão no passo 5. Não clique em Habilitar AIM até que você conclua os passos de preparação abaixo.
-
Execute o script de preparação para ativação do gerenciamento automático de identidades da Base de Conhecimento do Databricks.
Este script identifica e resolve incompatibilidades de ID externa entre o Databricks e o Microsoft Entra ID, e identifica quais workspaces são federados por identidade.
O gerenciamento automático de identidades usa o Microsoft Entra ID objectId como o link de autoridade para sincronizar identidades. Se o externalId de uma entidade de segurança no Databricks não corresponder à sua objectId do Microsoft Entra ID, o gerenciamento automático de identidade poderá criar uma entidade de segurança duplicada. Execute o script de descoberta antes de habilitar o gerenciamento automático de identidades para identificar e corrigir quaisquer incompatibilidades.
-
Auditar as automações que fazem referência a entidades de serviço pelo nome de exibição.
Quando o gerenciamento automático de identidade está habilitado, o Databricks trata o Microsoft Entra ID como a fonte autoritativa e substitui os nomes de exibição personalizados da entidade de serviço pelos do Microsoft Entra ID. Para evitar interrupções nos fluxos de trabalho, atualize qualquer automação (como configurações do Terraform ou scripts) para referenciar entidades de serviço pelo ID do aplicativo em vez do nome de exibição.
-
(Opcional) Configurar a lista de recusa de acesso à account. Consulte Negar acesso de identidades à sua account.
-
(Opcional) Notificar administradores do workspace. Compartilhe a visão geral do gerenciamento automático de identidades com os administradores do workspace para que entendam as mudanças de comportamento esperadas, incluindo o provisionamento just-in-time.
Ativar o gerenciamento automático de identidades
Em Configurar o Microsoft Entra ID para gerenciamento automático de identidades, conclua o Passo 5 para definir a **ID do Cliente**, execute **Testar conexão** e clique em **Ativar o AIM**. Aguarde 5 a 10 minutos para que a alteração se propague.
Gestão automática de identidades e provisionamento SCIM funcionam em paralelo enquanto ambos estão ativos. O SCIM continua a gerenciar as identidades que provisionou originalmente. Após a validação do gerenciamento automático de identidades, poderá desabilitar o SCIM. Consulte desativar o provisionamento SCIM.
Validar a gestão automática de identidades
Após habilitar o gerenciamento automático de identidade, verifique se as identidades estão sendo sincronizadas corretamente.
Teste por função
Um usuário representativo de cada função deverá executar os seguintes testes.
Administrador da conta
-
Provisionar um usuário do console account:
- Vá para **Console da conta > Gerenciamento de usuários > Usuários** e clique em **Adicionar usuário**.
- Pesquise por um usuário no Microsoft Entra ID que não foi provisionado no Databricks
- Selecione o usuário e clique em Adicionar usuário .
- Confirme se o usuário aparece no Databricks com o status de **ativo**.
-
Provisione um grupo do console da conta:
- Vá para Console da conta > Gerenciamento de usuários > Grupos e clique em Adicionar grupo .
- Pesquise por um grupo no Microsoft Entra ID que não tenha sido provisionado no Databricks.
- Confirme se o grupo aparece no Databricks. Membros do grupo são provisionados Just-In-Time no momento em que fazem log in.
-
Verificar acesso ao workspace:
- Atribua o grupo d'o passo anterior a um workspace.
- Um membro desse grupo deve autenticar-se no workspace.
- Confirme se a autenticação é bem-sucedida e que o usuário é provisionado no Databricks e adicionado ao workspace.
Administrador do workspace
-
Provisionar um usuário do workspace:
- Acesse **Configurações > Identidade e Acesso > Gerenciar usuários** e clique em **Adicionar usuário**.
- Pesquise um usuário no Microsoft Entra ID que não foi provisionado no Databricks.
- Confirme se o usuário aparece com o status de ativo .
-
Provisionar um grupo do workspace:
- Abra um ativo do workspace como uma query ou um dashboard e clique em Compartilhar .
- Procure por um grupo no Microsoft Entra ID que não foi provisionamento no Databricks e compartilhe o ativo com aquele grupo.
- Confirme se o grupo está provisionado no Databricks.
- Instrua os membros desse grupo a se autenticarem no workspace e a verificarem se podem acessar o ativo compartilhado.
Verificar gerenciamento automático de identidade nos logs de auditoria
Consulte a tabela system.access.audit para confirmar que o gerenciamento automático de identidade está ativo. Uma contagem diferente de zero para eventos como add, addPrincipalToGroup, createGroup e updateUser confirma que as identidades estão sendo sincronizadas.
SELECT action_name, count(*) AS n
FROM system.access.audit
WHERE request_params.endpoint = 'autoUserCreation'
AND event_time > current_timestamp() - INTERVAL 2 DAYS
GROUP BY action_name
ORDER BY n DESC;
Para obter mais informações sobre eventos de auditoria de gerenciamento automático de identidade, consulte Auditoria de eventos de gerenciamento automático de identidade.
Desativar gerenciamento automático de identidade
Para saber como desativar o gerenciamento automático de identidade, consulte Desativar o gerenciamento automático de identidade.
Ao desativar a gestão automática de identidades após migrar do SCIM:
- As identidades criadas pelo gerenciamento automático de identidades permanecem no Databricks, mas não são mais sincronizadas com o Microsoft Entra ID.
- Associações de grupo que foram sincronizadas por gerenciamento automático de identidade não são mais usadas para resolver permissões. Usuários que anteriormente herdaram permissões por meio dessas associações a grupos perdem o acesso.
- Usuários que se autenticaram no Databricks enquanto o gerenciamento automático de identidade estava ativo podem continuar a acessar os dashboards que visualizaram anteriormente, mas suas associações de grupo não são atualizadas a partir do Microsoft Entra ID.
- Usuários que nunca acessaram a Databricks não podem acessá-la após o gerenciamento automático de identidade ser desabilitado, mesmo que pertençam a um grupo atribuído no Microsoft Entra ID.
O Databricks recomenda configurar o provisionamento SCIM antes de desativar o gerenciamento automático de identidades. Consulte Configurar o provisionamento SCIM usando o ID do Microsoft Entra (Azure Active Directory).
Desabilitar o provisionamento SCIM
Após validar o gerenciamento automático de identidades, é possível desativar opcionalmente o provisionamento SCIM. Desative o SCIM somente após confirmar que todas as seguintes condições sejam atendidas em seu ambiente:
- Sem grupos aninhados : sua estrutura de identidade não depende de associações de grupo aninhadas no Microsoft Entra ID.
- Alinhamento de IDs externos : Grupos foram replicados do Microsoft Entra ID usando o aplicativo Conector SCIM, então os valores
externalIdno Databricks correspondem aos valoresobjectIdcorrespondentes no Microsoft Entra ID. Utilize o Script de Descoberta de Instâncias do Cliente para identificar e resolver quaisquer incompatibilidades. - Sem modificações locais de associação : as associações de grupo foram gerenciadas apenas por meio do SCIM e não foram modificadas manualmente no Databricks. O script de descoberta de instância do cliente pode detectar associações modificadas localmente.
Se seu ambiente não atender a todas essas condições, o Databricks recomenda continuar a executar o provisionamento SCIM e o gerenciamento automático de identidades em paralelo.
Limitações conhecidas após desativar o SCIM
Associações de grupo persistentes sincronizadas via SCIM
As associações de grupo que foram sincronizadas pelo SCIM persistem depois que o SCIM é desativado. Por exemplo, se um grupo filho C estiver aninhado sob o grupo pai P no Microsoft Entra ID, e o relacionamento de C para P for posteriormente removido no Microsoft Entra ID, o usuário ainda poderá herdar permissões de P porque a associação permanece no Databricks. O Databricks recomenda limpar as participações diretas em grupos de grupos externos antes de desabilitar o SCIM.
Ambientes com estruturas de grupos aninhados
Para ambientes que usam estruturas de grupo aninhadas, o Databricks recomenda continuar executando o provisionamento SCIM juntamente com o gerenciamento automático de identidade para manter as associações de grupo aninhadas sincronizadas.
Associações de grupo modificadas manualmente
Se as associações de grupo tiverem sido editadas manualmente no Databricks, essas associações não serão sincronizadas com o Microsoft Entra ID depois que você desativar o SCIM e poderão se tornar desatualizadas com o tempo. Siga as instruções no script de preparação para a habilitação do gerenciamento automático de identidade da Base de Conhecimento do Databricks para identificar e corrigir associações de grupo modificadas manualmente antes de desabilitar o SCIM.
Considerações sobre a migração
Grupos aninhados devem ser explicitamente atribuídos a um workspace
Ao usar grupos de IDs Microsoft Entra aninhados, os grupos filhos não ficam automaticamente disponíveis para compartilhamento de recursos dentro de um workspace. Para conceder a um grupo filho permissões em objetos do workspace, como Notebook ou queries, é necessário atribuir esse grupo filho diretamente ao workspace, mesmo que o grupo pai já esteja atribuído.
Por exemplo, se o grupo pai P contiver o grupo filho C, e apenas P for atribuído ao workspace, C não poderá receber permissões sobre os recursos do workspace até que o próprio C também seja atribuído.
Membros do grupo são provisionados Just-In-Time
Ao contrário do SCIM, o gerenciamento automático de identidade não sincroniza proativamente as associações de grupo no Databricks. Membros do grupo são provisionados quando eles têm atividade no Databricks (por exemplo, fazendo login) ou quando um administrador de account ou administrador de workspace os adiciona explicitamente.
Usuários excluídos não são desativados imediatamente
Quando um usuário é excluído do Microsoft Entra ID, ele continua a aparecer como ativo no Databricks. Eles não conseguem log in, mas o status deles não é atualizado automaticamente.
Alterações de endereço de e-mail criam novos usuários
Se o endereço de email de um usuário for alterado no Microsoft Entra ID (por exemplo, alice@example.com se torna alice-new@example.com), o gerenciamento automático de identidade cria um novo usuário no Databricks em vez de atualizar o registro existente. Isso é consistente com o comportamento atual do SCIM. Para alterações de endereço de email, solicitamos que entre em contato com o Suporte da Databricks.
A API SCIM não retorna membros por meio de gerenciamento automático de identidade de provisionamento
A API SCIM GET /groups/{id} retorna apenas os membros do grupo provisionados por meio da interface de usuário do Databricks ou SCIM. Não retorna usuários que foram provisionados através da gestão automática de identidades ou usuários que existem no Microsoft Entra ID, mas que ainda não foram provisionados no Databricks.
As permissões do Unity Catalog exigem identidades provisionadas
As APIs de concessão de permissão do Unity Catalog não podem fazer referência a identidades que ainda não foram provisionadas no Databricks. Antes de conceder permissões a uma identidade, provisione-a usando a APIresolveByExternalId. Após a identidade ser provisionada, você pode conceder as permissões como de costume.
Funções que fazem referência a um principal por nome, como is_account_group_member(), também exigem que o principal seja provisionado primeiro.
Grupos locais do workspace não são gerenciados pelo gerenciamento automático de identidade
O gerenciamento automático de identidade não gerencia grupos locais do workspace. Grupos locais do workspace e suas permissões atribuídas continuam a funcionar, mas as atualizações de associação devem ser tratadas fora do gerenciamento automático de identidade.
A Databricks recomenda que se migrem os grupos locais do workspace para grupos de conta para que o gerenciamento automático de identidade possa gerenciar suas associações. Consulte Migrar grupos locais do workspace para grupos de account.