Configure o Microsoft Entra ID para gerenciamento automático de identidade.
Visualização
Este recurso está em Pré-visualização Pública.
Esta página descreve como configurar Microsoft Entra ID para provisionar usuários, grupos e entidades de serviço para sua account Databricks usando o gerenciamento automático de identidade. Databricks utiliza a API gráfica Microsoft para ler dados de usuários, grupos, entidades de serviço e associação a grupos do seu tenant Microsoft Entra ID. Para habilitar o gerenciamento automático de identidades, você deve registrar um novo aplicativo Microsoft Entra ID com credenciais federadas e conceder permissões de leitura em seu aplicativo SSO .
Antes de começar
- Você precisa ser um administrador account no Databricks.
- Você precisa ter acesso de administrador do Microsoft Entra ID.
- Você precisa ter SSO configurado usando OIDC com o mesmo tenant Microsoft Entra ID.
Se você não tiver SSO configurado usando OIDC ou precisar usar um tenant de ID Microsoft Entra diferente, entre em contato com a equipe da sua account Databricks .
Passo 1: Encontre seu aplicativo SSO
Localize o aplicativo Microsoft Entra ID usado para configurar SSO para sua account Databricks . Você usará este aplicativo durante os passos restantes.
- No portal Azure , acesse Microsoft Entry ID > Gerenciar > Registros de aplicativos > Todos os aplicativos e procure o aplicativo que foi usado para configurar SSO para sua account Databricks .
- Na página de visão geral, observe o ID do aplicativo . Você usará esse valor na etapa 5.
o passo 2: Criar uma credencial federada
Crie uma credencial federada que permita ao Databricks autenticar-se como sua aplicação SSO.
- Como administrador da conta, faça login no console da conta.
- Na barra lateral, clique em Segurança .
- Clique na tab Provisionamento de usuários e, em seguida, clique em Configurar na seção Gerenciamento automático de identidade .
- Na caixa de diálogo, observe os valores de Emissor e Sujeito exibidos.
- No portal Azure , navegue até o registro do aplicativo SSO a partir da etapa 1.
- Clique em gerenciar > Certificados e segredos .
- Selecione a tab Credenciais federadas e clique em Adicionar credencial .
- Defina o cenário de credenciais federadas como Outro emissor .
- Em "Emissor" , insira o valor obtido no console account Databricks .
- Em Tipo , selecione Identificador de assunto explícito .
- Em Valor , insira o valor do Assunto (Subject) do console account Databricks .
- Em Detalhes da credencial , insira um nome . Deixe todos os outros valores inalterados e clique em Adicionar .
o passo 3: Conceder permissões de leitura
Um administrador do Microsoft Entra ID deve conceder as seguintes permissões em nível de aplicativo ao seu aplicativo SSO:
Permissão | Propósito |
|---|---|
| Permite que o Databricks consulte usuários e leia seus atributos. |
| Permite que o Databricks consulte grupos e leia seus atributos. |
| Permite que Databricks consulte entidade de serviço e leia seus atributos |
| Permite que o Databricks consulte as associações de grupo. |
Para conceder permissões:
- No portal Azure , navegue até o registro do aplicativo SSO na etapa 1 e clique em Gerenciar > PermissõesAPI > Adicionar uma permissão .
- Selecione Microsoft Gráfico > Permissões de Aplicativos e, em seguida, pesquise e selecione cada permissão listada acima.
- Clique em "Conceder consentimento de administrador" .
Após atribuir permissões, você poderá ver mensagens de aviso do tipo "Não concedido para…". Um administrador do Microsoft Entra ID deve clicar em "Conceder consentimento de administrador " para remover esses avisos. Este botão só é visível para administradores com as funções necessárias.
o passo 4: Habilitar reivindicações de grupo
Habilitar as declarações de grupo permite que Databricks recupere as associações de grupo a partir dos tokens OAuth SSO durante o login.
- No portal Azure , navegue até o registro do aplicativo SSO a partir da etapa 1.
- Clique em Gerenciar > Configuração de tokens > Adicionar declaração de grupos .
- Selecione Todos os grupos e clique em Adicionar .
o passo 5: Habilitar o gerenciamento automático de identidades no Databricks
-
Como administrador da conta, faça login no console da conta.
-
Na barra lateral, clique em Segurança .
-
Clique na tab Provisionamento de usuários e, em seguida, clique em Configurar na seção Gerenciamento automático de identidade .
-
Defina o ID do cliente como o ID do aplicativo SSO da etapa 1.
-
Clique em Testar conexão . Se as credenciais e permissões federadas estiverem configuradas corretamente, o teste será aprovado.
-
Clique em Ativar AIM .
As alterações levam de cinco a dez minutos para entrar em vigor.
ID externo do Databricks e ID do objeto Microsoft Entra
O Databricks usa o ID do Microsoft Entra ObjectId como o link autorizado para sincronizar identidades e associações de grupo e atualiza automaticamente o campo externalId para corresponder ao ObjectId em um fluxo recorrente diário. A Databricks recomenda não misturar métodos de provisionamento. Adicionar a mesma identidade por meio do gerenciamento automático de identidades e do provisionamento SCIM causa entradas duplicadas e conflitos de permissão. Utilize o gerenciamento automático de identidade como a única fonte de verdade, com as associações de grupo espelhando o Microsoft Entra ID.
Você pode merge essas identidades duplicadas fornecendo seus IDs externos no Databricks. Use a API de contas Users, contas entidade de serviço ou contas Groups para atualizar o principal para adicionar seu ID Microsoft Entra objectId no campo externalId .
Como o externalId pode ser atualizado ao longo do tempo, Databricks recomenda fortemente que você não use fluxo de trabalho personalizado que dependa do campo externalId .