Pular para o conteúdo principal

Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Este artigo descreve como configurar o provisionamento para o site Databricks account usando o Microsoft Entra ID.

Databricks Os usuários se autenticam no account e workspace com sua identidade do Google Cloud account (ou GSuite account), consulte Login único. Se você provisionar um usuário para account ou workspace usando um ID do Microsoft, esse usuário também deverá possuir um account do Google Cloud Identity para se autenticar.

provisionamento de identidades para seu Databricks account usando Microsoft Entra ID

O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.

important

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o accountnível.

Requisitos

  • Seu Databricks account deve ter o plano Premium.
  • O senhor deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • O senhor deve ser um administrador do Databricks account .

Etapa 1: Configurar Databricks

  1. Databricks account log in Como Databricks account administrador do , acesse o console.
  2. Clique em Ícone de configurações do usuário Configurações .
  3. Clique em Provisionamento de usuários .
  4. Clique em Set up user provisioning (Configurar provisionamento de usuários ).

Copie os tokens SCIM e o URL da conta SCIM. O senhor os utilizará para configurar o aplicativo Microsoft Entra ID.

nota

Os tokens SCIM são restritos à conta SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras contas Databricks REST APIs.

Etapa 2: configurar o aplicativo corporativo

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.

  1. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications .
  2. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).
  3. Insira um nome para o aplicativo e clique em Adicionar .
  4. No menu gerenciar , clique em provisionamento .
  5. Defina o provisionamento Mode como Automático.
  6. Defina o URLSCIM API endpoint como o URL da conta SCIM que o senhor copiou anteriormente.
  7. Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.
  8. Clique em Test Connection (Testar conexão) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.
  9. Clique em Salvar .

Etapa 3: atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o aplicativo Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.

  1. Acesse gerenciar > Properties .
  2. Defina Assignment required como No . O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.
  3. Vá para gerenciar > provisionamento .
  4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado .
  5. Clique em Salvar .
  6. Acesse gerenciar > Usuários e grupos .
  7. Clique em Adicionar usuário/grupo , selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.

nota

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam no site Databricks account antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:

    • Os usuários e grupos serão mesclados se também existirem em Microsoft Entra ID.
    • Os usuários e grupos são ignorados se não existirem no Microsoft Entra ID. Os usuários que não existem no Microsoft Entra ID não podem log in para Databricks.

  • As permissões de usuário atribuídas individualmente que são duplicadas pela participação em um grupo permanecem mesmo após a remoção da associação ao grupo para o usuário.

  • A remoção direta de usuários de um Databricks account usando o console account tem os seguintes efeitos:

    • O usuário removido perde o acesso a esse Databricks account e a todo o espaço de trabalho no account.
    • O usuário removido não será sincronizado novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneça no aplicativo corporativo.

  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

  • Não é possível atualizar o endereço email de um usuário Databricks. Se precisar atualizar um endereço email, entre em contato com a equipe Databricks account .

  • O senhor não pode sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço a partir do aplicativo Azure Databricks SCIM provisionamento Connector . Databricks Recomenda-se usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o Databricks Terraform senhor também pode usar o provedor ou scripts personalizados que tenham como alvo o provedor para Databricks SCIM API sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço.

  • As atualizações de nomes de grupos no Microsoft Entra ID não são sincronizadas com o Databricks.

  • Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode fazer com que o Databricks rejeite as solicitações de criação de usuário do aplicativo Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mail com alias, talvez seja necessário alterar o mapeamento default SCIM do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico

Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo no site Microsoft gráfico. Anote o ID do aplicativo e o ID do locatário para o aplicativo

  2. Acesse a página de visão geral dos aplicativos. Nessa página:

    1. Configure um segredo de cliente para o aplicativo e anote o segredo.
    2. Conceda ao aplicativo as seguintes permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy

  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.

  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

Solução de problemas

Usuários e grupos não sincronizam

  • Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector :

    • No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.

  • Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte esta página.

Microsoft Entra ID entidade de serviço do not sync

  • O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector : Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização .

O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se o senhor precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory no arquivo Azure IP Ranges and serviço Tags - Public Cloud. Faça o download no siteMicrosoft download. Para obter mais informações, consulte IP Ranges.

Última atualização em