Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Esta página descreve como configurar o provisionamento para a account Databricks usando o ID Microsoft Entra.

Você também pode sincronizar usuários e grupos do Microsoft Entra ID usando o gerenciamento automático de identidade. O gerenciamento automático de identidades não exige que você configure um aplicativo no Microsoft Entra ID. Também suporta a sincronização da entidade de serviço Microsoft Entra ID e grupos aninhados com o Databricks, o que não é suportado usando o provisionamento SCIM . Para mais informações, consulte Gestão automática de identidades.

Os usuários do Databricks podem se autenticar usando o Microsoft Entra ID se você configurar o logon único. Consulte Configurar SSO no Databricks. Se SSO não estiver configurado, os usuários que utilizam Microsoft Entray ID podem se autenticar com sua account do Google Cloud Identity (ou account do G Suite).

provisionamento de identidades para seu Databricks account usando Microsoft Entra ID

O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.

importante

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o accountnível.

Requisitos

• Seu Databricks account deve ter o plano Premium.
• O senhor deve ter a função Cloud Application Administrator no Microsoft Entra ID.
• Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
• O senhor deve ser um administrador do Databricks account .

Etapa 1: Configurar Databricks

1. Databricks account log in Como Databricks account administrador do , acesse o console.
2. Clique em Segurança .
3. Clique em Provisionamento de usuário .
4. Clique em Set up user provisioning (Configurar provisionamento de usuários ).

Copie os tokens SCIM e o URL da conta SCIM. O senhor os utilizará para configurar o aplicativo Microsoft Entra ID.

nota

Os tokens SCIM são restritos à conta SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras contas Databricks REST APIs.

Etapa 2: configurar o aplicativo corporativo

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.

1. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications .
2. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).
3. Insira um nome para o aplicativo e clique em Adicionar .
4. No menu gerenciar , clique em provisionamento .
5. Defina o provisionamento Mode como Automático.
6. Defina o URLSCIM API endpoint como o URL da conta SCIM que o senhor copiou anteriormente.
7. Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.
8. Clique em Test Connection (Testar conexão) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.
9. Clique em Salvar .

Etapa 3: atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o aplicativo Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.

1. Acesse gerenciar > Properties .
2. Defina Assignment required como No . O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.
3. Vá para gerenciar > provisionamento .
4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado .
5. Clique em Salvar .
6. Acesse gerenciar > Usuários e grupos .
7. Clique em Adicionar usuário/grupo , selecione os usuários e grupos e clique no botão Atribuir .
8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.

nota

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Dicas de provisionamento

• Os usuários e grupos que existiam no site Databricks account antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:

  • Os usuários e grupos serão mesclados se também existirem em Microsoft Entra ID.
  • Os usuários e grupos são ignorados se não existirem no Microsoft Entra ID. Os usuários que não existem no Microsoft Entra ID não podem log in para Databricks.

• As permissões de usuário atribuídas individualmente que são duplicadas pela participação em um grupo permanecem mesmo após a remoção da associação ao grupo para o usuário.

• A remoção direta de usuários de um Databricks account usando o console account tem os seguintes efeitos:

  • O usuário removido perde o acesso a esse Databricks account e a todo o espaço de trabalho no account.
  • O usuário removido não será sincronizado novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneça no aplicativo corporativo.

• A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

• Não é possível atualizar o endereço email de um usuário Databricks. Se precisar atualizar um endereço email, entre em contato com a equipe Databricks account .

• O senhor não pode sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço a partir do aplicativo Azure Databricks SCIM provisionamento Connector . Databricks Recomenda-se usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o Databricks Terraform senhor também pode usar o provedor ou scripts personalizados que tenham como alvo o provedor para Databricks SCIM API sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço.

• As atualizações de nomes de grupos no Microsoft Entra ID não são sincronizadas com o Databricks.

• Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode fazer com que o Databricks rejeite as solicitações de criação de usuário do aplicativo Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mail com alias, talvez seja necessário alterar o mapeamento default SCIM do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico

Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.

1. Siga as instruções para registrar um aplicativo no site Microsoft gráfico. Anote o ID do aplicativo e o ID do locatário para o aplicativo

2. Acesse a página de visão geral dos aplicativos. Nessa página:

   1. Configure um segredo de cliente para o aplicativo e anote o segredo.
   2. Conceda ao aplicativo as seguintes permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy

3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.

4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

Solução de problemas

Usuários e grupos não sincronizam

• Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector :

  • No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.

• Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte esta página.

Microsoft Entra ID entidade de serviço do not sync

• O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector : Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização .

O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento de IDs do Microsoft Entra opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory nos intervalos de IP Azure e tags de serviço – arquivo de nuvem pública. Faça o download no site download Microsoft. Use a tag de serviço AzureActiveDirectory , não uma subtag como AzureActiveDirectory.ServiceEndpoint. Os intervalos de IP das subtags não incluem todos os IPs do tráfego de provisionamento SCIM. Para mais informações, consulte Intervalos de IP.