Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)
Este artigo descreve como configurar o provisionamento para o site Databricks account usando o Microsoft Entra ID.
Databricks Recomenda-se que o senhor provisione usuários, entidades de serviço e grupos para o nível account e gerencie a atribuição de usuários e grupos ao espaço de trabalho em Databricks. Seu espaço de trabalho deve estar habilitado para a federação de identidade, a fim de gerenciar a atribuição de usuários ao espaço de trabalho.
Para que um usuário possa log in usar o Microsoft Entra ID, o senhor deve configurar o logon único do Microsoft Entra ID para Databricks. Consulte Configurar SSO em Databricks.
provisionamento de identidades para seu Databricks account usando Microsoft Entra ID
O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.
Importante
Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o nível account .
Requisitos
Sua account Databricks deve ter o plano Premium ouacima.
O senhor deve ter a função de administrador do aplicativo cloud em Microsoft Entra ID.
Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
O senhor deve ser um administrador do Databricks account .
Configure o logon único para que os usuários acessem log in e Databricks usando o ID Entra de Microsoft. Consulte Configurar SSO em Databricks.
Passo 1: Configurar Databricks
Databricks account log in Como Databricks account administrador do , acesse o console .
Clique em Settings.
Clique em Provisionamento de usuários.
Clique em Set up user provisioning (Configurar provisionamento de usuários).
Copie os tokens SCIM e o URL account SCIM . O senhor as utilizará para configurar o aplicativo Microsoft Entra ID.
Observação
Os tokens SCIM são restritos ao account SCIM API /api/2.1/accounts/{account_id}/scim/v2/
e não podem ser usados para autenticação em outros Databricks REST APIs.
Passo 2: configurar o aplicativo corporativo
Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.
Siga estes passos para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.
No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications.
Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).
Digite um nome para o aplicativo e clique em Add (Adicionar).
No menu gerenciar, clique em provisionamento.
Defina o provisionamento Mode como Automático.
Defina o URLSCIM API endpoint como o URL account SCIM que o senhor copiou anteriormente.
Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.
Clique em Test Connection (Testar conexão ) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.
Clique em Salvar.
Passo 3: Atribuir usuários e grupos ao aplicativo
Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.
Acesse gerenciar > Properties.
Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.
Vá para gerenciar > provisionamento.
Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado.
Clique em Salvar.
Acesse gerenciar > Usuários e grupos.
Clique em Add user/group (Adicionar usuário/grupo), selecione os usuários e grupos e clique no botão Assign (Atribuir ).
Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.
Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.
Observação
Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.
Dicas de provisionamento
Os usuários e grupos que existiam no site Databricks workspace antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:
São merge se também existem em Microsoft Entra ID
São ignorados se não existirem no Microsoft Entra ID
As permissões de usuário atribuídas individualmente que são duplicadas pela participação em um grupo permanecem mesmo após a remoção da associação ao grupo para o usuário.
Usuários removidos de um Databricks workspace diretamente, usando a página de configurações de administração Databricks workspace :
O senhor perderá o acesso a esse Databricks workspace , mas ainda poderá ter acesso a outro espaço de trabalho Databricks.
Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo corporativo.
A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
Não é possível atualizar o nome de usuário ou o endereço email de um usuário Databricks workspace .
O grupo
admins
é um grupo reservado no Databricks e não pode ser removido.O senhor pode usar a API do Databricks Groups ou a UI do Groups para obter uma lista de membros de qualquer grupo de espaço de trabalho do Databricks.
O senhor não pode sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço a partir do aplicativo Azure Databricks SCIM provisionamento Connector. Databricks Recomenda-se usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o senhor também pode usar o provedorDatabricks Terraform ou scripts personalizados que tenham como alvo o provedor Databricks SCIM API para sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço.
As atualizações de nomes de grupos no Microsoft Entra ID não são sincronizadas com o Databricks.
Os parâmetros
userName
eemails.value
devem corresponder. Uma incompatibilidade pode fazer com que o Databricks rejeite as solicitações de criação de usuários do aplicativo Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mail com alias, talvez seja necessário alterar o mapeamento default SCIM do aplicativo corporativo para usaruserPrincipalName
em vez demail
.
(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico
Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.
Siga as instruções para registrar um aplicativo com Microsoft gráfico. Anote o ID do aplicativo e o ID dotenant para o aplicativo
Vá para a página Visão geral dos aplicativos. Nessa página:
Configure um segredo de cliente para o aplicativo e anote o segredo.
Conceda essas permissões ao aplicativo:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.
Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.
Solução de problemas
Usuários e grupos não são sincronizados
Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector:
No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.
Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte esta FAQ.
Microsoft Entra ID entidade de serviço do not sync
O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.
Após a sincronização inicial, os usuários e grupos param de sincronizar
Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector: Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização.
O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível
O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory
neste arquivo de intervalo de IP. Para obter mais informações, consulte IP Ranges.