Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Este artigo descreve como configurar o provisionamento para o site Databricks account usando o Microsoft Entra ID.

Databricks Recomenda-se que o senhor provisione usuários, entidades de serviço e grupos para o nível account e gerencie a atribuição de usuários e grupos ao espaço de trabalho em Databricks. Seu espaço de trabalho deve estar habilitado para a federação de identidade, a fim de gerenciar a atribuição de usuários ao espaço de trabalho.

Para que um usuário possa log in usar o Microsoft Entra ID, o senhor deve configurar o logon único do Microsoft Entra ID para Databricks. Consulte Configurar SSO em Databricks.

provisionamento de identidades para seu Databricks account usando Microsoft Entra ID

O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.

Importante

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o nível account .

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ter a função de administrador do aplicativo cloud em Microsoft Entra ID.

  • Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

  • O senhor deve ser um administrador do Databricks account .

  • Configure o logon único para que os usuários acessem log in e Databricks usando o ID Entra de Microsoft. Consulte Configurar SSO em Databricks.

Passo 1: Configurar Databricks

  1. Databricks account log in Como Databricks account administrador do , acesse o console .

  2. Clique em Ícone de configurações do usuário Settings.

  3. Clique em Provisionamento de usuários.

  4. Clique em Set up user provisioning (Configurar provisionamento de usuários).

Copie os tokens SCIM e o URL account SCIM . O senhor as utilizará para configurar o aplicativo Microsoft Entra ID.

Observação

Os tokens SCIM são restritos ao account SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outros Databricks REST APIs.

Passo 2: configurar o aplicativo corporativo

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estes passos para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.

  1. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications.

  2. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).

  3. Digite um nome para o aplicativo e clique em Add (Adicionar).

  4. No menu gerenciar, clique em provisionamento.

  5. Defina o provisionamento Mode como Automático.

  6. Defina o URLSCIM API endpoint como o URL account SCIM que o senhor copiou anteriormente.

  7. Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.

  8. Clique em Test Connection (Testar conexão ) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.

  9. Clique em Salvar.

Passo 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.

  1. Acesse gerenciar > Properties.

  2. Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.

  3. Vá para gerenciar > provisionamento.

  4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado.

  5. Clique em Salvar.

  6. Acesse gerenciar > Usuários e grupos.

  7. Clique em Add user/group (Adicionar usuário/grupo), selecione os usuários e grupos e clique no botão Assign (Atribuir ).

  8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.

Observação

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam no site Databricks workspace antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:

    • São merge se também existem em Microsoft Entra ID

    • São ignorados se não existirem no Microsoft Entra ID

  • As permissões de usuário atribuídas individualmente que são duplicadas pela participação em um grupo permanecem mesmo após a remoção da associação ao grupo para o usuário.

  • Usuários removidos de um Databricks workspace diretamente, usando a página de configurações de administração Databricks workspace :

    • O senhor perderá o acesso a esse Databricks workspace , mas ainda poderá ter acesso a outro espaço de trabalho Databricks.

    • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo corporativo.

  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

  • Não é possível atualizar o nome de usuário ou o endereço email de um usuário Databricks workspace .

  • O grupo admins é um grupo reservado no Databricks e não pode ser removido.

  • O senhor pode usar a API do Databricks Groups ou a UI do Groups para obter uma lista de membros de qualquer grupo de espaço de trabalho do Databricks.

  • O senhor não pode sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço a partir do aplicativo Azure Databricks SCIM provisionamento Connector. Databricks Recomenda-se usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o senhor também pode usar o provedorDatabricks Terraform ou scripts personalizados que tenham como alvo o provedor Databricks SCIM API para sincronizar grupos aninhados ou Microsoft Entra ID entidade de serviço.

  • As atualizações de nomes de grupos no Microsoft Entra ID não são sincronizadas com o Databricks.

  • Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode fazer com que o Databricks rejeite as solicitações de criação de usuários do aplicativo Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mail com alias, talvez seja necessário alterar o mapeamento default SCIM do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico

Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com Microsoft gráfico. Anote o ID do aplicativo e o ID dotenant para o aplicativo

  2. Vá para a página Visão geral dos aplicativos. Nessa página:

    1. Configure um segredo de cliente para o aplicativo e anote o segredo.

    2. Conceda essas permissões ao aplicativo:

      • Application.ReadWrite.All

      • Application.ReadWrite.OwnedBy

  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.

  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

Solução de problemas

Usuários e grupos não são sincronizados

  • Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector:

    • No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.

  • Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte esta FAQ.

Microsoft Entra ID entidade de serviço do not sync

  • O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector: Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização.

O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory neste arquivo de intervalo de IP. Para obter mais informações, consulte IP Ranges.