Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Este artigo descreve como configurar o provisionamento para Databricks usando Microsoft Entra ID (anteriormente Azure Active Directory).

O senhor pode configurar o provisionamento para Databricks usando Microsoft Entra ID no nível Databricks account ou no nível Databricks workspace .

Databricks Recomenda-se que o senhor provisione usuários, entidades de serviço e grupos para o nível account e gerencie a atribuição de usuários e grupos ao espaço de trabalho em Databricks. Seu espaço de trabalho deve estar habilitado para a federação de identidade, a fim de gerenciar a atribuição de usuários ao espaço de trabalho. Se o senhor tiver algum espaço de trabalho que não esteja habilitado para a federação de identidade, deve continuar a provisionar usuários, entidades de serviço e grupos diretamente para esse espaço de trabalho.

Para que um usuário faça login usando o Microsoft Entra ID, é necessário configurar o logon único do Okta para a Databricks. Para configurar o logon único, consulte SSO no console da sua conta Databricks.

provisionamento de identidades para seu Databricks account usando Microsoft Entra ID

O senhor pode sincronizar usuários e grupos de nível accountdo seu Entra ID Microsoft tenant para Databricks usando um conector de provisionamento SCIM.

Importante

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o nível account .

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ter a função de administrador do aplicativo cloud em Microsoft Entra ID.

  • Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

  • O senhor deve ser um administrador do Databricks account .

Passo 1: Configurar Databricks

  1. Databricks account log in Como Databricks account administrador do , acesse o console .

  2. Clique em Ícone de configurações do usuário Settings.

  3. Clique em Provisionamento de usuários.

  4. Clique em Set up user provisioning (Configurar provisionamento de usuários).

Copie os tokens SCIM e o URL account SCIM . O senhor as utilizará para configurar o aplicativo Microsoft Entra ID.

Observação

Os tokens SCIM são restritos ao account SCIM API /api/2.0/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outros Databricks REST APIs.

Passo 2: configurar o aplicativo corporativo

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estes passos para permitir que o Microsoft Entra ID sincronize usuários e grupos com o seu Databricks account. Essa configuração é separada de qualquer configuração que o senhor tenha criado para sincronizar usuários e grupos com o workspace.

  1. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications.

  2. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery ( Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).

  3. Digite um nome para o aplicativo e clique em Add (Adicionar).

  4. No menu gerenciar, clique em provisionamento.

  5. Defina o provisionamento Mode como Automático.

  6. Defina o URLSCIM API endpoint como o URL account SCIM que o senhor copiou anteriormente.

  7. Defina os tokens secretos como os tokens Databricks SCIM que o senhor gerou anteriormente.

  8. Clique em Test Connection (Testar conexão ) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.

  9. Clique em Salvar.

Passo 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para o Databricks account. Se o senhor tiver um espaço de trabalho Databricks existente, o Databricks recomenda adicionar todos os usuários e grupos existentes nesse espaço de trabalho ao aplicativo SCIM.

  1. Acesse gerenciar > Properties.

  2. Defina Assignment required como No. O site Databricks recomenda essa opção, que permite que todos os usuários façam login no site Databricks account.

  3. Vá para gerenciar > provisionamento.

  4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado.

  5. Clique em Salvar.

  6. Acesse gerenciar > Usuários e grupos.

  7. Clique em Add user/group (Adicionar usuário/grupo), selecione os usuários e grupos e clique no botão Assign (Atribuir ).

  8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

Os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados para o site Databricks account quando o Microsoft Entra ID programar a próxima sincronização.

Observação

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

provisionamento de identidades para seu Databricks workspace usando Microsoft Entra ID (legado)

Visualização

Este recurso está em visualização pública.

Se o senhor tiver algum espaço de trabalho não habilitado para a federação de identidade, deverá provisionar usuários, entidades de serviço e grupos diretamente para esse espaço de trabalho. Esta seção descreve como fazer isso.

Nos exemplos a seguir, substitua <databricks-instance> pelo URL do espaço de trabalho de sua implantação do Databricks.

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ter a função de administrador do aplicativo cloud em Microsoft Entra ID.

  • Seu Microsoft Entra ID account deve ser uma edição Premium account para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

  • O senhor deve ser um administrador do Databricks workspace .

Passo 1: Criar o aplicativo corporativo e conectá-lo à API Databricks SCIM

Para configurar o provisionamento diretamente para o espaço de trabalho Databricks usando o Microsoft Entra ID, o senhor cria um aplicativo corporativo para cada Databricks workspace.

Estas instruções informam ao senhor como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se o senhor tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft gráfico. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

  1. Como administrador do workspace, log in para o seu Databricks workspace.

  2. Crie um access tokenpessoal e copie-o. O senhor fornece esses tokens para Microsoft Entra ID em um passo subsequente.

    Importante

    Gere esses tokens como um administrador Databricks workspace que não seja gerenciado pelo aplicativo corporativo Entra ID Microsoft. Se o usuário administrador Databricks, proprietário do access token pessoal, for desprovisionado usando o Microsoft Entra ID, o aplicativo de provisionamento SCIM será desativado.

  3. No portal do Azure, vá para Microsoft Entra ID > Enterprise Applications.

  4. Clique em + New Application (Novo aplicativo ) acima da lista de aplicativos. Em Add from the gallery (Adicionar da galeria), pesquise e selecione Azure Databricks SCIM Provisioning Connector (Conector de provisionamento SCIM do Azure Databricks).

  5. Digite um nome para o aplicativo e clique em Add (Adicionar). Use um nome que ajude os administradores a encontrá-lo, como <workspace-name>-provisioning.

  6. No menu gerenciar, clique em provisionamento.

  7. Defina o provisionamento Mode como Automático.

  8. Digite o URL SCIM API endpoint . Acrescente /api/2.0/preview/scim ao URL workspace:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Substitua <databricks-instance> pelo URL do espaço de trabalho de sua implantação do Databricks. Consulte Obter identificadores para objetos do espaço de trabalho.

  9. Defina tokenss para os access tokens pessoal Databricks que você gerou na passo 1.

  10. Clique em Test Connection (Testar conexão ) e aguarde a mensagem que confirma que as credenciais estão autorizadas para ativar o provisionamento.

  11. Opcionalmente, insira uma notificação email para receber notificações de erros críticos com o SCIM provisionamento.

  12. Clique em Salvar.

Passo 2: Atribuir usuários e grupos ao aplicativo

  1. Acesse gerenciar > Properties.

  2. Defina Assignment required como Yes. A Databricks recomenda essa opção, que sincroniza apenas os usuários e grupos atribuídos ao aplicativo corporativo.

  3. Vá para gerenciar > provisionamento.

  4. Para começar a sincronizar os usuários e grupos do Microsoft Entra ID com o Databricks, defina a opção Status do provisionamento como Ativado.

  5. Clique em Salvar.

  6. Acesse gerenciar > Usuários e grupos.

  7. Clique em Add user/group (Adicionar usuário/grupo), selecione os usuários e grupos e clique no botão Assign (Atribuir ).

  8. Aguarde alguns minutos e verifique se os usuários e grupos existem no site Databricks account.

No futuro, os usuários e grupos que o senhor adicionar e atribuir serão automaticamente provisionados quando o Microsoft Entra ID programar a próxima sincronização.

Importante

Não atribua o Databricks workspace admin cujo access token pessoal foi usado para configurar o Azure Databricks SCIM provisionamento do aplicativo Connector.

(Opcional) Automatize o provisionamento do SCIM usando o Microsoft gráfico

Microsoft O gráfico inclui uma biblioteca de autenticação e autorização que pode ser integrada ao seu aplicativo para automatizar o provisionamento de usuários e grupos para o seu Databricks account ou espaço de trabalho, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com Microsoft gráfico. Anote o ID do aplicativo e o ID dotenant para o aplicativo

  2. Vá para a página Visão geral dos aplicativos. Nessa página:

    1. Configure um segredo de cliente para o aplicativo e anote o segredo.

    2. Conceda essas permissões ao aplicativo:

      • Application.ReadWrite.All

      • Application.ReadWrite.OwnedBy

  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.

  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

Dicas de provisionamento

  • Os usuários e grupos que existiam no site Databricks workspace antes de ativar o provisionamento apresentam o seguinte comportamento na sincronização do provisionamento:

    • São merge se também existem em Microsoft Entra ID

    • São ignorados se não existirem no Microsoft Entra ID

  • As permissões de usuário atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.

  • Usuários removidos de um Databricks workspace diretamente, usando a página de configurações de administração Databricks workspace :

    • O senhor perderá o acesso a esse Databricks workspace , mas ainda poderá ter acesso a outro espaço de trabalho Databricks.

    • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo corporativo.

  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após o senhor ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

  • Não é possível atualizar o nome de usuário ou o endereço email de um usuário Databricks workspace .

  • O grupo admins é um grupo reservado no Databricks e não pode ser removido.

  • O senhor pode usar a API do Databricks Groups ou a UI do Groups para obter uma lista de membros de qualquer grupo de espaço de trabalho do Databricks.

  • O senhor não pode sincronizar grupos aninhados ou <entra-service-principal>s do aplicativo Azure Databricks SCIM provisionamento Connector. Databricks Recomenda-se que o senhor use o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço em Databricks. No entanto, o senhor também pode usar o provedor Databricks Terraform ou scripts personalizados que têm como alvo a API do Databricks SCIM para sincronizar grupos aninhados ou <entra-service-principal>s.

Solução de problemas

Usuários e grupos não são sincronizados

  • Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector:

    • Para provisionamento em nível de workspace: Na página de configurações do administrador Databricks, verifique se o usuário Databricks cujo access token pessoal está sendo usado pelo aplicativo Connector de provisionamentoAzure Databricks SCIM ainda é um usuário administrador workspace em Databricks e se os tokens ainda são válidos.

    • Para provisionamento em nível account: No console account, verifique se os tokens Databricks SCIM que foram usados para configurar o provisionamento ainda são válidos.

  • Não tente sincronizar grupos aninhados, que não são compatíveis com o provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte este FAQ.

<entra-service-principal>s do not sync

  • O aplicativo Azure Databricks SCIM provisionamento Connector não suporta a sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se o senhor estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector: Após a sincronização inicial, o Microsoft Entra ID não é sincronizado imediatamente após o senhor alterar as atribuições de usuários ou grupos. Ele programa uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse gerenciar > provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização.

O intervalo de IP do serviço de provisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se o senhor precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory neste IP range file. Para obter mais informações, consulte IP Ranges.