Configurar o provisionamento SCIM para o Okta

Este artigo descreve como configurar o provisionamento Databricks usando o Okta. Seu Okta tenant deve estar usando o recurso Okta Lifecycle Management para provisionar usuários e grupos para Databricks.

Databricks recomenda que o senhor provisione usuários, entidades de serviço e grupos no nível account e atribua usuários e grupos ao espaço de trabalho usando a federação de identidade.

Para que um usuário possa acessar log in usando o Okta, o senhor deve configurar o logon único do Okta para Databricks. Consulte Configurar SSO em Databricks.

Visão geral do provisionamento SCIM para Okta

Databricks está disponível como um aplicativo de provisionamento na Rede de Integração Okta (OIN), permitindo que o senhor use o Okta para provisionar usuários e grupos com o Databricks automaticamente.

O aplicativo Okta da Databricks permite que o senhor:

  • Convidar usuários para uma account ou workspace do Databricks

  • Adicionar usuários convidados ou ativos a grupos

  • Desativar usuários existentes em uma account ou workspace do Databricks

  • Gerenciar grupos e associação a grupos

  • Atualizar e gerenciar perfis

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • O senhor deve ser um usuário desenvolvedor do Okta.

  • O senhor deve ser o administrador do Databricks account .

Configurar o provisionamento SCIM em nível de conta usando o Okta

Esta seção descreve como configurar um conector Okta SCIM para provisionar usuários e grupos para o seu account.

Obtenha os tokens SCIM e o URL account SCIM em Databricks

  1. account log in Como Databricks account administrador do , acesse o console .

    1. Clique em Ícone de configurações do usuário Settings.

    2. Clique em Provisionamento de usuários.

    3. Clique em Set up user provisioning (Configurar provisionamento de usuários).

      Copie os tokens SCIM e o URL account SCIM . O senhor os usará para configurar seu conector no Okta.

Observação

Os tokens SCIM são restritos ao account SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outros Databricks REST APIs.

Configurar o provisionamento SCIM no Okta

  1. Log in no portal de administração do Okta.

  2. Vá para Applications (Aplicativos ) e clique em Browse App Catalog (Navegar no catálogo de aplicativos).

  3. Procure a Databricks no Browse App Integration Catalog.

  4. Clique em Add integration (Adicionar integração).

  5. Em Add Databricks, configure o seguinte:

    • Em Application rótulo, digite um nome para o aplicativo.

    • Selecione Não exibir o ícone do aplicativo para os usuários.

    • Selecione Não exibir o ícone do aplicativo no aplicativo móvel Okta.

  6. Clique em Concluído.

  7. Clique em provisionamento e digite o seguinte:

    • Em Provisioning Base URL (URL da base de provisionamento), digite o URL do SCIM que o senhor copiou do Databricks.

    • Em provisionamento API tokens, insira os tokens SCIM que o senhor copiou de Databricks.

  8. Clique em Test API Credentials (Testar credenciais de API), verifique se a conexão foi bem-sucedida e clique em Save (Salvar).

  9. Recarregue o provisionamento tab. Configurações adicionais aparecem após um teste bem-sucedido das credenciais da API.

  10. Para configurar o comportamento ao enviar as alterações do Okta para Databricks, clique em provisionamento para o aplicativo.

    • Clique em Edit. Habilite o recurso de que o senhor precisa. A Databricks recomenda habilitar Create users (Criar usuários), Update user attributes (Atualizar atributos do usuário) e Deactivate users (Desativar usuários).

    • Em Databricks Attribute Mappings (Mapeamentos de atributos da Databricks), verifique seus mapeamentos de atributos da Databricks. Esses mapeamentos dependerão das opções que o senhor habilitou acima. O senhor pode adicionar e editar mapeamentos para atender às suas necessidades. Consulte Mapear atributos do aplicativo na página de provisionamento na documentação do Okta.

  11. Para configurar o comportamento ao enviar as alterações do Databricks para o Okta, clique em To Okta. As configurações do default funcionam bem para o provisionamento do Databricks. Se o senhor quiser atualizar as configurações do default e os mapeamentos de atributos, consulte provisionamento e desprovisionamento na documentação do Okta.

Testar a integração

Para testar a configuração, use o Okta para convidar um usuário para o site Databricks account.

  1. No Okta, vá para Aplicativos e clique em Databricks.

  2. Clique em provisionamento.

  3. Clique em Assign e depois em Assign to people.

  4. Procure um usuário Okta e clique em Assign (Atribuir).

  5. Confirme os detalhes do usuário, clique em Assign and go back (Atribuir e voltar) e, em seguida, clique em Done (Concluído).

  6. Log in no console da conta, clique em Icone de gerenciamento de usuários do console account Gerenciamento de usuários e confirme se o usuário foi adicionado.

Após esse teste simples, o senhor pode realizar operações em massa, conforme descrito em Use o Okta para gerenciar usuários e grupos em Databricks.

Use o Okta para gerenciar usuários e grupos no Databricks

Esta seção descreve as operações em massa que o senhor pode realizar usando o Okta SCIM provisionamento para o seu Databricks account.

Importar usuários do Databricks para o Okta

Para importar usuários do Databricks para o Okta, acesse Import tab e clique em Import Now (Importar agora). Será solicitado que o senhor revise e confirme as atribuições de todos os usuários que não forem automaticamente associados aos usuários existentes do Okta pelo endereço email.

Adicionar atribuições de usuários e grupos à sua conta Databricks

Para verificar ou adicionar atribuições de usuários e grupos, acesse Assignments (Atribuições ) tab. Databricks recomenda adicionar o grupo Okta chamado Everyone ao aplicativo de provisionamento account-level SCIM. Isso sincroniza todos os usuários da sua organização com o site Databricks account.

Enviar grupos para o Databricks

Para enviar grupos do Okta para Databricks, acesse Push Groups tab. Os usuários que já existem em Databricks são correspondidos pelo endereço email.

Excluir um usuário ou grupo da conta

Se o senhor excluir um usuário do aplicativo account-level Databricks no Okta, o usuário será excluído no Databricks account e perderá o acesso a todos os espaços de trabalho, estejam eles habilitados ou não para a federação de identidade.

Se o senhor excluir um grupo do aplicativo account-level Databricks no Okta, todos os usuários desse grupo serão excluídos do account e perderão o acesso a qualquer espaço de trabalho ao qual tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto ao account ou a qualquer espaço de trabalho). Databricks Recomenda que o senhor não exclua os grupos de nível account, a menos que queira que eles percam o acesso a todos os espaços de trabalho no account.

Esteja ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks

    • Os jobs pertencentes ao usuário não vão funcionar

    • Os clusters pertencentes ao usuário serão interrompidos

    • As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Solução de problemas e dicas

  • Os usuários sem nome ou sobrenome em seus perfis do Databricks não podem ser importados para o Okta como novos usuários.

  • Usuários que existiam no Databricks antes da configuração do provisionamento:

    • São automaticamente vinculados a um usuário do Okta se já existirem no Okta e são combinados com base no endereço email (nome de usuário).

    • Pode ser vinculado manualmente a um usuário existente ou criado como um novo usuário no Okta se não for correspondido automaticamente.

  • As permissões de usuário que são atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.

  • O senhor não pode renomear grupos no Databricks; não tente renomeá-los no Okta.

  • O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.