Configurar o provisionamento do SCIM para o OneLogin
Este artigo descreve como configurar o provisionamento Databricks usando o Onelogin.
O senhor pode configurar o provisionamento no nível Databricks account ou no nível Databricks workspace .
Databricks recomenda que o senhor provisione usuários, entidades de serviço e grupos no nível account e atribua usuários e grupos ao espaço de trabalho usando a federação de identidade. Se o senhor tiver algum espaço de trabalho que não esteja habilitado para a federação de identidade, deverá continuar a provisionar usuários, entidades de serviço e grupos diretamente para esse espaço de trabalho.
Para saber mais sobre o provisionamento SCIM em Databricks, incluindo uma explicação do impacto da federação de identidade no provisionamento e conselhos sobre quando usar o provisionamento de nível accounte de nível workspace, consulte Sincronizar usuários e grupos do seu provedor de identidade.
Para que um usuário acesse log in usando o OneLogin, o senhor deve configurar o logon único do Okta para Databricks. Para configurar o logon único, consulte SSO no console da sua conta Databricks.
Requisitos
Sua account Databricks deve ter o plano Premium ouacima.
Para configurar o provisionamento para seu Databricks account, o senhor deve ser um administrador do Databricks account .
Para configurar o provisionamento para um Databricks workspace, o senhor deve ser um administrador do Databricks workspace .
Seu OneLogin account deve ser compatível com o provisionamento.
O senhor deve ser um Super User ou account Owner do seu OneLogin account.
Databricks recomenda que o senhor leia os artigos do OneLogin, What is User provisionamento and Deprovisioning?
Configure o logon único para que os usuários acessem log in em Databricks usando o OneLogin. Consulte SSO no console da sua conta Databricks.
Configurar o provisionamento SCIM em nível de conta usando o OneLogin
Esta seção descreve como configurar um conector do OneLogin SCIM para provisionar usuários e grupos para o seu account.
Obtenha os tokens SCIM e o URL account SCIM em Databricks
account log in Como Databricks account administrador do , acesse o console .
Clique em Settings.
Clique em Provisionamento de usuários.
Clique em Set up user provisioning (Configurar provisionamento de usuários).
Copie os tokens SCIM e o URL account SCIM . O senhor os usará para configurar o conector no OneLogin.
Observação
Os tokens SCIM são restritos ao account SCIM API /api/2.0/accounts/{account_id}/scim/v2/
e não podem ser usados para autenticação em outros Databricks REST APIs.
Configurar o aplicativo de provisionamento do OneLogin SCIM
log in para o OneLogin como Super User ou account Owner e inicie o console de administração do OneLogin.
Vá para Applications (Aplicativos ) e clique em Add App (Adicionar aplicativo).
Procure e selecione SCIM Provisioner with SAML (SCIM v2 Core).
Clique em Salvar. A nova guia de configuração aparece à esquerda.
Clique em Configuração.
No subdomínioDatabricks , digite o URL account SCIM .
No campo SCIM Bearer tokens, digite o Databricks pessoal access token.
Em API Connection (Conexão de API), clique em Enable (Ativar). O aplicativo se autentica na Databricks.
Vá para provisionamento para ativar e configurar o provisionamento.
Em fluxo de trabalho, selecione Habilitar provisionamento.
Configure se será necessária a aprovação do administrador para criar, excluir ou atualizar um usuário.
Observação
A Databricks recomenda que o senhor ative a aprovação do administrador para todas as operações como uma proteção inicial, para que não acione o provisionamento automático para seus usuários antes que a configuração e o teste tenham sido concluídos. Depois de testar e verificar se o provisionamento está funcionando como esperado, o senhor pode definir essas configurações para substituir a aprovação do administrador.
Configure o comportamento no Databricks quando um usuário for excluído do OneLogin:
Não fazer nada não modifica o usuário no Databricks.
Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
Delete exclui o usuário em Databricks e arquiva o recurso do usuário. Isso não é reversível.
Configure o comportamento no Databricks quando um usuário for suspenso no OneLogin.
Não fazer nada não modifica o usuário no Databricks.
Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
Em Entitlements (Direitos), clique em refresh. No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos do OneLogin para o Databricks.
Clique em Salvar.
Continue em Use o OneLogin para gerenciar usuários e grupos em Databricks para provisionar usuários e grupos em seu Databricks account.
Configurar o provisionamento SCIM em nível de espaço de trabalho usando o OneLogin (legado)
Visualização
Este recurso está em visualização pública.
Ao seguir essas passos, logs na página de configurações de administração do Databricks em uma guia do navegador e logs no console de administração do OneLogin em outra.
Gerar um Databricks pessoal access token
Como administrador do Databricks workspace , gere um access token pessoal. Consulte Gerenciamento de tokens. Armazene o access token pessoal em um local seguro. O OneLogin usará esse access token pessoal para se autenticar em Databricks.
Importante
O usuário que possui esse access token pessoal não deve ser gerenciar dentro do OneLogin. Caso contrário, a remoção do usuário do OneLogin interromperia a integração com o SCIM.
Configurar o aplicativo de provisionamento do OneLogin SCIM
log in para o OneLogin como Super User ou account Owner e inicie o console de administração do OneLogin.
Vá para Applications (Aplicativos ) e clique em Add App (Adicionar aplicativo).
Procure e selecione SCIM Provisioner with SAML (SCIM v2 Core).
Clique em Salvar. A nova guia de configuração aparece à esquerda.
Clique em Configuração.
No subdomínio do Databricks, digite
https://<databricks-instance>/api/2.0/preview/scim/v2
. Substitua<databricks-instance>
pelo URL do espaço de trabalho de sua implantação do Databricks. Consulte Obter identificadores para objetos do espaço de trabalho.No campo SCIM Bearer tokens, digite o Databricks pessoal access token.
Em API Connection (Conexão de API), clique em Enable (Ativar). O aplicativo se autentica na Databricks.
Vá para provisionamento para ativar e configurar o provisionamento.
Em fluxo de trabalho, selecione Habilitar provisionamento.
Configure se será necessária a aprovação do administrador para criar, excluir ou atualizar um usuário.
Observação
A Databricks recomenda que o senhor ative a aprovação do administrador para todas as operações como uma proteção inicial, para que não acione o provisionamento automático para seus usuários antes que a configuração e o teste tenham sido concluídos. Depois de testar e verificar se o provisionamento está funcionando como esperado, o senhor pode definir essas configurações para substituir a aprovação do administrador.
Configure o comportamento no Databricks quando um usuário for excluído do OneLogin:
Não fazer nada não modifica o usuário no Databricks.
Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
Delete exclui o usuário em Databricks e arquiva o recurso do usuário. Isso não é reversível.
Configure o comportamento no Databricks quando um usuário for suspenso no OneLogin.
Não fazer nada não modifica o usuário no Databricks.
Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
Em Entitlements (Direitos), clique em refresh. No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos do OneLogin para o Databricks.
Clique em Salvar.
Continue em Use o OneLogin para gerenciar usuários e grupos em Databricks para provisionar usuários e grupos em seu Databricks workspace.
Use o OneLogin para gerenciar usuários e grupos no Databricks
Esta seção descreve como usar o OneLogin para gerenciar usuários e grupos: Databricks account ou workspace.
Atribuir grupos aos usuários do espaço de trabalho do Databricks
O senhor deve criar grupos do Databricks no Databricks e criar mapeamentos para mantê-los em sincronia com os campos do OneLogin. O senhor não pode adicionar grupos ao Databricks usando o OneLogin.
No OneLogin, vá para Parameters (Parâmetros ) tab.
Em Optional Parameters (Parâmetros opcionais), clique em Groups (Grupos).
Verifique se todos os nomes de grupos foram importados com êxito de Databricks para o campo Values (Valores ) quando o senhor clicou em refresh no provisionamento tab (acima) e selecione o sinalizador Include in User (Incluir no provisionamento do usuário ).
Clique em Salvar.
Depois de configurar o mapeamento de atributos, o senhor pode atribuir grupos aos usuários do Databricks ao provisioná-los. Para atribuir valores de grupo, é possível selecioná-los manualmente no registro de login do usuário para o aplicativo de provisionamento OneLogin SCIM. Em Usuários tab do aplicativo de provisionamento OneLogin SCIM, selecione o usuário a ser editado.
Também é possível usar as regras do OneLogin (mapeamentos) para atribuir usuários a grupos do Databricks automaticamente, com base em outro atributo do OneLogin, como a função do OneLogin. Por exemplo, para colocar todos os usuários que estão na função "Finance" do OneLogin no grupo Databricks "finance", o senhor pode acessar Rules (Regras ) tab no aplicativo de provisionamento do OneLogin SCIM e criar uma New Rule (Nova regra ) com a condição Roles - include - Finance (Funções - incluir - Finanças ) e a ação Set Groups in Databricks to - finance (Definir grupos em para - finanças), como nesta captura de tela:
Agora, sempre que você adicionar um usuário à função "Finanças" do OneLogin e ao aplicativo de provisionamento do OneLogin SCIM, o usuário será atribuído ao grupo "finanças" no Databricks quando você reaplicar os mapeamentos de direitos.
Os usuários adicionados ao grupo admins
em um aplicativo de provisionamento OneLogin workspace-level SCIM tornam-se administradores Databricks workspace .
Remover ou atualizar atribuições de grupos
Para remover ou atualizar atribuições de grupo, acesse Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM e selecione o usuário a ser editado. Remova ou substitua a seleção atual no campo de grupo, no campo IAM role personalizado ou no campo de direito personalizado.
Se o senhor tiver configurado regras para atribuir grupos ao usuário com base em um atributo do OneLogin, como a função do OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função do OneLogin). Também é possível alterar a regra que atribui o grupo, IAM role ou o direito aos usuários nessa função do OneLogin.
Quando o senhor remove um usuário do grupo admins
no OneLogin e a alteração é sincronizada com Databricks, o usuário não é mais um administrador Databricks workspace .
Importante
Não remova o administrador que configurou o aplicativo de provisionamento do OneLogin SCIM e não o remova do grupo admins
. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.
Acionar uma sincronização
O senhor pode acionar manualmente uma sincronização dos usuários do OneLogin com os usuários do Databricks acessando o aplicativo de provisionamento do OneLogin SCIM e selecionando MORE ACTIONS -> Sync logins. Se um usuário for atribuído ao aplicativo, ele será adicionado ao seu Databricks account ou workspace. No entanto, o inverso não é verdadeiro: um usuário criado em Databricks account ou workspace não será adicionado ao aplicativo de provisionamento OneLogin SCIM.
Para sincronizar manualmente os usuários do site Databricks account ou workspace com o OneLogin, crie um usuário no OneLogin com o mesmo nome de usuário e endereço email que o usuário no site Databricks account ou workspace e, em seguida, atribua o usuário ao aplicativo no OneLogin.
Excluir usuários
O senhor pode excluir usuários no OneLogin e o OneLogin os desativa no site Databricks account ou workspace.
Importante
Não remova o administrador que configurou o aplicativo de provisionamento do OneLogin SCIM do Databricks ou do grupo admins
. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.
O senhor pode desativar um usuário de várias maneiras:
Exclua ou suspenda o usuário do OneLogin.
Remova o usuário do aplicativo manualmente acessando Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM, selecionando o usuário e clicando no botão Delete (Excluir ).
Se o senhor tiver configurado regras para atribuir o usuário ao aplicativo com base em um atributo do OneLogin, como a função do OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função do OneLogin). Também é possível remover o aplicativo Databricks de uma função do OneLogin à qual o usuário está atribuído (isso desprovisiona o Databricks para todos os usuários da função).
Observação
Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.
Se o senhor excluir um usuário do OneLogin-gerenciar diretamente no site Databricks workspace, o usuário permanecerá ativo no aplicativo de provisionamento do OneLogin SCIM. Quando o senhor tentar excluir o usuário do aplicativo de provisionamento OneLogin SCIM, a tentativa falhará, pois o usuário já foi excluído no site workspace.
Use o OneLogin para gerenciar os direitos e a função de IAM
Databricks oferece workspace suporte à atribuição de função de IAM e a direitos de aplicativos workspacede nível Databricks no OneLogin. A atribuição de funções e direitos não é compatível com o aplicativo account-level Databricks no OneLogin. Se quiser atribuir a função IAM e workspace os direitos do OneLogin, o senhor deverá criar um workspaceaplicativo de nível Databricks no OneLogin para esse workspace.
Databricks recomenda que, em vez disso, o senhor use um aplicativo accountde nível Databricks no OneLogin para provisionar usuários e grupos no nível account. O senhor atribui usuários e grupos ao espaço de trabalho usando a federação de identidade e gerencia seus direitos e funções de IAM em Databricks.
Mapear atributos do Databricks para atributos do OneLogin
Para gerenciar a função e os direitos do IAM a partir do OneLogin, o senhor deve primeiro criar mapeamentos para manter a função e os direitos do Databricks IAM em sincronia com os campos do OneLogin para usuários de provisionamento.
No OneLogin, acesse Users > Custom User Fields e crie dois campos personalizados:
Um para manter a permissão allow-cluster-create de um usuário. Em nosso exemplo, chamamos isso de
databricksEntitlements
.Um para segurar o Databricks IAM role do usuário. Em nosso exemplo, chamamos isso de
IAM Role
.
Depois de criar esses campos, é possível especificar os direitos IAM role e
allow-cluster-create
para qualquer usuário na seção Custom Fields (Campos personalizados) do registro de usuário do OneLogin.Retorne ao aplicativo de provisionamento do OneLogin SCIM e acesse Parameters (Parâmetros ) tab para mapear os atributos Entitlement (Direito), Groups (Grupos) e Role (Função) (todos opcionais).
Clique no nome do campo para abrir a caixa de diálogo de edição, onde o senhor pode definir o campo OneLogin (Value) para mapear para o campo Databricks.
Direito: defina o valor para o campo de usuário personalizado que você criou na passo 1.
Função: defina o Valor para o campo de usuário personalizado que você criou na passo 1.
Clique em Salvar.
Repita esse procedimento para atribuir funções ou direitos de IAM adicionais.
Atribua funções e direitos de IAM aos usuários do Databricks workspace
Depois de criar os campos de usuário personalizados e configurar o mapeamento de atributos, é possível atribuir funções e direitos de IAM aos usuários do Databricks ao provisioná-los.
Quando o usuário insere um valor para os campos personalizados entitlement e IAM role no registro do usuário(Users > All Users > <username>), o entitlement e IAM role são automaticamente incluídos quando o usuário é provisionado para Databricks. O senhor também pode usar as regras do OneLogin (mapeamentos) para atribuir funções e direitos do IAM automaticamente, com base em outro atributo do OneLogin, como a função do OneLogin.
O senhor pode remover ou atualizar IAM role ou atribuições de direitos acessando Usuários tab no aplicativo de provisionamento OneLogin SCIM e selecionando o usuário a ser editado. Remova ou substitua a seleção atual no campo personalizado IAM role ou no campo de direito personalizado. Se o senhor tiver configurado regras para atribuir funções ou direitos de IAM ao usuário com base em um atributo do OneLogin, remova esse atributo do usuário. O senhor também pode alterar a regra que atribui o IAM role ou o direito aos usuários dessa função do OneLogin.
Solução de problemas e dicas
Usuários que existiam no Databricks antes da configuração do provisionamento:
São automaticamente vinculados a um usuário do OneLogin se já existirem no OneLogin e são correspondidos com base no endereço email (nome de usuário).
Pode ser vinculado manualmente a um usuário existente ou criado como um novo usuário no OneLogin se não houver correspondência automática.
As permissões de usuário que são atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.
Os usuários removidos de um Databricks workspace perdem o acesso a esse workspace, mas ainda podem ter acesso a outro espaço de trabalho Databricks.
O senhor deve criar grupos do Databricks no Databricks; não é possível adicionar grupos usando o OneLogin.
O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.