Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory)

Este artigo descreve como configurar o provisionamento para Databricks usando o Microsoft Entra ID (anteriormente Azure Active Directory).

Você pode configurar o provisionamento para Databricks usando o Microsoft Entra ID no nível account do Databricks ou no nível workspace do Databricks.

Databricks recomenda que você provisione usuários, entidade de serviço e grupos ao nível da account e gerencie a atribuição de usuários e grupos ao workspace dentro do Databricks. Seu workspace deve estar habilitado para federação de identidade, a fim de gerenciar a atribuição de usuários ao workspace. Se você tiver algum workspace que não esteja habilitado para federação de identidade, deverá continuar provisionando usuários, entidades de serviço e grupos diretamente para esses workspace.

Para que um usuário faça login usando o Microsoft Entra ID, é necessário configurar o logon único do Okta para a Databricks. Para configurar o logon único, consulte SSO no console da sua conta Databricks.

provisionamento de identidades para sua conta do Databricks usando o Microsoft Entra ID

Você pode sincronizar usuários e grupos no nível da accountdo tenant do Microsoft Entra ID com o Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seu workspace, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível accountestiver habilitado. Consulte Migrar o provisionamento do SCIM no nível workspacepara o nível account .

Requisitos

• Sua account Databricks deve ter o plano Premium ouacima.

• Você deve ter a função de Administrador de Aplicativos clouds no Microsoft Entra ID.

• Sua account Microsoft Entra ID deve ser uma account da edição Premium para grupos de provisionamento. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

• Você deve ser um administrador account do Databricks.

• Configure o logon único para que os usuários acessem log in e Databricks usando o ID Entra de Microsoft. Consulte SSO no console da sua conta Databricks.

Passo 1: Configurar Databricks

1. Como administrador de conta do Databricks, logs in no console da conta do Databricks.

2. Clique Configurações.

3. Clique em Provisionamento de usuário.

4. Clique em Set up user provisioning (Configurar provisionamento de usuários).

Copie os tokens SCIM e o URL SCIM account . Você os usará para configurar seu aplicativo Microsoft Entra ID.

Observação

Os tokens SCIM são restritos à account SCIM API /api/2.0/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras APIs REST Databricks.

Passo 2: configurar o aplicativo corporativo

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o gráfico da Microsoft. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estes passos para permitir que o Microsoft Entra ID sincronize usuários e grupos com sua account do Databricks. Essa configuração é separada de quaisquer configurações criadas para sincronizar usuários e grupos com o workspace.

1. No portal do Azure, acesse Microsoft Entra ID > Enterprise Applications.

2. Clique em + Novo aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM provisionamento Connector.

3. Digite um Nome para o aplicativo e clique em Adicionar.

4. No menu gerenciar , clique em provisionamento.

5. Defina o modo de provisionamento como automático.

6. Defina a URL do endpoint da API SCIM para a URL SCIM account que você copiou anteriormente.

7. Defina tokenss para os tokens Databricks SCIM que você gerou anteriormente.

8. Clique em Test Connection e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.

9. Clique em Salvar.

Passo 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para a account do Databricks. Se você tiver workspace Databricks existente, o Databricks recomenda que você adicione todos os usuários e grupos existentes nesses workspace ao aplicativo SCIM.

1. Vá em gerenciamento > Propriedades.

2. Defina Atribuição necessária como Não. A Databricks recomenda esta opção, que permite que todos os usuários entrem na account do Databricks.

3. Vá para gerenciar > provisionamento.

4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Databricks, defina o status de provisionamento como On.

5. Clique em Salvar.

6. Vá em gerenciar > Usuários e grupos.

7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .

8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua account Databricks.

Os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados para a account do Databricks quando o Microsoft Entra ID programar a próxima sincronização.

Observação

Se você remover um usuário do aplicativo SCIM em nível de account , esse usuário será desativado da account e de seu workspace, independentemente de a federação de identidade ter sido habilitada ou não.

provisionamento de identidades para seu Databricks workspace usando Microsoft Entra ID (legado)

Visualização

Este recurso está em visualização pública.

Se você tiver algum workspace não habilitado para federação de identidades, deverá provisionar usuários, entidades de serviço e grupos diretamente para esses workspace. Esta seção descreve como fazer isso.

Nos exemplos a seguir, substitua <databricks-instance> pela URL do espaço de trabalho de sua implantação do Databricks.

Requisitos

• Sua account Databricks deve ter o plano Premium ouacima.

• Você deve ter a função de Administrador de Aplicativos clouds no Microsoft Entra ID.

• Sua account Microsoft Entra ID deve ser uma account da edição Premium para grupos de provisionamento. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.

• Você deve ser um administrador workspace do Databricks.

• Configure o logon único para que os usuários acessem log in e Databricks usando o ID Entra de Microsoft. Consulte SSO no console da sua conta Databricks.

Passo 1: Criar o aplicativo corporativo e conectá-lo à API Databricks SCIM

Para configurar o provisionamento diretamente no workspace do Databricks usando o Microsoft Entra ID, você cria um aplicativo empresarial para cada workspace do Databricks.

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o gráfico da Microsoft. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

1. Como administrador workspace , logs in no seu workspace do Databricks.

2. Gere um access tokenpessoal e copie-o. Você fornece esses tokens ao Microsoft Entra ID em uma etapa subsequente.

   Importante

   Gere esses tokens como um administrador workspace do Databricks que não é gerenciado pelo aplicativo empresarial Microsoft Entra ID. Se o utilizador administrador do Databricks que possui o access token pessoal for desprovisionado utilizando o Microsoft Entra ID, a aplicação de provisionamento SCIM será desativada.

3. No portal do Azure, acesse Microsoft Entra ID > Enterprise Applications.

4. Clique em + Novo aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de provisionamento SCIM do Azure Databricks.

5. Digite um Nome para o aplicativo e clique em Adicionar. Use um nome que ajude os administradores a localizá-lo, como <workspace-name>-provisioning.

6. No menu gerenciar , clique em provisionamento.

7. Defina o modo de provisionamento como automático.

8. Insira a URL do endpoint da API SCIM. Anexe /api/2.0/preview/scim ao URL do seu workspace :

   https://<databricks-instance>/api/2.0/preview/scim
   

   Substitua <databricks-instance> pela URL do espaço de trabalho de sua implantação do Databricks. Consulte Obter identificadores para objetos de espaço de trabalho.

9. Defina tokenss para os access tokens pessoal Databricks que você gerou na passo 1.

10. Clique em Test Connection e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.

11. Opcionalmente, insira um email de notificação para receber notificações de erros críticos com o provisionamento SCIM.

12. Clique em Salvar.

Passo 2: Atribuir usuários e grupos ao aplicativo

1. Vá em gerenciamento > Propriedades.

2. Defina Atribuição necessária como Sim. A Databricks recomenda esta opção, que sincroniza apenas utilizadores e grupos atribuídos à aplicação empresarial.

3. Vá para gerenciar > provisionamento.

4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Databricks, defina o status de provisionamento como On.

5. Clique em Salvar.

6. Vá em gerenciar > Usuários e grupos.

7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .

8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua account Databricks.

No futuro, os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados quando o Microsoft Entra ID programar a próxima sincronização.

Importante

Não atribua o administrador do workspace do Databricks cujos access tokens pessoal foram usados para configurar o aplicativo Conector de provisionamento SCIM do Azure Databricks .

(Opcional) Automatize o provisionamento SCIM usando o gráfico da Microsoft

O Microsoft gráfico inclui bibliotecas de autenticação e autorização que você pode integrar em seu aplicativo para automatizar o provisionamento de usuários e grupos para sua account ou workspace do Databricks, em vez de configurar um aplicativo de conector de provisionamento SCIM.

1. Siga as instruções para registrar um aplicativo com o gráfico da Microsoft. Anote o ID do aplicativo e o IDtenant para o aplicativo

2. Acesse a página Visão geral dos aplicativos. Nessa página:

   1. Configure um segredo do cliente para o aplicativo e anote o segredo.

   2. Conceda ao aplicativo estas permissões:

      • Application.ReadWrite.All

      • Application.ReadWrite.OwnedBy

3. Peça a um administrador do Microsoft Entra ID para conceder consentimento administrativo.

4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft gráfico.

dicas de provisionamento

• Usuários e grupos que existiam no workspace Databricks antes de habilitar o provisionamento exibem o seguinte comportamento durante a sincronização de provisionamento:

  • São merge se também existirem no Microsoft Entra ID

  • São ignorados se não existirem no Microsoft Entra ID

• As permissões do usuário atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.

• Usuários removidos de um workspace do Databricks diretamente, usando a página de configurações de administração workspace do Databricks:

  • Perde o acesso a esse workspace do Databricks, mas ainda pode ter acesso a outro workspace do Databricks.

  • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo corporativo.

• A sincronização inicial do Microsoft Entra ID é acionada imediatamente após você habilitar o provisionamento. As sincronizações subsequentes são acionadas a cada 20 a 40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.

• Você não pode atualizar o nome de usuário ou endereço de email de um usuário workspace Databricks.

• O grupo admins é um grupo reservado no Databricks e não pode ser removido.

• Você pode usar a API de grupos do Databricks ou a interface do usuário de grupos para obter uma lista de membros de qualquer grupo de workspace do Databricks.

• Não é possível sincronizar grupos aninhados ou <entra-service-principal>s do aplicativo Conector de provisionamento SCIM do Azure Databricks . A Databricks recomenda que utilize a aplicação empresarial para sincronizar utilizadores e grupos e gerir grupos aninhados e entidade de serviço dentro da Databricks. No entanto, você também pode usar o provedor Databricks Terraform ou scripts personalizados direcionados à API Databricks SCIM para sincronizar grupos aninhados ou <entra-service-principal>s.

Solução de problemas

Usuários e grupos não sincronizam

• Se você estiver usando o aplicativo Azure Databricks SCIM provisionamento Connector :

  • Para provisionamento no nível workspace : na página de configurações de administração do Databricks, verifique se o usuário do Databricks cujos access tokens pessoal estão sendo usados pelo aplicativo Azure Databricks SCIM Provisioning Connector ainda é um usuário administrador workspace no Databricks e se os tokens ainda são válidos.

  • Para provisionamento no nível account : no console account , verifique se os tokens Databricks SCIM usados para configurar o provisionamento ainda são válidos.

• Não tente sincronizar grupos aninhados, que não são suportados pelo provisionamento automático do Microsoft Entra ID. Para mais informações, consulte esta FAQ.

<entra-service-principal>s não sincronizam

• O aplicativo Conector de provisionamento SCIM do Azure Databricks não dá suporte à sincronização da entidade de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se você estiver usando o aplicativo Conector de provisionamento SCIM do Azure Databricks : Após a sincronização inicial, o Microsoft Entra ID não sincroniza imediatamente após você alterar as atribuições de usuário ou grupo. Programa uma sincronização com a aplicação após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse Gerenciar > provisionamento do aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização.

Intervalo de IP do serviço de provisionamento Microsoft Entra ID não acessível

O serviço de provisionamento Microsoft Entra ID opera em intervalos de IP específicos. Se precisar restringir o acesso à rede, você deverá permitir o tráfego dos endereços IP de AzureActiveDirectory neste arquivo de intervalo de IP. Para mais informações, consulte Intervalos de IP.