Configurar o provisionamento SCIM para OneLogin

Este artigo descreve como configurar o provisionamento do Databricks usando o Onelogin.

Você pode configurar o provisionamento no nível account do Databricks ou no nível do workspace do Databricks.

A Databricks recomenda que você provisione usuários, entidade de serviço e grupos no nível da account e atribua usuários e grupos ao workspace usando a federação de identidades. Se você tiver algum workspace que não esteja habilitado para federação de identidade, deverá continuar provisionando usuários, entidades de serviço e grupos diretamente para esses workspace.

Para saber mais sobre o provisionamento SCIM no Databricks, incluindo uma explicação do impacto da federação de identidade no provisionamento e conselhos sobre quando usar o provisionamento no nível da accounte no nível do workspace, consulte Sincronizar usuários e grupos de seu provedor de identidade.

Para configurar o logon único com OneLogin, consulte Configurar SSO para seu workspace.

Requisitos

  • Sua account Databricks deve ter o plano Premium ouacima.

  • Para configurar o provisionamento para sua account do Databricks, você deve ser o administrador account do Databricks.

  • Para configurar o provisionamento para um workspace do Databricks, você deve ser administrador workspace do Databricks.

  • Sua account OneLogin deve oferecer suporte ao provisionamento.

  • Você deve ser um Superusuário ou Proprietário account account.

  • A Databricks recomenda que você leia os artigos do OneLogin, O que é provisionamento e desprovisionamento de usuários?.

Configure o provisionamento SCIM no nível da conta usando o OneLogin

Esta seção descreve como configurar um conector OneLogin SCIM para provisionamento de usuários e grupos para sua account.

Obtenha os tokens SCIM e a URL SCIM da conta no Databricks

  1. Como administrador de conta, logs in no console de conta do Databricks.

    1. Clique Ícone de configurações do usuário Configurações.

    2. Clique em Provisionamento de usuário.

    3. Clique em Habilitar provisionamento de usuário.

      Copie os tokens SCIM e o URL SCIM account . Você os usará para configurar seu conector no OneLogin.

Observação

Os tokens SCIM são restritos à account SCIM API /api/2.0/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras APIs REST Databricks.

Configurar o aplicativo de provisionamento OneLogin SCIM

  1. log in no One, logscomo superusuário ou proprietário account e inicie o One, logsno console administrativo.

  2. Vá para Aplicativos e clique em Adicionar aplicativo.

  3. Procure e selecione Provisionador SCIM com SAML (SCIM v2 Core).

  4. Clique em Salvar. Nova tab de configuração aparece à esquerda.

  5. Clique em Configuração.

  6. No subdomínio Databricks, insira a URL SCIM account .

  7. No campo SCIM Bearer tokens s , insira os access tokens pessoal Databricks.

  8. Em Conexão API, clique em Habilitar. O aplicativo é autenticado no Databricks.

  9. Acesse Provisionamento para habilitar e configurar o provisionamento.

    1. Em fluxo de trabalho, selecione Habilitar provisionamento.

    2. Configure se deseja exigir aprovação do administrador para criar, excluir ou atualizar um usuário.

      Observação

      Databricks recomenda que você habilite a aprovação do administrador para todas as operações como uma proteção inicial, para que você não dispare o provisionamento automático para seus usuários antes que a configuração e o teste sejam concluídos. Depois de testar e verificar se o provisionamento está funcionando conforme o esperado, você pode definir essas configurações para substituir a aprovação do administrador.

    3. Configure o comportamento no Databricks quando um usuário é excluído do OneLogin:

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desabilita o usuário no Databricks. O usuário não pode logs in , mas os recursos do usuário não são modificados. Isso é reversível.

      • Excluir exclui o usuário no Databricks e arquiva os recursos do usuário. Isso não é reversível.

    4. Configure o comportamento no Databricks quando um usuário é suspenso no OneLogin.

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desabilita o usuário no Databricks. O usuário não pode logs in , mas os recursos do usuário não são modificados. Isso é reversível.

    1. Em Direitos, clique em refresh. No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos OneLogin para Databricks.

  10. Clique em Salvar.

Continue a usar o OneLogin para gerenciar usuários e grupos no Databricks para provisionamento de usuários e grupos em sua account do Databricks.

Configurar o provisionamento SCIM em nível de espaço de trabalho usando o OneLogin (legado)

Visualização

Este recurso está em visualização pública.

Ao seguir essas passos, logs na página de configurações de administração do Databricks em uma guia do navegador e logs no console de administração do OneLogin em outra.

Gerar access tokenspessoal do Databricks

Como administrador workspace do Databricks, gere um access token pessoal. Consulte Gerenciamento de tokens. Armazene o access token pessoal em um local seguro. OneLogin usará esse access token pessoal para autenticar no Databricks.

Importante

O usuário que possui esses access tokens pessoal não deve ser gerenciado dentro do OneLogin. Caso contrário, remover o usuário do OneLogin interromperia a integração do SCIM.

Configurar o aplicativo de provisionamento OneLogin SCIM

  1. log in no One, logscomo superusuário ou proprietário account e inicie o One, logsno console administrativo.

  2. Vá para Aplicativos e clique em Adicionar aplicativo.

  3. Procure e selecione Provisionador SCIM com SAML (SCIM v2 Core).

  4. Clique em Salvar. Nova tab de configuração aparece à esquerda.

  5. Clique em Configuração.

  6. No subdomínio do Databricks, insira https://<databricks-instance>/api/2.0/preview/scim/v2. Substitua <databricks-instance> pela URL do espaço de trabalho da implantação do Databricks. Consulte Obter identificadores para objetos de espaço de trabalho.

  7. No campo SCIM Bearer tokens s , insira os access tokens pessoal Databricks.

  8. Em Conexão API, clique em Habilitar. O aplicativo é autenticado no Databricks.

  9. Acesse Provisionamento para habilitar e configurar o provisionamento.

    1. Em fluxo de trabalho, selecione Habilitar provisionamento.

    2. Configure se deseja exigir aprovação do administrador para criar, excluir ou atualizar um usuário.

      Observação

      Databricks recomenda que você habilite a aprovação do administrador para todas as operações como uma proteção inicial, para que você não dispare o provisionamento automático para seus usuários antes que a configuração e o teste sejam concluídos. Depois de testar e verificar se o provisionamento está funcionando conforme o esperado, você pode definir essas configurações para substituir a aprovação do administrador.

    3. Configure o comportamento no Databricks quando um usuário é excluído do OneLogin:

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desabilita o usuário no Databricks. O usuário não pode logs in , mas os recursos do usuário não são modificados. Isso é reversível.

      • Excluir exclui o usuário no Databricks e arquiva os recursos do usuário. Isso não é reversível.

    4. Configure o comportamento no Databricks quando um usuário é suspenso no OneLogin.

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desabilita o usuário no Databricks. O usuário não pode logs in , mas os recursos do usuário não são modificados. Isso é reversível.

    1. Em Direitos, clique em refresh. No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos OneLogin para Databricks.

  10. Clique em Salvar.

Continue a usar o OneLogin para gerenciar usuários e grupos no Databricks para provisionamento de usuários e grupos em seu workspace do Databricks.

Use o OneLogin para gerenciar usuários e grupos no Databricks

Esta seção descreve como usar o OneLogin para gerenciar usuários e grupos da account ou workspace do Databricks.

Atribuir grupos a usuários do espaço de trabalho Databricks

Você deve criar grupos Databricks em Databricks e criar mapeamentos para mantê-los sincronizados com os campos OneLogin. Você não pode adicionar grupos ao Databricks usando OneLogin.

  1. No OneLogin, vá para a tab Parâmetros .

  2. Em Parâmetros Opcionais, clique em Grupos.

  3. Verifique se todos os nomes de grupo foram importados com êxito do Databricks para o campo Valores quando você clicou em refresh na guia Provisionamento (acima) e selecione o sinalizador Incluir no provisionamento de usuário .

  4. Clique em Salvar.

Depois de configurar seu mapeamento de atributo, você pode atribuir grupos a usuários do Databricks ao provisioná-los. Para atribuir valores de grupo, você pode selecioná-los manualmente no registro de login do usuário para o aplicativo de provisionamento OneLogin SCIM. Na tab Usuários do aplicativo de provisionamento OneLogin SCIM, selecione o usuário a ser editado.

Você também pode usar regras OneLogin (mapeamentos) para atribuir usuários a grupos Databricks automaticamente, com base em outro atributo OneLogin, como função OneLogin. Por exemplo, para colocar todos os usuários que estão na função OneLogin “Finance” no grupo Databricks “finance”, você pode ir para a guia Rules em seu aplicativo de provisionamento OneLogin SCIM e criar uma nova regra com a condição Roles – include – Finance e a ação Set Groups in Databricks to – finance, como nesta captura de tela:

tabRegras

Agora, sempre que você adicionar um usuário à função “Finanças” do OneLogin e ao aplicativo de provisionamento OneLogin SCIM, o usuário receberá o grupo “finanças” no Databricks quando você reaplicar os mapeamentos de direitos.

Os usuários adicionados ao grupo admins em um aplicativo de provisionamento SCIM no nível workspaceOneLogin tornam-se administradores workspace do Databricks.

Remover ou atualizar atribuições de grupo

Para remover ou atualizar atribuições de grupo, vá para a tab Usuários no aplicativo de provisionamento OneLogin SCIM e selecione o usuário a ser editado. Remova ou substitua a seleção atual no campo de grupo, no campo IAM role ou no campo de autorização personalizado.

Se você configurou regras para atribuir grupos ao usuário com base em um atributo OneLogin, como função OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função OneLogin). Você também pode alterar a regra que atribui o grupo, IAM role ou o direito aos usuários nessa função OneLogin.

Quando você remove um usuário do grupo admins no OneLogin e a alteração é sincronizada com o Databricks, o usuário não é mais um administrador workspace do Databricks.

Importante

Não remova o administrador que configurou o aplicativo de provisionamento OneLogin SCIM e não o remova do grupo admins . Caso contrário, a integração do SCIM não poderá ser autenticada no Databricks.

Acionar uma sincronização

Você pode acionar manualmente uma sincronização de usuários OneLogin com usuários Databricks acessando o aplicativo de provisionamento OneLogin SCIM e selecionando MORE ACTIONS -> Sync logins. Se um usuário for atribuído ao aplicativo, o usuário será adicionado à sua account ou workspace do Databricks. No entanto, o inverso não é verdadeiro: um usuário criado na account Databricks ou workspace não será adicionado ao aplicativo de provisionamento OneLogin SCIM.

Para sincronizar manualmente os usuários da account ou workspace do Databricks para o OneLogin, crie um usuário no OneLogin com o mesmo nome de usuário e endereço de email do usuário na account ou workspace do Databricks e, em seguida, atribua o usuário ao aplicativo no OneLogin.

Excluir usuários

Você pode excluir usuários no OneLogin e o OneLogin os desativa da account ou workspace do Databricks.

Importante

Não remova o administrador que configurou o aplicativo de provisionamento OneLogin SCIM do Databricks ou do grupo admins . Caso contrário, a integração do SCIM não poderá ser autenticada no Databricks.

Você pode desativar um usuário de várias maneiras:

  • Exclua ou suspenda o usuário do OneLogin.

  • Remova o usuário do aplicativo manualmente acessando a tab Usuários no aplicativo de provisionamento OneLogin SCIM, selecionando o usuário e clicando no botão Excluir .

  • Se você configurou regras para atribuir o usuário ao aplicativo com base em um atributo OneLogin, como função OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função OneLogin). Você também pode remover o aplicativo Databricks de uma função OneLogin à qual o usuário está atribuído (isso desprovisiona Databricks para todos os usuários na função).

Observação

Se você remover um usuário do aplicativo SCIM em nível de account , esse usuário será desativado da account e de seu workspace, independentemente de a federação de identidade ter sido habilitada ou não.

Se você excluir um usuário OneLogin-gerenciar diretamente no workspace do Databricks, o usuário permanecerá ativo no aplicativo de provisionamento OneLogin SCIM. Ao tentar excluir o usuário do aplicativo de provisionamento OneLogin SCIM, a tentativa falhará, porque o usuário já foi excluído no workspace.

Use OneLogin para gerenciar direitos e IAM role

O Databricks oferece suporte à atribuição de direitos de função e workspace IAM role de aplicativos Databricks no nível workspaceno OneLogin. A atribuição de funções e direitos não tem suporte no aplicativo Databricks em nível de accountno OneLogin. Se você deseja atribuir IAM role e direitos workspace do OneLogin, deve criar um aplicativo Databricks no nível workspaceno OneLogin para esse workspace.

A Databricks recomenda que você use um aplicativo Databricks em nível de accountno OneLogin para provisionar usuários e grupos no nível da account . Você atribui usuários e grupos ao workspace usando federação de identidade e gerencia seus direitos e IAM role no Databricks.

Mapear atributos Databricks para atributos OneLogin

Para gerenciar IAM role do OneLogin, você deve primeiro criar mapeamentos para manter IAM role sincronizados com os campos do OneLogin para usuários de provisionamento.

  1. No OneLogin, vá para Users > Custom User Fields e crie dois campos personalizados:

    • Um para manter a permissão allow-cluster-create de um usuário. Em nosso exemplo, chamamos isso de databricksEntitlements.

    • Um para manter a IAM role do Databricks do usuário. Em nosso exemplo, nomeamos isso IAM Role.

    Depois de criar esses campos, você pode especificar a IAM role e o direito allow-cluster-create para qualquer usuário na seção Campos personalizados do registro do usuário OneLogin.

  2. Retorne ao seu aplicativo de provisionamento OneLogin SCIM e vá para a tab Parâmetros para mapear os atributos Entitlement, Groups e Role (todos opcionais).

    Clique no nome do campo para abrir a caixa de diálogo de edição, onde você pode definir o campo OneLogin (Valor) para mapear para o campo Databricks.

    • Direito: defina o valor para o campo de usuário personalizado que você criou na passo 1.

    • Função: defina o Valor para o campo de usuário personalizado que você criou na passo 1.

  3. Clique em Salvar.

Repita este procedimento para atribuir IAM role adicionais.

Atribuir IAM role aos usuários do espaço de trabalho do Databricks

Depois de criar seus campos de usuário personalizados e configurar seu mapeamento de atributo, você pode atribuir IAM role aos usuários do Databricks ao provisioná-los.

Quando você insere um valor para os campos personalizados de direito e IAM role no registro do usuário (Users > All Users > <username>), o direito e IAM role são incluídos automaticamente quando você provisiona o usuário para Databricks. Você também pode usar regras OneLogin (mapeamentos) para atribuir IAM role automaticamente, com base em outro atributo OneLogin, como OneLogin Role.

Você pode remover ou atualizar IAM role ou atribuições de direitos acessando a tab Usuários no aplicativo de provisionamento OneLogin SCIM e selecionando o usuário a ser editado. Remova ou substitua a seleção atual no campo IAM role personalizado ou no campo de direito personalizado. Se você configurou regras para atribuir IAM role ao usuário com base em um atributo OneLogin, remova esse atributo do usuário. Você também pode alterar a regra que atribui a IAM role aos usuários nessa função OneLogin.

Solução de problemas e dicas

  • Usuários que existiam no Databricks antes da configuração de provisionamento:

    • São vinculados automaticamente a um usuário OneLogin se já existirem no OneLogin e forem correspondidos com base no endereço email (nome de usuário).

    • Pode ser vinculado manualmente a um usuário existente ou criado como um novo usuário no OneLogin se eles não forem correspondidos automaticamente.

  • As permissões do usuário atribuídas individualmente e duplicadas por meio da associação em um grupo permanecem depois que a associação ao grupo é removida para o usuário.

  • Os usuários removidos de um workspace do Databricks perdem o acesso a esse workspace , mas ainda podem ter acesso a outro workspace do Databricks.

  • Você deve criar grupos Databricks em Databricks; você não pode adicionar grupos usando o OneLogin.

  • Você não pode atualizar nomes de usuário e endereços de email do Databricks.