Pular para o conteúdo principal

Configurar workspace-level SCIM provisionamento usando o OneLogin (legado)

important

Essa documentação foi descontinuada e pode não estar atualizada. workspace-level SCIM provisionamento é legado. Databricks Recomenda-se que o senhor use o provisionamento account-level SCIM, consulte Sincronizar usuários e grupos do provedor de identidade usando SCIM.

info

Visualização

Esse recurso está em Public Preview.

Ao seguir essas passos, logs na página de configurações de administração do Databricks em uma guia do navegador e logs no console de administração do OneLogin em outra.

Gerar um Databricks tokens de acesso pessoal

Como administrador do Databricks workspace , gere tokens de acesso pessoal. Consulte Gerenciamento de tokens. Armazene os tokens de acesso pessoal em um local seguro. O OneLogin usará esses tokens de acesso pessoal para se autenticar em Databricks.

important

O usuário que possui esses tokens de acesso pessoal não deve ser gerenciado em OneLogin. Caso contrário, a remoção do usuário do OneLogin interromperia a integração com o SCIM.

Configurar o aplicativo de provisionamento do OneLogin SCIM

  1. Faça login no OneLogin como superusuário ou proprietário da conta e inicie o console de administração do OneLogin.

  2. Vá para Aplicativos e clique em Adicionar aplicativo .

  3. Procure e selecione SCIM Provisioner with SAML (SCIM v2 Core) .

  4. Clique em Salvar . A nova guia de configuração aparece à esquerda.

  5. Clique em Configuração .

  6. No subdomínio do Databricks , digite https://<databricks-instance>/api/2.0/preview/scim/v2. Substitua <databricks-instance> pelo URLworkspace de sua implantação Databricks. Consulte Obter identificadores para objetos workspace.

  7. No campo SCIM Bearer tokens (tokens de portador ), digite os tokens de acesso pessoal Databricks.

  8. Em API Connection (Conexão de API ), clique em Enable (Ativar ). O aplicativo se autentica na Databricks.

  9. Vá para provisionamento para ativar e configurar o provisionamento.

    1. Em fluxo de trabalho , selecione Habilitar provisionamento .

    2. Configure se deseja exigir a aprovação do administrador para criar, excluir ou atualizar um usuário.

nota

A Databricks recomenda que o senhor ative a aprovação do administrador para todas as operações como uma proteção inicial, para que não acione o provisionamento automático para seus usuários antes que a configuração e o teste tenham sido concluídos. Depois de testar e verificar se o provisionamento está funcionando como esperado, o senhor pode definir essas configurações para substituir a aprovação do administrador.

  1. Configure o comportamento no Databricks quando um usuário for excluído do OneLogin:

    • Não fazer nada não modifica o usuário no Databricks.
    • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.
    • Delete exclui o usuário em Databricks e arquiva o recurso do usuário. Isso não é reversível.

  2. Configure o comportamento no Databricks quando um usuário for suspenso no OneLogin.

    • Não fazer nada não modifica o usuário no Databricks.
    • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.

  3. Em Entitlements (Direitos) , clique em refresh (atualizar ). No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos do OneLogin para o Databricks.

  4. Clique em Salvar.

Continue em Use o OneLogin para gerenciar usuários e grupos em Databricks para provisionar usuários e grupos em seu Databricks workspace.

nota

Quando o senhor remove um usuário do grupo admins no OneLogin e a alteração é sincronizada com Databricks, o usuário não é mais um administrador Databricks workspace .

Use o OneLogin para gerenciar os direitos e a função IAM

Databricks suporta a atribuição de IAM funções e workspace direitos de workspace-level Databricks aplicativos no OneLogin. A atribuição de funções e direitos não é compatível com o aplicativo account-level Databricks no OneLogin. Se quiser atribuir IAM a função e os workspace direitos do OneLogin, o senhor deve criar um aplicativo workspacede nível Databricks no OneLogin para workspace esse.

Databricks recomenda que, em vez disso, o senhor use um aplicativo accountde nível Databricks no OneLogin para provisionar usuários e grupos no nível account. O senhor atribui usuários e grupos ao espaço de trabalho usando a federação de identidade e gerencia seus direitos e a função IAM em Databricks.

Mapear atributos do Databricks para atributos do OneLogin

Para gerenciar a função e os direitos do IAM a partir do OneLogin, o senhor deve primeiro criar mapeamentos para manter a função e os direitos do Databricks IAM sincronizados com os campos do OneLogin para usuários de provisionamento.

  1. No OneLogin, acesse Users > Custom User Fields e crie dois campos personalizados :

    • Um para manter a permissão allow-clustering-create de um usuário. Em nosso exemplo, chamamos isso de databricksEntitlements.
    • Um para segurar o Databricks IAM role do usuário. Em nosso exemplo, chamamos isso de IAM Role.

    Depois de criar esses campos, é possível especificar os direitos IAM role e allow-cluster-create para qualquer usuário na seção Custom Fields (Campos personalizados) do registro de usuário do OneLogin.

  2. Retorne ao aplicativo de provisionamento do OneLogin SCIM e acesse Parameters (Parâmetros ) tab para mapear os atributos Entitlement (Direito), Groups (Grupos) e Role (Função) (todos opcionais).

    Clique no nome do campo para abrir a caixa de diálogo de edição, onde o senhor pode definir o campo OneLogin (Value) para mapear para o campo Databricks.

    • Direito : defina o valor para o campo de usuário personalizado que você criou na passo 1.
    • Função : defina o Valor para o campo de usuário personalizado que você criou na passo 1.

  3. Clique em Salvar .

Repita esse procedimento para atribuir funções ou direitos adicionais ao site IAM.

Atribua a função IAM e os direitos aos usuários Databricks workspace

Depois de criar os campos de usuário personalizados e configurar o mapeamento de atributos, é possível atribuir a função IAM e os direitos aos usuários Databricks ao provisioná-los.

Quando o senhor insere um valor para os campos personalizados entitlement e IAM role no registro do usuário (Users > All Users > <username>) , o entitlement e IAM role são automaticamente incluídos quando o usuário é provisionado para Databricks. O senhor também pode usar as regras (mapeamentos) do OneLogin para atribuir automaticamente a função e os direitos do IAM, com base em outro atributo do OneLogin, como a função do OneLogin.

O senhor pode remover ou atualizar IAM role ou atribuições de direitos acessando Usuários tab no aplicativo de provisionamento OneLogin SCIM e selecionando o usuário a ser editado. Remova ou substitua a seleção atual no campo personalizado IAM role ou no campo de direito personalizado. Se o senhor tiver configurado regras para atribuir funções ou direitos IAM ao usuário com base em um atributo do OneLogin, remova esse atributo do usuário. O senhor também pode alterar a regra que atribui o IAM role ou o direito aos usuários dessa função do OneLogin.

Última atualização em