Configurar el aprovisionamiento de SCIM mediante Microsoft Entra ID (Azure Active Directory)
En este artículo se describe cómo configurar el aprovisionamiento en la cuenta de Azure Databricks mediante Microsoft Entra ID.
Databricks recomienda aprovisionar usuarios, entidades de servicio y grupos en el nivel de cuenta y administrar la asignación de usuarios y grupos a áreas de trabajo dentro de Azure Databricks. Las áreas de trabajo deben estar habilitadas para la federación de identidades, con el fin de administrar la asignación de usuarios a áreas de trabajo.
Nota:
La forma de configurar el aprovisionamiento es totalmente independiente de la configuración de la autenticación y el acceso condicional para las áreas de trabajo o las cuentas de Azure Databricks. La autenticación de Azure Databricks se controla automáticamente mediante Microsoft Entra ID, al usar el flujo de protocolo de OpenID Connect. Puedes configurar el acceso condicional, ya que te permite crear reglas para requerir la autenticación multifactor o restringir los inicios de sesión a redes locales, en el nivel de servicio.
Aprovisionamiento de identidades en la cuenta de Azure Databricks mediante Microsoft Entra ID
Puede sincronizar usuarios y grupos de nivel de cuenta desde el inquilino de Microsoft Entra ID en Azure Databricks mediante un conector de aprovisionamiento de SCIM.
Importante
Si ya dispone de conectores SCIM que sincronizan identidades directamente con las áreas de trabajo, debe desactivar dichos conectores SCIM cuando se active el conector SCIM a nivel de cuenta. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.
Requisitos
- La cuenta de Azure Databricks debe tener el plan Premium.
- Debe tener el rol Administrador de aplicaciones en la nube en Microsoft Entra ID.
- Para el aprovisionamiento de grupos, la cuenta de Microsoft Entra ID debe ser una cuenta de la edición Premium. El aprovisionamiento de usuarios está disponible en todas las ediciones de Microsoft Entra ID.
- Debe ser administrador de la cuenta de Azure Databricks.
Nota:
Para activar la consola de cuenta y establecer su primer administrador de cuenta, consulte Establecer su primer administrador de cuenta.
Paso 1: Configuración de Azure Databricks
- Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta de Azure Databricks.
- Haga clic en Configuración.
- Haga clic en el elemento Aprovisionamiento de usuarios.
- Haga clic en Configurar el aprovisionamiento de usuarios.
Copia el token de SCIM y la URL de SCIM de la cuenta. Esta información se usará para configurar la aplicación de Microsoft Entra ID.
Nota:
El token de SCIM está restringido a la API /api/2.1/accounts/{account_id}/scim/v2/
de SCIM para cuentas y no se puede usar para autenticarse en otras API de REST de Databricks.
Paso 2: Configuración de la aplicación empresarial
Estas instrucciones te indican cómo crear una aplicación empresarial en el portal de Azure y utilizar esa aplicación para el aprovisionamiento. Si tienes una aplicación existente, puedes modificarlo para automatizar el aprovisionamiento de SCIM mediante Microsoft Graph. Esto elimina la necesidad de tener una aplicación de aprovisionamiento independiente en Azure Portal.
Siga los pasos que se muestran a continuación para permitir que Microsoft Entra ID sincronice los usuarios y los grupos con su cuenta de Databricks. Esta configuración es independiente de las configuraciones que haya creado para sincronizar los usuarios y los grupos con las áreas de trabajo.
- En Azure Portal, vaya a Microsoft Entra ID > Aplicaciones empresariales.
- Haga clic en + Nueva aplicación, encima de la lista de aplicaciones. En Agregar desde la galería, busque y seleccione Azure Databricks SCIM Provisioning Connector (Conector de aprovisionamiento SCIM de Azure Databricks).
- Escriba un nombre para la aplicación y haga clic en Agregar.
- En el menú Administrar, haga clic en Aprovisionamiento.
- Establezca el Modo de aprovisionamiento en Automático.
- Establezca el valor del campo URL del punto de conexión de la API de SCIM con la URL de SCIM de la cuenta que copió anteriormente.
- Establezca un Token secreto para el token de SCIM de Azure Databricks que generó anteriormente.
- Haga clic en Probar conexión y espere el mensaje que confirma que las credenciales están autorizadas para habilitar el aprovisionamiento.
- Haga clic en Save(Guardar).
Paso 3: Asignación de usuarios y grupos a la aplicación
Los usuarios y los grupos que se asignen a la aplicación de SCIM se aprovisionarán en la cuenta de Azure Databricks. En el caso de que haya áreas de trabajo de Azure Databricks existentes, es recomendable que agregue todos los usuarios y grupos existentes de estas a la aplicación de SCIM.
Nota:
Microsoft Entra ID no admite el aprovisionamiento automático de entidades de servicio en Azure Databricks. Puede agregar entidades de servicio a la cuenta de Azure Databricks después de llevar a cabo la Administración de entidades de servicio en la cuenta.
Microsoft Entra ID no admite el aprovisionamiento automático de grupos anidados en Azure Databricks. Microsoft Entra ID solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos de un grupo asignado explícitamente. Como alternativa, debe asignar explícitamente los grupos que contengan los usuarios que se deban aprovisionar (también puede definir el ámbito de los grupos). Para obtener más información, consulte las Preguntas más frecuentes.
- Vaya a Administrar > propiedades.
- Establezca Asignación necesaria en No. Databricks recomienda esta opción, que permite a todos los usuarios iniciar sesión en la cuenta de Azure Databricks.
- Vaya a Administración > Aprovisionamiento.
- Para comenzar a sincronizar los usuarios y grupos de Microsoft Entra ID con Azure Databricks, establezca el conmutador de estado de aprovisionamiento en Encendido.
- Haga clic en Save(Guardar).
- Vaya a Administrar > Usuarios y grupos.
- Haga clic en Agregar usuario o grupo, seleccione los usuarios y los grupos y, a continuación, haga clic en el botón Asignar.
- Espere unos minutos y compruebe que los usuarios y los grupos existan en la cuenta de Azure Databricks.
Los usuarios y los grupos que agregue y asigne se aprovisionarán automáticamente en la cuenta de Azure Databricks cuando Microsoft Entra ID programe la siguiente sincronización.
Nota:
Si quita un usuario de la aplicación SCIM de nivel de cuenta, ese usuario también se desactiva en la cuenta y en todas sus áreas de trabajo, independientemente de si se ha habilitado la identidad federada o no.
Sugerencias de aprovisionamiento
- Los usuarios y grupos que existían en la cuenta de Azure Databricks antes de habilitar el aprovisionamiento muestran el siguiente comportamiento al sincronizar el aprovisionamiento:
- Los usuarios y grupos se combinan si también existen en el identificador de Entra de Microsoft.
- Los usuarios y grupos se omiten si no existen en el id. de Microsoft Entra. Los usuarios que no existen en microsoft Entra ID no pueden iniciar sesión en Azure Databricks.
- Los permisos de usuario asignados individualmente y que se duplican a través de la pertenencia a un grupo, permanecen intactos incluso después de quitar la pertenencia al grupo del usuario.
- La eliminación directa de usuarios de una cuenta de Azure Databricks mediante la consola de la cuenta tiene los siguientes efectos:
- El usuario quitado pierde el acceso a esa cuenta de Azure Databricks y a todas las áreas de trabajo de la cuenta.
- El usuario quitado no se sincronizará de nuevo con el aprovisionamiento de identificadores de Entra de Microsoft, incluso si permanecen en la aplicación empresarial.
- La sincronización inicial de Microsoft Entra ID se activa inmediatamente después de habilitar el aprovisionamiento. Las sincronizaciones posteriores se desencadenan cada 20-40 minutos, según la cantidad de usuarios y grupos en la aplicación. Consulte Informe de resumen de aprovisionamiento en la documentación de Microsoft Entra ID.
- No se puede actualizar la dirección de correo electrónico de un usuario de Azure Databricks.
- No se pueden sincronizar grupos anidados ni entidades de servicio de Microsoft Entra ID desde la aplicación Conector de aprovisionamiento de SCIM de Azure Databricks. Databricks recomienda usar la aplicación empresarial para sincronizar usuarios, grupos y administrar grupos anidados y entidades de servicio en Azure Databricks. Sin embargo, también puede usar el proveedor de Databricks Terraform o scripts personalizados que tengan como destino la API SCIM de Azure Databricks para sincronizar grupos anidados o entidades de servicio de Microsoft Entra ID.
- Las actualizaciones de los nombres de grupo en Microsoft Entra ID no se sincronizan con Azure Databricks.
- Los parámetros
userName
yemails.value
deben coincidir. Una falta de coincidencia puede provocar que Azure Databricks rechace solicitudes de creación de usuarios desde la aplicación SCIM de Id. de Microsoft Entra. En casos como usuarios externos o correos electrónicos con alias, es posible que tenga que cambiar la asignación DE SCIM predeterminada de la aplicación empresarial para usarlauserPrincipalName
en lugar demail
.
(Opcional) Automatización del aprovisionamiento de SCIM con Microsoft Graph
Microsoft Graph incluye bibliotecas de autenticación y autorización que puede integrar en su aplicación para automatizar el aprovisionamiento de usuarios y grupos de su cuenta o área de trabajo de Azure Databricks, en lugar de configurar una aplicación de conector de aprovisionamiento de SCIM.
- Siga las instrucciones para registrar una aplicación con Microsoft Graph. Anote el identificador de aplicación y el identificador de inquilino de la aplicación.
- Vaya a la página de información general de la aplicación. En esa página:
- Configure un secreto de cliente para la aplicación y anótelo.
- Conceda estos permisos a la aplicación:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
- Pida a un administrador de Microsoft Entra ID que conceda el consentimiento del administrador.
- Actualice el código de la aplicación para agregar la compatibilidad con Microsoft Graph.
Solución de problemas
Los usuarios y grupos no se sincronizan
- Si usas la aplicación Azure Databricks SCIM Provisioning Connector:
- En la consola de la cuenta, compruebe que el token SCIM de Azure Databricks que se usó para configurar el aprovisionamiento sigue siendo válido.
- No intente sincronizar grupos anidados, ya que no son compatibles con el aprovisionamiento automático de Microsoft Entra ID. Para obtener más información, consulte las Preguntas más frecuentes.
Las entidades de servicio de Microsoft Entra ID no se sincronizan.
- La aplicación Azure Databricks SCIM Provisioning Connector no admite la sincronización de entidades de servicio.
Después de realizar la sincronización inicial, los usuarios y grupos dejan de sincronizarse
Si usa la aplicación Conector de aprovisionamiento de SCIM de Azure Databricks: después de realizar la sincronización inicial, Microsoft Entra ID no se sincroniza inmediatamente después de cambiar las asignaciones de usuarios o grupos. En cambio, programa una sincronización con la aplicación después de un retraso, según la cantidad de usuarios y grupos. Para solicitar una sincronización inmediata, vaya a la opción Administrar >Aprovisionamiento de la aplicación empresarial y seleccione Clear current state and restart synchronization (Borrar estado actual y reiniciar sincronización).
El intervalo de IP del servicio de aprovisionamiento de Microsoft Entra ID no es accesible
El servicio de aprovisionamiento de Microsoft Entra ID funciona con intervalos de IP específicos. Si necesita restringir el acceso a la red, debe permitir el tráfico de las direcciones IP para AzureActiveDirectory
en este archivo de intervalo de IP. Para obtener más información, consulte Intervalos de IP.