Compartir a través de

Configuración del aprovisionamiento SCIM a nivel de área de trabajo mediante Microsoft Entra ID (antiguo)

  • Artículo

Importante

Esta documentación se ha retirado y es posible que no se actualice. El aprovisionamiento SCIM de nivel de área de trabajo es antigiuo. Databricks recomienda usar el aprovisionamiento SCIM de nivel de cuenta, consulte Sincronizar usuarios y grupos desde Microsoft Entra ID.

Importante

Esta característica está en versión preliminar pública.

Si tiene áreas de trabajo no habilitadas para la federación de identidades, debe aprovisionar los usuarios, entidades de servicio y grupos directamente en esas áreas de trabajo. En esta sección se describe cómo realizarlo.

En los ejemplos siguientes, reemplace <databricks-instance> por la dirección URL del área de trabajo de la implementación de Azure Databricks.

Requisitos

  • La cuenta de Azure Databricks debe tener el plan Premium.
  • Debe tener el rol Administrador de aplicaciones en la nube en Microsoft Entra ID.
  • Para el aprovisionamiento de grupos, la cuenta de Microsoft Entra ID debe ser una cuenta de la edición Premium. El aprovisionamiento de usuarios está disponible en todas las ediciones de Microsoft Entra ID.
  • Debe ser un administrador del área de trabajo de Azure Databricks.

Paso 1: Creación de una aplicación empresarial y conectarla a la API de SCIM de Azure Databricks

Para configurar el aprovisionamiento directamente a las áreas de trabajo de Azure Databricks mediante Microsoft Entra ID, se crea una aplicación empresarial para cada área de trabajo de Azure Databricks.

Estas instrucciones te indican cómo crear una aplicación empresarial en el portal de Azure y utilizar esa aplicación para el aprovisionamiento.

  1. Como administrador del área de trabajo, inicie sesión en tu área de trabajo de Azure Databricks.

  2. Genera un token de acceso personal y cópialo. Deberá proporcionar este token a Microsoft Entra ID en un paso posterior.

    Importante

    Genere este token como administrador del área de trabajo de Azure Databricks que no esté administrado por la aplicación empresarial de Microsoft Entra ID. Si el usuario administrador de Azure Databricks que posee el token de acceso personal se desaprovisiona mediante Microsoft Entra ID, la aplicación de aprovisionamiento de SCIM se deshabilitará.

  3. En Azure Portal, vaya a Microsoft Entra ID > Aplicaciones empresariales.

  4. Haga clic en + Nueva aplicación, encima de la lista de aplicaciones. En Agregar desde la galería, busque y seleccione Azure Databricks SCIM Provisioning Connector (Conector de aprovisionamiento SCIM de Azure Databricks).

  5. Escriba un nombre para la aplicación y haga clic en Agregar. Use un nombre que ayude a los administradores a encontrarlo, como <workspace-name>-provisioning.

  6. En el menú Administrar, haga clic en Aprovisionamiento.

  7. Establezca el modo de aprovisionamiento en Automático.

  8. Escriba la dirección URL del punto de conexión de la API de SCIM. Anexe /api/2.0/preview/scim a la dirección URL del área de trabajo:

    https://<databricks-instance>/api/2.0/preview/scim

    Reemplace <databricks-instance> por la dirección URL del área de trabajo de la implementación de Azure Databricks. Consulte Obtener identificadores para objetos del área de trabajo.

  9. Establezca un token secreto en el token de acceso personal de Azure Databricks que generó en el paso 1.

  10. Haga clic en Probar conexión y espere el mensaje que confirma que las credenciales están autorizadas para habilitar el aprovisionamiento.

  11. Tiene la opción de escribir un correo electrónico de notificación para recibir notificaciones de errores críticos con el aprovisionamiento de SCIM.

  12. Haga clic en Save(Guardar).

Paso 2: Asignar usuarios y grupos a la aplicación

Nota:

Microsoft Entra ID no admite el aprovisionamiento automático de entidades de servicio en Azure Databricks. Puede agregar entidades de servicio al área de trabajo de Azure Databricks después de llevar a cabo la Administración de entidades de servicio en el área de trabajo.

Microsoft Entra ID no admite el aprovisionamiento automático de grupos anidados en Azure Databricks. Microsoft Entra ID solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos de un grupo asignado explícitamente. Como alternativa, debe asignar explícitamente los grupos que contengan los usuarios que se deban aprovisionar (también puede definir el ámbito de los grupos). Para obtener más información, consulte las Preguntas más frecuentes.

  1. Vaya a Administrar > propiedades.
  2. Establezca Asignación requerida en . Databricks le recomienda usar esta opción, ya que sincroniza solo los usuarios y grupos asignados a la aplicación empresarial.
  3. Vaya a Administración > Aprovisionamiento.
  4. Para comenzar a sincronizar los usuarios y grupos de Microsoft Entra ID con Azure Databricks, establezca el conmutador de estado de aprovisionamiento en Encendido.
  5. Haga clic en Save(Guardar).
  6. Vaya a Administrar > Usuarios y grupos.
  7. Haga clic en Agregar usuario o grupo, seleccione los usuarios y los grupos y, a continuación, haga clic en el botón Asignar.
  8. Espere unos minutos y compruebe que los usuarios y los grupos existan en la cuenta de Azure Databricks.

En el futuro, los usuarios y grupos que agregue y asigne se aprovisionarán automáticamente cuando Microsoft Entra ID programe la siguiente sincronización.

Importante

No asignes el administrador del área de trabajo de Azure Databricks cuyo token de acceso personal se usó para configurar la aplicación del Conector de aprovisionamiento de SCIM de Azure Databricks.