Compartilhar via

Sincronizar usuários e grupos da ID do Microsoft Entra usando SCIM

  • Artigo

Este artigo descreve como configurar o IdP (provedor de identidade) e o Azure Databricks para provisionar usuários e grupos para o Azure Databricks usando o SCIM ou o Sistema de Gerenciamento de Usuários entre Domínios, um padrão aberto que permite automatizar o provisionamento de usuários.

Você também pode sincronizar usuários e grupos da ID do Microsoft Entra usando o gerenciamento automático de identidade (Visualização Pública). O gerenciamento automático de identidade não exige que você configure um aplicativo na ID do Microsoft Entra. Ele também oferece suporte à sincronização de entidades de serviço do Microsoft Entra ID e grupos aninhados com o Azure Databricks, o que não é compatível com o provisionamento do SCIM. Para obter mais informações, veja Sincronizar usuários e grupos automaticamente do Microsoft Entra ID.

Sobre o provisionamento do SCIM no Azure Databricks

O SCIM permite que você use um IdP para criar usuários no Azure Databricks, dar a eles o nível adequado de acesso e remover o acesso (desprovisioná-los) quando eles deixarem sua organização ou não precisarem mais de acesso ao Azure Databricks.

Você pode usar um conector de provisionamento do SCIM em seu IdP ou invocar a API Groups do SCIM para gerenciar o provisionamento. Essas APIs também podem ser usadas para gerenciar identidades diretamente no Azure Databricks, sem um IdP.

Provisionamento do SCIM no nível da conta e do workspace

A Databricks recomenda que você use o provisionamento SCIM em nível de conta para criar, atualizar e excluir todos os usuários da conta. Você gerencia a atribuição de usuários e grupos a workspaces no Azure Databricks. Seus workspaces devem estar habilitados para federação de identidade para gerenciar as atribuições de workspace dos usuários.

Diagrama do SCIM no nível da conta

O provisionamento do SCIM no nível do espaço de trabalho é uma configuração herdada que está em Visualização Pública. Se você já tiver o provisionamento SCIM configurado no nível do workspace, o Databricks recomenda que você habilite o workspace com federação de identidade, configure o provisionamento SCIM no nível da conta e desative o provisionador SCIM no nível do workspace. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta. Para obter mais informações sobre o provisionamento do SCIM no nível do espaço de trabalho, consulte Provisionar identidades para um espaço de trabalho do Azure Databricks (herdado).

Requisitos

Para provisionar usuários e grupos no Azure Databricks usando o SCIM:

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você precisa ser um administrador da conta do Azure Databricks.

Você pode ter no máximo 10 mil usuários combinados e entidades de serviço e 5 mil grupos em uma conta. Cada workspace pode ter no máximo 10 mil usuários combinados e entidades de serviço e 5 mil grupos.

Sincronizar usuários e grupos com sua conta do Azure Databricks

Você pode sincronizar identidades em nível de conta do seu locatário do Microsoft Entra ID para o Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, será necessário desabilitar esses conectores SCIM quando o conector SCIM em nível de conta estiver habilitado. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta.

Para obter instruções completas, consulte Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory). Depois de configurar o provisionamento SCIM no nível da conta, o Databricks recomenda que você permita que todos os usuários no Microsoft Entra ID acessem a conta do Azure Databricks.

Observação

Quando você remove um usuário do conector SCIM em nível de conta, esse usuário é desativado da conta e de todos os seus espaços de trabalho, independentemente de a federação de identidades estar habilitada ou não. Quando você remove um grupo do conector SCIM no nível da conta, todos os usuários desse grupo são desativados da conta e de todos os workspaces aos quais tiveram acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso diretamente ao conector SCIM no nível da conta).

Girar o token SCIM no nível da conta

Se o token SCIM no nível da conta estiver comprometido ou se você tiver requisitos de negócios para alternar tokens de autenticação periodicamente, poderá alternar o token SCIM.

  1. Como administrador de conta do Azure Databricks, faça logon no console da conta.
  2. Na barra lateral, clique em Configurações.
  3. Clique em Provisionamento de Usuário.
  4. Clique em Regenerar token. Anote o novo token. O token anterior continuará funcionando por 24 horas.
  5. Dentro de 24 horas, atualize seu aplicativo SCIM para usar o novo token SCIM.

Migrar o provisionamento do SCIM no nível do workspace para o nível da conta

Se você estiver habilitando o provisionamento SCIM no nível da conta e já tiver o provisionamento SCIM no nível do espaço de trabalho configurado para alguns espaços de trabalho, o Databricks recomenda desativar o provisionador SCIM no nível do espaço de trabalho e sincronizar usuários e grupos no nível da conta.

  1. Crie um grupo no Microsoft Entra ID que inclua todos os usuários e grupos sendo provisionados no Azure Databricks usando seus conectores SCIM no nível do workspace.

    O Databricks recomenda que esse grupo inclua todos os usuários em todos os workspaces em sua conta.

  2. Configure um novo conector de provisionamento SCIM para provisionar usuários e grupos em sua conta, usando as instruções em Sincronizar usuários e grupos para sua conta do Azure Databricks.

    Use o grupo ou grupos criados na etapa 1. Se você adicionar um usuário que compartilha um nome de usuário (endereço de email) com um usuário de conta existente, esses usuários serão mesclados. Os grupos existentes na conta não são afetados.

  3. Confirme se o novo conector de provisionamento do SCIM está provisionando usuários e grupos com êxito em sua conta.

  4. Desligue os conectores SCIM antigos no nível do workspace que estavam provisionando usuários e grupos para os workspaces.

    Não remova usuários e grupos dos conectores SCIM no nível do workspace antes de desligá-los. A revogação do acesso de um conector SCIM desativa o utilizador no espaço de trabalho Azure Databricks. Para obter mais informações, veja Desativar um usuário em seu espaço de trabalho do Azure Databricks.

  5. Migre os grupos locais do workspace para grupos de contas.

    Se você tiver grupos herdados em seus workspaces, eles serão conhecidos como grupos locais de workspace. Você não pode gerenciar grupos locais de workspace usando interfaces de nível de conta. O Databricks recomenda convertê-los em grupos de contas. Confira Migrar grupos locais do workspace para grupos de contas