Compartilhar via


Sincronizar usuários e grupos do Microsoft Entra ID

Este artigo descreve como configurar o IdP (provedor de identidade) e o Azure Databricks para provisionar usuários e grupos para o Azure Databricks usando o SCIM ou o Sistema de Gerenciamento de Usuários entre Domínios, um padrão aberto que permite automatizar o provisionamento de usuários.

Sobre o provisionamento do SCIM no Azure Databricks

O SCIM permite usar um IdP (provedor de identidade) para criar usuários no Azure Databricks, fornecer a eles o nível apropriado de acesso, e remover esse acesso (desprovisionar) quando eles deixam a organização ou não precisam mais de acesso ao Azure Databricks.

Você pode usar um conector de provisionamento do SCIM em seu IdP ou invocar a API Groups do SCIM para gerenciar o provisionamento. Essas APIs também podem ser usadas para gerenciar identidades diretamente no Azure Databricks, sem um IdP.

Provisionamento do SCIM no nível da conta e do workspace

A Databricks recomenda o uso do provisionamento SCIM no nível da conta para criar, atualizar e excluir todos os usuários da conta. Você gerencia a atribuição de usuários e grupos a workspaces no Azure Databricks. Seus workspaces devem estar habilitados para federação de identidade para gerenciar as atribuições de workspace dos usuários.

Diagrama do SCIM no nível da conta

O provisionamento do SCIM no nível do espaço de trabalho é uma configuração herdada que está em Visualização Pública. Se você já tiver o provisionamento de SCIM no nível do workspace configurado para um workspace, o Databricks recomenda que você habilite o workspace para federação de identidade, configure o provisionamento de SCIM no nível da conta e desative o provisionador de SCIM no nível do workspace. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta. Para obter mais informações sobre o provisionamento do SCIM no nível do espaço de trabalho, consulte Provisionar identidades para um espaço de trabalho do Azure Databricks (herdado).

Requisitos

Para provisionar usuários e grupos no Azure Databricks usando o SCIM:

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você precisa ser um administrador da conta do Azure Databricks.

Você pode ter no máximo 10 mil usuários combinados e entidades de serviço e 5 mil grupos em uma conta. Cada workspace pode ter no máximo 10 mil usuários combinados e entidades de serviço e 5 mil grupos.

Sincronizar usuários e grupos à sua conta do Azure Databricks

Você pode sincronizar as identidades no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento do SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente em seus workspaces, desabilite-os quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta.

Para obter instruções completas, consulte Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Active Directory). Depois de configurar o provisionamento SCIM no nível da conta, o Databricks recomenda que você permita que todos os usuários no Microsoft Entra ID acessem a conta do Azure Databricks. Consulte Habilitar todos os usuários do Microsoft Entra ID para acessar o Azure Databricks.

Observação

Quando você remove um usuário do conector SCIM no nível da conta, esse usuário é desativado da conta e de todos os seus espaços de trabalho, independentemente de a federação de identidade ter sido habilitada ou não. Ao remover um grupo do conector SCIM no nível da conta, todos os usuários desse grupo são desativados da conta e de todos os espaços de trabalho aos quais tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto ao conector SCIM no nível da conta).

Girar o token SCIM no nível da conta

Se o token SCIM no nível da conta estiver comprometido ou se você tiver requisitos de negócios para alternar tokens de autenticação periodicamente, poderá alternar o token SCIM.

  1. Como administrador de conta do Azure Databricks, faça logon no console da conta.
  2. Na barra lateral, clique em Configurações.
  3. Clique em Provisionamento de Usuário.
  4. Clique em Regenerar token. Anote o novo token. O token anterior continuará funcionando por 24 horas.
  5. Dentro de 24 horas, atualize seu aplicativo SCIM para usar o novo token SCIM.

Migrar o provisionamento do SCIM no nível do workspace para o nível da conta

Se você estiver habilitando o provisionamento SCIM no nível da conta e já tiver o provisionamento SCIM no nível do workspace configurado para alguns workspaces, o Databricks recomenda desativar o provisionador SCIM no nível do workspace e, em vez disso, sincronizar usuários e grupos no nível da conta.

  1. Crie um grupo no Microsoft Entra ID que inclua todos os usuários e grupos sendo provisionados no Azure Databricks usando seus conectores SCIM no nível do workspace.

    O Databricks recomenda que esse grupo inclua todos os usuários em todos os workspaces em sua conta.

  2. Configure um novo conector de provisionamento do SCIM para provisionar usuários e grupos em sua conta, usando as instruções em Sincronizar usuários e grupos à sua conta do Azure Databricks.

    Use o grupo ou grupos criados na etapa 1. Se você adicionar um usuário que compartilhe um nome de usuário (endereço de email) com um usuário de conta existente, esses usuários serão mesclados. Os grupos existentes na conta não são afetados.

  3. Confirme se o novo conector de provisionamento do SCIM está provisionando usuários e grupos com êxito em sua conta.

  4. Desligue os conectores SCIM antigos no nível do workspace que estavam provisionando usuários e grupos para os workspaces.

    Não remova usuários e grupos dos conectores SCIM no nível do espaço de trabalho antes de encerrá-los. A revogação do acesso de um conector SCIM desativa o utilizador no espaço de trabalho Azure Databricks. Para obter mais informações, veja Desativar um usuário em seu espaço de trabalho do Azure Databricks.

  5. Migre os grupos locais do workspace para grupos de contas.

    Se você tiver grupos herdados em seus workspaces, eles serão conhecidos como grupos locais de workspace. Você não pode gerenciar grupos locais de workspace usando interfaces de nível de conta. O Databricks recomenda convertê-los em grupos de contas. Confira Migrar grupos locais do workspace para grupos de contas