Compartilhar via

Configurar o provisionamento do SCIM usando o Microsoft Entra ID (Azure Active Directory)

  • Artigo

Este artigo descreve como configurar o provisionamento para a conta do Azure Databricks usando o Microsoft Entra ID.

O Databricks recomenda provisionar usuários, entidades de serviço e grupos no nível da conta e gerenciar a atribuição de usuários e grupos para workspaces no Azure Databricks. Seus workspaces devem estar habilitados para federação de identidade, a fim de gerenciar a atribuição de usuários a workspaces.

Observação

O modo de configuração do provisionamento é totalmente separado da configuração da autenticação e do acesso condicional para contas ou workspaces do Azure Databricks. A autenticação no Azure Databricks é manipulada automaticamente pelo Microsoft Entra ID, usando o fluxo de protocolo OpenID Connect. É possível configurar o acesso condicional, que permite criar regras para exigir a autenticação multifator ou restringir logons a redes locais, no nível do serviço.

Provisionar identidades na conta do Azure Databricks usando o Microsoft Entra ID

Você pode sincronizar usuários e grupos no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento do SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente em seus workspaces, desabilite-os quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta.

Requisitos

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você precisa ser um administrador da conta do Azure Databricks.

Observação

Para habilitar o console da conta e estabelecer seu primeiro administrador de conta, confira Estabelecer seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como um administrador de conta do Azure Databricks, entre no console da conta do Azure Databricks.
  2. Clique em Ícone de Configurações do Usuário Configurações.
  3. Clique em Provisionamento de Usuário.
  4. Clique em Configurar provisionamento de usuário.

Copie o token SCIM e a URL SCIM da conta. Você os usará para configurar seu aplicativo do Microsoft Entra ID.

Observação

O token SCIM é restrito à API SCIM da conta /api/2.1/accounts/{account_id}/scim/v2/ e não pode ser usado para autenticação em outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo empresarial

Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento. Se você já tiver um aplicativo empresarial, poderá modificá-lo para automatizar o provisionamento do SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no portal do Azure.

Siga essas etapas para habilitar o Microsoft Entra ID para sincronizar usuários e grupos com sua conta do Azure Databricks. Essa configuração é separada de todas as configurações que você criou para sincronizar usuários e grupos a workspaces.

  1. No portal do Azure, acesse Microsoft Entra ID > Aplicativos Empresariais.
  2. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de Provisionamento SCIM do Azure Databricks.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Defina o Modo de Provisionamento como Automático.
  6. Defina a URL do ponto de extremidade da API do SCIM como a URL do SCIM de conta que você copiou anteriormente.
  7. Defina o Token Secreto como o token SCIM do Azure Databricks que você gerou anteriormente.
  8. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.
  9. Clique em Save (Salvar).

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados à conta do Azure Databricks. Se você tiver workspaces do Azure Databricks existentes, a Databricks recomenda que você adicione todos os usuários e grupos existentes nesses workspaces ao aplicativo SCIM.

Observação

O Microsoft Entra ID não dá suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks da seguinte forma Gerenciar entidades de serviço na sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que são membros imediatos de um grupo explicitamente atribuído. Como alternativa, atribua explicitamente os (ou defina o escopo de outra forma em) grupos que contêm os usuários que precisam ser provisionados. Para saber mais, confira estas perguntas frequentes.

  1. Acesse Gerenciar > Propriedades.
  2. Defina Atribuição necessária como Não. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Acesse Gerenciar > Provisionamento.
  4. Para iniciar a sincronização de usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina a opção Status de Provisionamento para Ligado.
  5. Clique em Save (Salvar).
  6. Acesse Gerenciar > Usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.

Os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente à conta do Azure Databricks quando o Microsoft Entra ID agendar a próxima sincronização.

Observação

Se você remover um usuário do aplicativo SCIM no nível da conta, esse usuário também será desativado da conta e de seus workspaces, independentemente de a federação de identidade ter sido habilitada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam na conta do Azure Databricks antes de habilitar o provisionamento exibem o seguinte comportamento na sincronização de provisionamento:
    • Usuários e grupos serão mesclados se também existirem na ID do Microsoft Entra.
    • Usuários e grupos serão ignorados se não existirem na ID do Microsoft Entra. Os usuários que não existem na ID do Microsoft Entra não podem fazer logon no Azure Databricks.
  • As permissões de usuário atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação de grupo é removida para o usuário.
  • A remoção direta de usuários de uma conta do Azure Databricks usando o console da conta tem os seguintes efeitos:
    • O usuário removido perde o acesso a essa conta do Azure Databricks e a todos os workspaces da conta.
    • O usuário removido não será sincronizado novamente usando o provisionamento de ID do Microsoft Entra, mesmo que permaneça no aplicativo empresarial.
  • A sincronização inicial do Microsoft Entra ID é disparada imediatamente após a habilitação do provisionamento. As sincronizações subsequentes são disparadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Confira Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Você não pode atualizar o endereço de email de um usuário do Azure Databricks.
  • Você não pode sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID do aplicativo Azure Databricks SCIM Provisioning Connector. O Databricks recomenda que você use o aplicativo empresarial para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço no Azure Databricks. No entanto, você também pode usar o provedor Terraform do Databricks ou scripts personalizados direcionados à API SCIM do Azure Databricks para sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID.
  • As atualizações para nomes de grupo na ID do Microsoft Entra não são sincronizadas com o Azure Databricks.
  • Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode fazer com que o Azure Databricks rejeite solicitações de criação de usuário do aplicativo SCIM da ID do Microsoft Entra. Para casos como usuários externos ou e-mails com alias, talvez seja necessário alterar o mapeamento SCIM padrão do aplicativo empresarial para usar userPrincipalName em vez de mail.

(Opcional) Automatizar o provisionamento do SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos na conta ou nos workspaces do Azure Databricks, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo no Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Acesse a página de visão geral do aplicativo. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Conceda estas permissões ao aplicativo:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.
  4. Atualize o código do aplicativo para adicionar suporte ao Microsoft Graph.

Solução de problemas

Usuários e grupos não sincronizam

  • Se você estiver usando o aplicativo Conector de provisionamento do SCIM do Azure Databricks:
    • No console da conta, verifique se o token SCIM do Azure Databricks usado para configurar o provisionamento ainda é válido.
  • Não tente sincronizar grupos aninhados, um recurso sem suporte no provisionamento automático do Microsoft Entra ID. Para saber mais, confira estas perguntas frequentes.

As entidades de serviço do Microsoft Entra ID não sincronizam

  • O aplicativo Azure Databricks SCIM Provisioning Connector não dá suporte à sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se você estiver usando o aplicativo Conector de Provisionamento SCIM do Azure Databricks: após a sincronização inicial, o Microsoft Entra ID não será sincronizado imediatamente depois que você alterar as atribuições de usuário ou grupo. Ele agendará uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse Gerenciar > Provisionamento para o aplicativo empresarial e selecione Limpar estado atual e reiniciar sincronização.

Intervalo de IP do serviço de provisionamento do Microsoft Entra ID não acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory nesse arquivo de intervalo de IP. Para saber mais, confira Intervalos IP.