Sincronizar usuários e grupos automaticamente da ID do Microsoft Entra
Importante
Esse recurso está em Versão prévia Pública. Para ingressar nesta versão prévia, entre em contato com sua equipe de conta do Azure Databricks.
Este artigo descreve como configurar o Azure Databricks para sincronizar usuários, entidades de serviço e grupos da ID do Microsoft Entra usando o gerenciamento automático de identidade.
Como usuários e grupos são sincronizados automaticamente com a ID do Microsoft Entra?
Você pode adicionar usuários, entidades de serviço e grupos da ID do Microsoft Entra ao Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra usando o gerenciamento automático de identidade. Quando o gerenciamento automático de identidade está habilitado, você pode pesquisar diretamente em espaços de trabalho federados de identidade por usuários, entidades de serviço e grupos do Microsoft Entra ID e adicioná-los ao seu espaço de trabalho. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nas associações de grupo são respeitadas no Azure Databricks.
Usuários removidos do status do Microsoft Entra ID são exibidos como Deactivated no Azure Databricks. Os usuários desativados não podem fazer logon no Azure Databricks ou autenticar-se nas APIs do Azure Databricks. Como prática recomendada de segurança, recomendamos revogar tokens de acesso pessoal para esses usuários.
Os usuários também podem compartilhar painéis com qualquer usuário, entidade de serviço ou grupo na ID do Microsoft Entra. Esses usuários são adicionados automaticamente à conta do Azure Databricks após o logon. Eles não são adicionados como membros à área de trabalho na qual o painel está. Membros do Microsoft Entra ID que não têm acesso ao espaço de trabalho recebem acesso a uma cópia somente para visualização de um painel publicado com credenciais incorporadas. Para obter mais informações sobre o compartilhamento de painel de controle, consulte Compartilhar um painel de controle.
Não há suporte para o gerenciamento automático de identidade em workspaces federados não identitários. Para obter mais informações sobre federação de identidade, veja Habilitar federação de identidade.
Gerenciamento automático de identidade versus provisionamento SCIM
Quando o gerenciamento automático de identidades está habilitado, todos os usuários, grupos e afiliações de grupo são sincronizados do Microsoft Entra ID para o Azure Databricks, de modo que o provisionamento SCIM não é necessário. Se você mantiver o aplicativo empresarial SCIM em execução em paralelo, o aplicativo SCIM continuará a gerenciar usuários e grupos configurados no aplicativo empresarial Microsoft Entra ID. Ele não gerencia identidades do Microsoft Entra ID que não foram adicionadas usando o provisionamento SCIM.
O Databricks recomenda o uso do gerenciamento automático de identidade. A tabela a seguir compara as características do gerenciamento automático de identidade com as características do provisionamento SCIM.
| Características | Gerenciamento automático de identidade | Provisionamento SCIM |
|---|---|---|
| Sincronizar usuários | ✓ | ✓ |
| Sincronizar grupos | ✓ | ✓ (Somente membros diretos) |
| Sincronizar grupos aninhados | ✓ | |
| Princípios do serviço de sincronização | ✓ | |
| Configurar e gerenciar o aplicativo de ID do Microsoft Entra | ✓ | |
| Requer a edição Premium do Microsoft Entra ID | ✓ | |
| Requer a função de administrador do aplicativo em nuvem do Microsoft Entra ID | ✓ | |
| Requer federação de identidade | ✓ |
Nota
Durante a Visualização Pública, os grupos aninhados não são listados na interface de usuário do Azure Databricks. Veja Limitações da interface de gerenciamento automático de identidade durante a visualização pública.
Habilitar o gerenciamento automático de identidade
Para habilitar o gerenciamento automático de identidades, entre em contato com sua equipe de conta do Azure Databricks. Depois que sua conta estiver habilitada, para adicionar e remover usuários, entidades de serviço e grupos da ID do Microsoft Entra, siga as instruções abaixo:
- Gerenciar usuários em sua conta
- Gerencie os principais serviços em sua conta
- Adicionar grupos à sua conta usando o console da conta
Quando o gerenciamento automático de identidade está habilitado, os administradores da conta podem desabilitá-lo usando a página Visualizações.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Versões previas .
- Alterne Gerenciamento automático de identidade para Desligado.
Quando desabilitados, os usuários, as entidades de serviço e os grupos provisionados anteriormente permanecem no Azure Databricks, mas não são mais sincronizados com a ID do Microsoft Entra. Você pode remover ou desativar esses usuários no console da conta.
Auditar logons do usuário
Você pode consultar a tabela system.access.audit para auditar quais usuários fizeram login no workspace. Por exemplo:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Para obter mais informações sobre a system.access.audittabela, veja Referência da tabela do sistema de log de auditoria.
Limitações da interface de gerenciamento automático de identidade durante a visualização pública
As páginas de detalhes dos usuários não estão disponíveis na interface do usuário do workspace do Azure Databricks até que o usuário faça logon.
Quando um usuário é adicionado a uma área de trabalho usando o gerenciamento automático de identidade, a coluna de origem aparece como "Databricks" em vez de "Externa" até que ele faça login.
As páginas de detalhes de usuários, entidades de serviço e grupos não estarão disponíveis na interface do usuário do espaço de trabalho do Azure Databricks se forem atribuídas indiretamente ao espaço de trabalho por meio de associação de grupo.
Se um usuário, entidade de serviço ou grupo for adicionado ao Azure Databricks usando o gerenciamento automático de identidade e também adicionado ao Azure Databricks ou outro método, como o provisionamento SCIM, eles poderão ser listados duas vezes, com uma listagem aparecendo inativa. O usuário não está inativo e pode fazer logon no Azure Databricks.
Nota
Nesse caso, você pode mesclar usuários duplicados, entidades de serviço e grupos fornecendo sua ID externa no Azure Databricks. Use a API Usuários da conta, Principais do serviço da conta ou Grupos de contas para atualizar a entidade para adicionar seu objetoId do Microsoft Entra ID no
externalIdcampo.As páginas de detalhes do grupo filho não estão disponíveis na interface do usuário do espaço de trabalho do Azure Databricks.
Não é possível adicionar usuários, entidades de serviço e grupos do Microsoft Entra ID diretamente ao console da conta usando a interface do usuário do console da conta. No entanto, as identidades Entra ID da Microsoft adicionadas aos workspaces do Azure Databricks são automaticamente adicionadas à conta.