Compartilhar via


Configurar o provisionamento SCIM no nível de espaço de trabalho usando o Microsoft Entra ID (herdado)

Importante

Esta documentação foi desativada e pode não estar atualizada. O provisionamento SCIM no nível do workspace é obsoleto. O Databricks recomenda que você use o provisionamento SCIM no nível da conta, consulte Sincronizar usuários e grupos do Microsoft Entra ID.

Importante

Esse recurso está em uma versão prévia.

Em caso de workspaces não habilitados para federação de identidade, você deverá provisionar usuários, entidades de serviço e grupos diretamente para esses workspaces. Esta seção descreve como fazer isso.

Nos exemplos a seguir, substitua <databricks-instance> pela URL do workspace da sua implantação do Azure Databricks.

Requisitos

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador do workspace do Azure Databricks.

Etapa 1: Criar o aplicativo empresarial e conectá-lo à API do SCIM do Azure Databricks

Para configurar o provisionamento diretamente nos workspaces do Azure Databricks usando o Microsoft Entra ID, crie um aplicativo empresarial para cada workspace do Azure Databricks.

Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento.

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

  2. Gere um token de acesso pessoal e copie-o. Você fornecerá esse token ao Microsoft Entra ID em uma etapa subsequente.

    Importante

    Gere esse token como um administrador do workspace do Azure Databricks que não é gerenciado pelo aplicativo empresarial do Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando o Microsoft Entra ID, o aplicativo de provisionamento do SCIM será desabilitado.

  3. No portal do Azure, acesse Microsoft Entra ID > Aplicativos Empresariais.

  4. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de Provisionamento SCIM do Azure Databricks.

  5. Insira um Nome para o aplicativo e clique em Adicionar. Use um nome que ajudará os administradores a encontrá-lo, como <workspace-name>-provisioning.

  6. No menu Gerenciar, clique em Provisionamento.

  7. Defina o Modo de Provisionamento como Automático.

  8. Insira a URL do ponto de extremidade da API do SCIM. Anexe /api/2.0/preview/scim à URL do workspace:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Substitua <databricks-instance> pela URL do workspace da sua implantação do Azure Databricks. Consulte Obter identificadores para objetos do espaço de trabalho .

  9. Defina o Token Secreto como o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.

  10. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.

  11. Opcionalmente, insira um email de notificação para receber notificações de erros críticos com o provisionamento do SCIM.

  12. Clique em Save (Salvar).

Etapa 2: Atribuir usuários e grupos ao aplicativo

Observação

O Microsoft Entra ID não dá suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço ao seu espaço de trabalho do Azure Databricks seguindo as instruções Gerenciar entidades de serviço no seu espaço de trabalho.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que são membros imediatos de um grupo explicitamente atribuído. Como alternativa, atribua explicitamente os (ou defina o escopo de outra forma em) grupos que contêm os usuários que precisam ser provisionados. Para saber mais, confira estas perguntas frequentes.

  1. Acesse Gerenciar > Propriedades.
  2. Defina Atribuição necessária como Sim. O Databricks recomenda essa opção, que sincroniza somente os usuários e grupos atribuídos ao aplicativo empresarial.
  3. Acesse Gerenciar > Provisionamento.
  4. Para iniciar a sincronização de usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina a opção Status de Provisionamento para Ligado.
  5. Clique em Save (Salvar).
  6. Acesse Gerenciar > Usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.

No futuro, os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente quando o Microsoft Entra ID agendar a próxima sincronização.

Importante

Não atribua o administrador do workspace do Azure Databricks cujo token de acesso pessoal foi usado para configurar o aplicativo Conector de Provisionamento do SCIM do Azure Databricks.