Configurar o provisionamento SCIM no nível de espaço de trabalho usando o Microsoft Entra ID (herdado)
Importante
Esta documentação foi desativada e pode não estar atualizada. O provisionamento SCIM no nível do workspace é obsoleto. O Databricks recomenda que você use o provisionamento SCIM no nível da conta, consulte Sincronizar usuários e grupos do Microsoft Entra ID.
Importante
Esse recurso está em uma versão prévia.
Em caso de workspaces não habilitados para federação de identidade, você deverá provisionar usuários, entidades de serviço e grupos diretamente para esses workspaces. Esta seção descreve como fazer isso.
Nos exemplos a seguir, substitua <databricks-instance>
pela URL do workspace da sua implantação do Azure Databricks.
Requisitos
- Sua conta do Azure Databricks precisa ter o plano Premium.
- Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
- Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
- Você deve ser um administrador do workspace do Azure Databricks.
Etapa 1: Criar o aplicativo empresarial e conectá-lo à API do SCIM do Azure Databricks
Para configurar o provisionamento diretamente nos workspaces do Azure Databricks usando o Microsoft Entra ID, crie um aplicativo empresarial para cada workspace do Azure Databricks.
Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento.
Como administrador do workspace, faça logon no workspace do Azure Databricks.
Gere um token de acesso pessoal e copie-o. Você fornecerá esse token ao Microsoft Entra ID em uma etapa subsequente.
Importante
Gere esse token como um administrador do workspace do Azure Databricks que não é gerenciado pelo aplicativo empresarial do Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando o Microsoft Entra ID, o aplicativo de provisionamento do SCIM será desabilitado.
No portal do Azure, acesse Microsoft Entra ID > Aplicativos Empresariais.
Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de Provisionamento SCIM do Azure Databricks.
Insira um Nome para o aplicativo e clique em Adicionar. Use um nome que ajudará os administradores a encontrá-lo, como
<workspace-name>-provisioning
.No menu Gerenciar, clique em Provisionamento.
Defina o Modo de Provisionamento como Automático.
Insira a URL do ponto de extremidade da API do SCIM. Anexe
/api/2.0/preview/scim
à URL do workspace:https://<databricks-instance>/api/2.0/preview/scim
Substitua
<databricks-instance>
pela URL do workspace da sua implantação do Azure Databricks. Consulte Obter identificadores para objetos do espaço de trabalho .Defina o Token Secreto como o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.
Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.
Opcionalmente, insira um email de notificação para receber notificações de erros críticos com o provisionamento do SCIM.
Clique em Save (Salvar).
Etapa 2: Atribuir usuários e grupos ao aplicativo
Observação
O Microsoft Entra ID não dá suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço ao seu espaço de trabalho do Azure Databricks seguindo as instruções Gerenciar entidades de serviço no seu espaço de trabalho.
O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que são membros imediatos de um grupo explicitamente atribuído. Como alternativa, atribua explicitamente os (ou defina o escopo de outra forma em) grupos que contêm os usuários que precisam ser provisionados. Para saber mais, confira estas perguntas frequentes.
- Acesse Gerenciar > Propriedades.
- Defina Atribuição necessária como Sim. O Databricks recomenda essa opção, que sincroniza somente os usuários e grupos atribuídos ao aplicativo empresarial.
- Acesse Gerenciar > Provisionamento.
- Para iniciar a sincronização de usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina a opção Status de Provisionamento para Ligado.
- Clique em Save (Salvar).
- Acesse Gerenciar > Usuários e grupos.
- Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir.
- Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.
No futuro, os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente quando o Microsoft Entra ID agendar a próxima sincronização.
Importante
Não atribua o administrador do workspace do Azure Databricks cujo token de acesso pessoal foi usado para configurar o aplicativo Conector de Provisionamento do SCIM do Azure Databricks.