Partilhar via

Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory)

  • Artigo

Este artigo descreve como configurar o provisionamento para a conta do Azure Databricks usando a ID do Microsoft Entra.

Você também pode sincronizar usuários e grupos do Microsoft Entra ID usando o gerenciamento automático de identidades (Visualização Pública). O gerenciamento automático de identidades não requer que você configure um aplicativo no Microsoft Entra ID. Ele também oferece suporte à sincronização de entidades de serviço e grupos aninhados do Microsoft Entra ID com o Azure Databricks, que não é suportado usando o provisionamento SCIM. Para obter mais informações, veja Sincronize utilizadores e grupos automaticamente do Microsoft Entra ID.

Nota

A maneira como o provisionamento é configurado é totalmente separada da configuração da autenticação e do acesso condicional para espaços de trabalho ou contas do Azure Databricks. A autenticação do Azure Databricks é tratada automaticamente pelo Microsoft Entra ID, usando o fluxo do protocolo OpenID Connect. Você pode configurar o acesso condicional, que permite criar regras para exigir autenticação multifator ou restringir logons a redes locais, no nível de serviço.

Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra

Você pode sincronizar usuários e grupos no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de conta do Azure Databricks.

Nota

Para ativar a consola da conta e estabelecer o seu primeiro administrador de conta, consulte Estabelecer o seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola de conta do Azure Databricks.
  2. Clique em Ícone de configurações do usuárioConfigurações.
  3. Clique em Provisionamento de usuário.
  4. Clique Configurar o provisionamento de usuários.

Copie o token SCIM e o URL SCIM da conta. Você os usará para configurar seu aplicativo Microsoft Entra ID.

Nota

O token SCIM é restrito à API /api/2.1/accounts/{account_id}/scim/v2/ SCIM da conta e não pode ser usado para autenticar outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo corporativo

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para habilitar a ID do Microsoft Entra para sincronizar usuários e grupos com sua conta do Azure Databricks. Essa configuração é separada de todas as configurações que você criou para sincronizar usuários e grupos com espaços de trabalho.

  1. No portal do Azure, vá para > do Microsoft Entra ID.
  2. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM Provisioning Connector.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Defina Modo de Provisionamento como Automático.
  6. Defina o URL do ponto de extremidade da API SCIM para o URL SCIM da conta que você copiou anteriormente.
  7. Defina Token Secreto para o token SCIM do Azure Databricks que foi gerado anteriormente.
  8. Clique Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.
  9. Clique em Guardar.

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para a conta do Azure Databricks. Se você tiver espaços de trabalho existentes do Azure Databricks, o Databricks recomenda que você adicione todos os usuários e grupos existentes nesses espaços de trabalho ao aplicativo SCIM.

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks seguindo Gerenciar entidades de serviço em sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Configure Atribuição necessária para Sem. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o de Status de Provisionamento para On.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar utilizador/grupo, selecione os utilizadores e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

Os utilizadores e grupos que adicionares e atribuíres serão automaticamente provisionados para a conta do Azure Databricks quando a Microsoft Entra ID agendar a próxima sincronização.

Nota

Se você remover um usuário do aplicativo SCIM no nível da conta, esse usuário será desativado da conta e de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam na conta do Azure Databricks antes de habilitar o provisionamento apresentam o seguinte comportamento durante a sincronização de provisionamento:
    • Usuários e grupos são mesclados se também existirem no Microsoft Entra ID.
    • Os utilizadores e grupos são ignorados se não existirem no Microsoft Entra ID. Os usuários que não existem no Microsoft Entra ID não podem fazer logon no Azure Databricks.
  • As permissões de usuário atribuídas individualmente que são duplicadas pela associação em um grupo permanecem mesmo depois que a associação ao grupo é removida para o usuário.
  • A remoção direta de usuários de uma conta do Azure Databricks usando o console de conta tem os seguintes efeitos:
    • O usuário removido perde o acesso a essa conta do Azure Databricks e a todos os espaços de trabalho na conta.
    • O usuário removido não será sincronizado novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneça no aplicativo empresarial.
  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após habilitar o provisionamento. As sincronizações subsequentes são acionadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Não é possível atualizar o endereço de email de um usuário do Azure Databricks.
  • Não é possível sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID a partir do aplicativo do Azure Databricks SCIM Provisioning Connector. O Databricks recomenda usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço no Azure Databricks. No entanto, pode também usar o provedor Databricks Terraform ou scripts personalizados que visam a API SCIM do Azure Databricks para sincronizar grupos aninhados ou principais de serviço do Microsoft Entra ID.
  • As atualizações para nomes de grupos no Microsoft Entra ID não são sincronizadas com o Azure Databricks.
  • Os parâmetros userName e emails.value devem corresponder. Uma incompatibilidade pode levar o Azure Databricks a rejeitar pedidos de criação de utilizadores a partir da aplicação Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mails com alias, talvez seja necessário alterar o mapeamento SCIM padrão do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos para sua conta ou espaços de trabalho do Azure Databricks, em vez de configurar um aplicativo de conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com o Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Vá para a página Visão geral dos aplicativos. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Conceda ao aplicativo estas permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para conceder consentimento de administrador.
  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft Graph.

Resolução de Problemas

Usuários e grupos não sincronizam

  • Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector :
    • No console da conta, verifique se o token SCIM do Azure Databricks que foi usado para configurar o provisionamento ainda é válido.
  • Não tente sincronizar grupos aninhados, que não são suportados pelo provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte estas perguntas frequentes.

As entidades de serviço do Microsoft Entra ID não sincronizam

  • O aplicativo Azure Databricks SCIM Provisioning Connector não oferece suporte à sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector : Após a sincronização inicial, a ID do Microsoft Entra não será sincronizada imediatamente após você alterar as atribuições de usuário ou grupo. Ele agenda uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, vá para > Gerenciar provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reiniciar a sincronização.

O intervalo de IP do serviço de aprovisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento Microsoft Entra ID opera em intervalos de IP específicos. Se precisar restringir o acesso à rede, você deverá permitir o tráfego dos endereços IP para AzureActiveDirectory no arquivo Azure IP Ranges and Service Tags – Public Cloud. Transfira a partir do site de transferência da Microsoft. Para obter mais informações, veja Intervalos de IP.