Partilhar via


Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory)

Este artigo descreve como configurar o provisionamento para a conta do Azure Databricks usando a ID do Microsoft Entra.

O Databricks recomenda que você provisione usuários, entidades de serviço e grupos para o nível da conta e gerencie a atribuição de usuários e grupos a espaços de trabalho no Azure Databricks. Seus espaços de trabalho devem estar habilitados para federação de identidades, a fim de gerenciar a atribuição de usuários a espaços de trabalho.

Nota

A maneira como o provisionamento é configurado é totalmente separada da configuração da autenticação e do acesso condicional para espaços de trabalho ou contas do Azure Databricks. A autenticação do Azure Databricks é tratada automaticamente pelo Microsoft Entra ID, usando o fluxo do protocolo OpenID Connect. Você pode configurar o acesso condicional, que permite criar regras para exigir autenticação multifator ou restringir logons a redes locais, no nível de serviço.

Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra

Você pode sincronizar usuários e grupos no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de conta do Azure Databricks.

Nota

Para ativar a consola da conta e estabelecer o seu primeiro administrador de conta, consulte Estabelecer o seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola de conta do Azure Databricks.
  2. Clique em Ícone de configurações do usuário Configurações.
  3. Clique em Provisionamento de usuário.
  4. Clique em Configurar provisionamento de usuário.

Copie o token SCIM e o URL SCIM da conta. Você os usará para configurar seu aplicativo Microsoft Entra ID.

Nota

O token SCIM é restrito à API /api/2.1/accounts/{account_id}/scim/v2/ SCIM da conta e não pode ser usado para autenticar outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo corporativo

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para habilitar a ID do Microsoft Entra para sincronizar usuários e grupos com sua conta do Azure Databricks. Essa configuração é separada de todas as configurações que você criou para sincronizar usuários e grupos com espaços de trabalho.

  1. No portal do Azure, vá para Aplicativos Empresariais do Microsoft Entra ID>.
  2. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM Provisioning Connector.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Defina o Modo de provisionamento como Automático.
  6. Defina o URL do ponto de extremidade da API SCIM para o URL SCIM da conta que você copiou anteriormente.
  7. Defina o Token Secreto como o token SCIM do Azure Databricks que você gerou anteriormente.
  8. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.
  9. Clique em Guardar.

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para a conta do Azure Databricks. Se você tiver espaços de trabalho existentes do Azure Databricks, o Databricks recomenda que você adicione todos os usuários e grupos existentes nesses espaços de trabalho ao aplicativo SCIM.

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks seguindo Gerenciar entidades de serviço em sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Defina Atribuição necessária como Não. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o botão Status de provisionamento como Ativado.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

Os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados para a conta do Azure Databricks quando a ID do Microsoft Entra agendar a próxima sincronização.

Nota

Se você remover um usuário do aplicativo SCIM no nível da conta, esse usuário será desativado da conta e de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam no espaço de trabalho do Azure Databricks antes de habilitar o provisionamento apresentam o seguinte comportamento durante a sincronização de provisionamento:
    • São mesclados se também existirem no Microsoft Entra ID
    • São ignorados se não existirem no Microsoft Entra ID
  • As permissões de usuário atribuídas individualmente que são duplicadas pela associação em um grupo permanecem mesmo depois que a associação ao grupo é removida para o usuário.
  • Usuários removidos de um espaço de trabalho do Azure Databricks diretamente, usando a página de configurações de administração do espaço de trabalho do Azure Databricks:
    • Perde o acesso a esse espaço de trabalho do Azure Databricks, mas ainda pode ter acesso a outros espaços de trabalho do Azure Databricks.
    • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo empresarial.
  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após habilitar o provisionamento. As sincronizações subsequentes são acionadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Não é possível atualizar o nome de usuário ou o endereço de email de um usuário do espaço de trabalho do Azure Databricks.
  • O admins grupo é um grupo reservado no Azure Databricks e não pode ser removido.
  • Você pode usar a API de Grupos do Azure Databricks ou a interface do usuário de Grupos para obter uma lista de membros de qualquer grupo de espaço de trabalho do Azure Databricks.
  • Não é possível sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID a partir do aplicativo Azure Databricks SCIM Provisioning Connector . O Databricks recomenda usar o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço no Azure Databricks. No entanto, você também pode usar o provedor Databricks Terraform ou scripts personalizados que visam a API SCIM do Azure Databricks para sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID.
  • As atualizações para nomes de grupos no Microsoft Entra ID não são sincronizadas com o Azure Databricks.

(Opcional) Automatize o provisionamento SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos para sua conta ou espaços de trabalho do Azure Databricks, em vez de configurar um aplicativo de conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com o Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Vá para a página Visão geral dos aplicativos. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Conceda ao aplicativo estas permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para conceder consentimento de administrador.
  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft Graph.

Resolução de Problemas

Usuários e grupos não sincronizam

  • Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector :
    • No console da conta, verifique se o token SCIM do Azure Databricks que foi usado para configurar o provisionamento ainda é válido.
  • Não tente sincronizar grupos aninhados, que não são suportados pelo provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte estas perguntas frequentes.

As entidades de serviço do Microsoft Entra ID não sincronizam

  • O aplicativo Azure Databricks SCIM Provisioning Connector não oferece suporte à sincronização de entidades de serviço.

Após a sincronização inicial, os utilizadores e os grupos deixam de ser sincronizados

Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector : após a sincronização inicial, a ID do Microsoft Entra não será sincronizada imediatamente após você alterar as atribuições de usuário ou grupo. Agenda uma sincronização com a aplicação após um atraso, com base no número de utilizadores e grupos. Para solicitar uma sincronização imediata, vá para Gerenciar provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reinicie a sincronização>.

O intervalo de IP do serviço de aprovisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory este arquivo de intervalo de IP. Para obter mais informações, veja Intervalos de IP.