Partilhar via

Configurar o provisionamento SCIM no nível do espaço de trabalho usando o Microsoft Entra ID (legado)

  • Artigo

Importante

Esta documentação foi desativada e pode não ser atualizada. O provisionamento SCIM no nível do espaço de trabalho é legado. O Databricks recomenda que você use o provisionamento SCIM no nível da conta, consulte Sincronizar usuários e grupos do Microsoft Entra ID.

Importante

Esta funcionalidade está em Pré-visualização Pública.

Se você tiver espaços de trabalho não habilitados para federação de identidades, deverá provisionar usuários, entidades de serviço e grupos diretamente para esses espaços de trabalho. Esta seção descreve como fazer isso.

Nos exemplos seguintes, substitua <databricks-instance> pelo URL da área de trabalho da sua implementação do Azure Databricks.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de espaço de trabalho do Azure Databricks.

Etapa 1: Criar o aplicativo corporativo e conectá-lo à API SCIM do Azure Databricks

Para configurar o provisionamento diretamente para espaços de trabalho do Azure Databricks usando a ID do Microsoft Entra, crie um aplicativo empresarial para cada espaço de trabalho do Azure Databricks.

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento.

  1. Como administrador do espaço de trabalho, faça logon no seu espaço de trabalho do Azure Databricks.

  2. Gere um token de acesso pessoal e copie-o. Você fornece esse token para o Microsoft Entra ID em uma etapa subsequente.

    Importante

    Gere esse token como um administrador do espaço de trabalho do Azure Databricks que não é gerenciado pelo aplicativo empresarial Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando a ID do Microsoft Entra, o aplicativo de provisionamento SCIM será desabilitado.

  3. No portal do Azure, vá para Aplicativos Empresariais do Microsoft Entra ID>.

  4. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM Provisioning Connector.

  5. Insira um Nome para o aplicativo e clique em Adicionar. Use um nome que ajude os administradores a encontrá-lo, como <workspace-name>-provisioning.

  6. No menu Gerenciar, clique em Provisionamento.

  7. Defina o Modo de provisionamento como Automático.

  8. Insira o URL do ponto de extremidade da API SCIM. Anexe /api/2.0/preview/scim ao URL do espaço de trabalho:

    https://<databricks-instance>/api/2.0/preview/scim

    Substitua <databricks-instance> pela URL do espaço de trabalho da sua implantação do Azure Databricks. Consulte Obter identificadores para objetos de espaço de trabalho.

  9. Defina o Token Secreto como o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.

  10. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.

  11. Opcionalmente, insira um e-mail de notificação para receber notificações de erros críticos com o provisionamento SCIM.

  12. Clique em Guardar.

Etapa 2: atribuir usuários e grupos ao aplicativo

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço ao seu espaço de trabalho do Azure Databricks após Gerenciar entidades de serviço em seu espaço de trabalho.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Defina Atribuição necessária como Sim. O Databricks recomenda essa opção, que sincroniza apenas usuários e grupos atribuídos ao aplicativo empresarial.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o botão Status de provisionamento como Ativado.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

No futuro, os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados quando o Microsoft Entra ID agendar a próxima sincronização.

Importante

Não atribua o administrador do espaço de trabalho do Azure Databricks cujo token de acesso pessoal foi usado para configurar o aplicativo Azure Databricks SCIM Provisioning Connector .