Sincronizar utilizadores e grupos do Microsoft Entra ID

Este artigo descreve como configurar seu provedor de identidade (IdP) e o Azure Databricks para provisionar usuários e grupos para o Azure Databricks usando SCIM ou System for Cross-domain Identity Management, um padrão aberto que permite automatizar o provisionamento de usuários.

Sobre o provisionamento SCIM no Azure Databricks

O SCIM permite que você use um IdP para criar usuários no Azure Databricks, dar-lhes o nível adequado de acesso e remover o acesso (desprovisioná-los) quando eles deixarem sua organização ou não precisarem mais acessar o Azure Databricks.

Você pode usar um conector de provisionamento SCIM em seu IdP ou invocar a API de Grupos SCIM para gerenciar o provisionamento. Você também pode usar essas APIs para gerenciar identidades no Azure Databricks diretamente, sem um IdP.

Provisionamento SCIM no nível da conta e no nível do espaço de trabalho

O Databricks recomenda que você use o provisionamento SCIM no nível da conta para criar, atualizar e excluir todos os usuários da conta. Você gerencia a atribuição de usuários e grupos a espaços de trabalho no Azure Databricks. Seus espaços de trabalho devem estar habilitados para federação de identidades para gerenciar as atribuições de espaço de trabalho dos usuários.

O provisionamento SCIM no nível do espaço de trabalho é uma configuração herdada que está na Visualização Pública. Se você já tiver o provisionamento SCIM no nível do espaço de trabalho configurado para um espaço de trabalho, o Databricks recomenda que você habilite o espaço de trabalho para federação de identidades, configure o provisionamento SCIM no nível da conta e desative o provisionador SCIM no nível do espaço de trabalho. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta. Para obter mais informações sobre o provisionamento SCIM no nível do espaço de trabalho, consulte Provisionar identidades para um espaço de trabalho do Azure Databricks (legado).

Requisitos

Para provisionar usuários e grupos para o Azure Databricks usando SCIM:

• Sua conta do Azure Databricks deve ter o plano Premium.
• Você deve ser um administrador de conta do Azure Databricks.

Você pode ter um máximo de 10.000 usuários combinados e entidades de serviço e 5000 grupos em uma conta. Cada espaço de trabalho pode ter um máximo de 10.000 usuários combinados e entidades de serviço e 5000 grupos.

Sincronizar usuários e grupos com sua conta do Azure Databricks

Você pode sincronizar identidades no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento SCIM.

Para obter instruções completas, consulte Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory). Depois de configurar o provisionamento SCIM no nível da conta, o Databricks recomenda que você permita que todos os usuários na ID do Microsoft Entra acessem a conta do Azure Databricks. Consulte Permitir que todos os usuários do Microsoft Entra ID acessem o Azure Databricks.

Girar o token SCIM no nível da conta

Se o token SCIM no nível da conta estiver comprometido ou se você tiver requisitos de negócios para alternar tokens de autenticação periodicamente, poderá girar o token SCIM.

1. Como administrador de conta do Azure Databricks, inicie sessão na consola da conta.
2. Na barra lateral, clique em Configurações.
3. Clique em Provisionamento de usuário.
4. Clique em Regenerar token. Anote o novo token. O token anterior continuará a funcionar por 24 horas.
5. Dentro de 24 horas, atualize seu aplicativo SCIM para usar o novo token SCIM.

Migrar o provisionamento SCIM no nível do espaço de trabalho para o nível da conta

Se você estiver habilitando o provisionamento SCIM no nível da conta e já tiver o provisionamento SCIM no nível do espaço de trabalho configurado para alguns espaços de trabalho, o Databricks recomenda que você desative o provisionador SCIM no nível do espaço de trabalho e, em vez disso, sincronize usuários e grupos com o nível da conta.

1. Crie um grupo no Microsoft Entra ID que inclua todos os usuários e grupos que você está provisionando atualmente para o Azure Databricks usando seus conectores SCIM no nível do espaço de trabalho.

   O Databricks recomenda que esse grupo inclua todos os usuários em todos os espaços de trabalho da sua conta.

2. Configure um novo conector de provisionamento SCIM para provisionar usuários e grupos para sua conta, usando as instruções em Sincronizar usuários e grupos com sua conta do Azure Databricks.

   Use o grupo ou grupos que você criou na etapa 1. Se você adicionar um usuário que compartilha um nome de usuário (endereço de e-mail) com um usuário de conta existente, esses usuários serão mesclados. Os grupos existentes na conta não são afetados.

3. Confirme se o novo conector de provisionamento SCIM está provisionando usuários e grupos com êxito para sua conta.

4. Desligue os antigos conectores SCIM no nível do espaço de trabalho que estavam provisionando usuários e grupos para seus espaços de trabalho.

   Não remova usuários e grupos dos conectores SCIM no nível do espaço de trabalho antes de desligá-los. Revogar o acesso de um conector SCIM desativa o usuário no espaço de trabalho do Azure Databricks. Para obter mais informações, consulte Desativar um usuário em seu espaço de trabalho do Azure Databricks.

5. Migre grupos locais do espaço de trabalho para grupos de contas.

   Se você tiver grupos herdados em seus espaços de trabalho, eles serão conhecidos como grupos locais de espaço de trabalho. Não é possível gerenciar grupos locais de espaço de trabalho usando interfaces no nível da conta. O Databricks recomenda que você os converta em grupos de contas. Consulte Migrar grupos locais do espaço de trabalho para grupos de contas