Partilhar via

Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory)

  • Artigo

Este artigo descreve como set configurar o provisionamento para a conta do Azure Databricks usando set ID do Microsoft Entra.

O Databricks recomenda que você provisione usuários, entidades de serviço e grupos para o nível da conta e gerencie a atribuição de usuários e grupos a espaços de trabalho no Azure Databricks. Seus espaços de trabalho devem estar habilitados para federação de identidades, a fim de gerenciar a atribuição de usuários a espaços de trabalho.

Nota

A maneira como o provisionamento é configurado é totalmente separada da configuração da autenticação e do acesso condicional para espaços de trabalho ou contas do Azure Databricks. A autenticação do Azure Databricks é tratada automaticamente pelo Microsoft Entra ID, usando o fluxo do protocolo OpenID Connect. Você pode configurar o acesso condicional, que permite criar regras para exigir autenticação multifator ou restringir logons a redes locais, no nível de serviço.

Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra

Você pode sync os utilizadores e grupos ao nível da conta do seu locatário do Microsoft Entra ID para o Azure Databricks, utilizando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sync identidades diretamente para seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de conta do Azure Databricks.

Nota

Para ativar a consola da conta e estabelecer o seu primeiro administrador de conta, consulte Estabelecer o seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola de conta do Azure Databricks.
  2. Clique em Ícone de configurações do usuárioConfigurações.
  3. Clique em Provisionamento de usuário.
  4. Clique Set o provisionamento de usuários.

Copie o token SCIM e o URL SCIM da conta. Você os usará para configurar seu aplicativo Microsoft Entra ID.

Nota

O token SCIM é restrito à API /api/2.1/accounts/{account_id}/scim/v2/ SCIM da conta e não pode ser usado para autenticar outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo corporativo

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para habilitar a ID do Microsoft Entra para que sync usuários e grupos acedam à sua conta do Azure Databricks. Esta configuração é separada de todas as configurações que você criou para sync utilizadores e grupos para espaços de trabalho.

  1. No portal do Azure, vá para > do Microsoft Entra ID.
  2. Clique em + Novo aplicativo acima do aplicativo list. Em adicionar da galeria, procure por e selectAzure Databricks SCIM Provisioning Connector.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Set Modo de provisionamento definido para Automático.
  6. Set a URL do ponto de extremidade da API SCIM à URL SCIM da conta que você copiou anteriormente.
  7. Set Token Secreto para o token SCIM do Azure Databricks que geraste anteriormente.
  8. Clique Testar a Ligação e aguarde a mensagem que confirma que os credentials estão autorizados a ativar o provisionamento.
  9. Clique em Guardar.

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para a conta do Azure Databricks. Se você tiver espaços de trabalho existentes do Azure Databricks, o Databricks recomenda que você adicione todos os usuários e grupos existentes nesses espaços de trabalho ao aplicativo SCIM.

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks seguindo Gerenciar entidades de serviço em sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Set Atribuição necessária a No. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, o Status de Provisionamento alternar para On.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar utilizador/grupo, select os utilizadores e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

Os utilizadores e grupos que adicionar e atribuir serão automaticamente provisionados na conta do Azure Databricks quando o ID do Microsoft Entra agendar a próxima sync.

Nota

Se você remove um usuário a partir do aplicativo SCIM no nível da conta, esse usuário será desativado da conta e de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não.

Dicas de provisionamento

  • Os usuários e grupos que existiam na conta do Azure Databricks antes de habilitar o provisionamento apresentam o seguinte comportamento ao provisionar sync:
    • Usuários e grupos são mesclados se também existirem no Microsoft Entra ID.
    • Os utilizadores e grupos são ignorados se não existirem no Microsoft Entra ID. Os usuários que não existem no Microsoft Entra ID não podem fazer logon no Azure Databricks.
  • As permissões de usuário atribuídas individualmente que são duplicadas pela associação em um grupo permanecem mesmo depois que a associação ao grupo é removida para o usuário.
  • A remoção direta de usuários de uma conta do Azure Databricks usando o console de conta tem os seguintes efeitos:
    • O usuário removido perde o acesso a essa conta do Azure Databricks e a todos os espaços de trabalho na conta.
    • O usuário removido não será sincronizado novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneça no aplicativo empresarial.
  • A ID sync inicial do Microsoft Entra é acionada imediatamente após ativar o provisionamento. As sincronizações subsequentes são acionadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Não é possível update o endereço de email de um utilizador do Azure Databricks.
  • Não é possível executar a operação em grupos aninhados ou entidades de serviço do Microsoft Entra ID a partir do aplicativo Azure Databricks SCIM Provisioning Connector. O Databricks recomenda usar a aplicação empresarial para sync utilizadores e grupos e gerir grupos aninhados e entidades de serviço no Azure Databricks. No entanto, você também pode usar o provedor Databricks Terraform ou scripts personalizados que visam a API SCIM do Azure Databricks para sync grupos aninhados ou principais de serviço do Microsoft Entra ID.
  • As atualizações para nomes de grupos no Microsoft Entra ID não sync no Azure Databricks.
  • O parameters,userName e emails.value devem corresponder. Uma incompatibilidade pode levar o Azure Databricks a rejeitar pedidos de criação de utilizadores a partir da aplicação Microsoft Entra ID SCIM. Para casos como usuários externos ou e-mails com alias, talvez seja necessário alterar o mapeamento SCIM padrão do aplicativo corporativo para usar userPrincipalName em vez de mail.

(Opcional) Automatize o provisionamento SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos para sua conta ou espaços de trabalho do Azure Databricks, em vez de configurar um aplicativo de conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com o Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Vá para a página Visão geral dos aplicativos. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Grant o aplicativo estas permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para grant consentimento de administrador.
  4. Update o código da sua aplicação para adicionar suporte ao Microsoft Graph.

Resolução de Problemas

Utilizadores e grupos não sync

  • Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector :
    • No console da conta, verifique se o token SCIM do Azure Databricks que foi usado para set o provisionamento ainda é válido.
  • Não tente usar o comando sync com grupos aninhados, pois estes não são suportados pelo Microsoft Entra ID no provisionamento automático. Para obter mais informações, consulte estas perguntas frequentes.

Entidades de serviço do Microsoft Entra ID não sync

  • O aplicativo Azure Databricks SCIM Provisioning Connector não oferece suporte à sincronização de entidades de serviço.

Após a syncinicial, os utilizadores e grupos param de ser sincronizados.

Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector: Após a inicial, a ID do Microsoft Entra não imediatamente após você alterar as atribuições de usuário ou grupo. Agenda um sync com a aplicação após um atraso, baseando-se no número de utilizadores e grupos. Para solicitar uma syncimediata, vá para Gerenciar > de provisionamento para o aplicativo corporativo e selectLimpar estado atual e reiniciar a sincronização.

O intervalo de IP do serviço de aprovisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento Microsoft Entra ID opera em intervalos de IP específicos. Se precisar restringir o acesso à rede, você deverá permitir o tráfego dos endereços IP para AzureActiveDirectory no arquivo Azure IP Ranges and Service Tags – Public Cloud. Transfira a partir do site de transferência da Microsoft. Para obter mais informações, veja Intervalos de IP.