Share via

Configurar o provisionamento do SCIM usando o Microsoft Entra ID (Azure Active Directory)

  • Artigo

Este artigo descreve como configurar o provisionamento para o Azure Databricks usando o Microsoft Entra ID (antigo Azure Active Directory).

Você pode configurar o provisionamento para o Azure Databricks usando o Microsoft Entra ID no nível da conta do Azure Databricks ou no nível do workspace do Azure Databricks.

O Databricks recomenda provisionar usuários, entidades de serviço e grupos no nível da conta e gerenciar a atribuição de usuários e grupos para workspaces no Azure Databricks. Seus workspaces devem estar habilitados para federação de identidade, a fim de gerenciar a atribuição de usuários a workspaces. Em caso de workspaces não habilitados para federação de identidade, você deverá continuar provisionando usuários, entidades de serviço e grupos diretamente para esses workspaces.

Observação

O modo de configuração do provisionamento é totalmente separado da configuração da autenticação e do acesso condicional para contas ou workspaces do Azure Databricks. A autenticação no Azure Databricks é manipulada automaticamente pelo Microsoft Entra ID, usando o fluxo de protocolo OpenID Connect. É possível configurar o acesso condicional, que permite criar regras para exigir a autenticação multifator ou restringir logons a redes locais, no nível do serviço.

Provisionar identidades na conta do Azure Databricks usando o Microsoft Entra ID

Você pode sincronizar usuários e grupos no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento do SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente em seus workspaces, desabilite-os quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar o provisionamento do SCIM no nível do workspace para o nível da conta.

Requisitos

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você precisa ser um administrador da conta do Azure Databricks.

Observação

Para habilitar o console da conta e estabelecer seu primeiro administrador de conta, confira Estabelecer seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como um administrador de conta do Azure Databricks, entre no console da conta do Azure Databricks.
  2. Clique no Ícone de Configurações do UsuárioConfigurações.
  3. Clique em Provisionamento de Usuário.
  4. Clique em Configurar provisionamento de usuários.

Copie o token SCIM e a URL SCIM da conta. Você os usará para configurar seu aplicativo do Microsoft Entra ID.

Observação

O token SCIM é restrito à API SCIM da conta /api/2.0/accounts/{account_id}/scim/v2/ e não pode ser usado para autenticação em outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo empresarial

Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento. Se você já tiver um aplicativo empresarial, poderá modificá-lo para automatizar o provisionamento do SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no portal do Azure.

Siga essas etapas para habilitar o Microsoft Entra ID para sincronizar usuários e grupos com sua conta do Azure Databricks. Essa configuração é separada de todas as configurações que você criou para sincronizar usuários e grupos a workspaces.

  1. No portal do Azure, acesse Microsoft Entra ID > Aplicativos Empresariais.
  2. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de Provisionamento SCIM do Azure Databricks.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Defina o Modo de Provisionamento como Automático.
  6. Defina a URL do ponto de extremidade da API do SCIM como a URL do SCIM de conta que você copiou anteriormente.
  7. Defina o Token Secreto como o token SCIM do Azure Databricks que você gerou anteriormente.
  8. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.
  9. Clique em Save (Salvar).

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados à conta do Azure Databricks. Se você tiver workspaces do Azure Databricks existentes, a Databricks recomenda que você adicione todos os usuários e grupos existentes nesses workspaces ao aplicativo SCIM.

Observação

O Microsoft Entra ID não dá suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks da seguinte forma Gerenciar entidades de serviço na sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que são membros imediatos de um grupo explicitamente atribuído. Como alternativa, atribua explicitamente os (ou defina o escopo de outra forma em) grupos que contêm os usuários que precisam ser provisionados. Para saber mais, confira estas perguntas frequentes.

  1. Acesse Gerenciar > Propriedades.
  2. Defina Atribuição necessária como Não. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Acesse Gerenciar > Provisionamento.
  4. Para iniciar a sincronização de usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina a opção Status de Provisionamento para Ligado.
  5. Clique em Save (Salvar).
  6. Acesse Gerenciar > Usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.

Os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente à conta do Azure Databricks quando o Microsoft Entra ID agendar a próxima sincronização.

Observação

Se você remover um usuário do aplicativo SCIM no nível da conta, esse usuário também será desativado da conta e de seus workspaces, independentemente de a federação de identidade ter sido habilitada ou não.

Provisionar identidades no seu workspace do Azure Databricks usando o Microsoft Entra ID (herdado)

Importante

Esse recurso está em uma versão prévia.

Em caso de workspaces não habilitados para federação de identidade, você deverá provisionar usuários, entidades de serviço e grupos diretamente para esses workspaces. Esta seção descreve como fazer isso.

Nos exemplos a seguir, substitua <databricks-instance> pela URL do workspace da sua implantação do Azure Databricks.

Requisitos

  • Sua conta do Azure Databricks precisa ter o plano Premium.
  • Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador do workspace do Azure Databricks.

Etapa 1: Criar o aplicativo empresarial e conectá-lo à API do SCIM do Azure Databricks

Para configurar o provisionamento diretamente nos workspaces do Azure Databricks usando o Microsoft Entra ID, crie um aplicativo empresarial para cada workspace do Azure Databricks.

Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento. Se você já tiver um aplicativo empresarial, poderá modificá-lo para automatizar o provisionamento do SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no portal do Azure.

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

  2. Gere um token de acesso pessoal e copie-o. Você fornecerá esse token ao Microsoft Entra ID em uma etapa subsequente.

    Importante

    Gere esse token como um administrador do workspace do Azure Databricks que não é gerenciado pelo aplicativo empresarial do Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando o Microsoft Entra ID, o aplicativo de provisionamento do SCIM será desabilitado.

  3. No portal do Azure, acesse Microsoft Entra ID > Aplicativos Empresariais.

  4. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Conector de Provisionamento SCIM do Azure Databricks.

  5. Insira um Nome para o aplicativo e clique em Adicionar. Use um nome que ajudará os administradores a encontrá-lo, como <workspace-name>-provisioning.

  6. No menu Gerenciar, clique em Provisionamento.

  7. Defina o Modo de Provisionamento como Automático.

  8. Insira a URL do ponto de extremidade da API do SCIM. Anexe /api/2.0/preview/scim à URL do workspace:

    https://<databricks-instance>/api/2.0/preview/scim

    Substitua <databricks-instance> pela URL do workspace da sua implantação do Azure Databricks. Consulte Obter identificadores para objetos do espaço de trabalho .

  9. Defina o Token Secreto como o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.

  10. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.

  11. Opcionalmente, insira um email de notificação para receber notificações de erros críticos com o provisionamento do SCIM.

  12. Clique em Save (Salvar).

Etapa 2: Atribuir usuários e grupos ao aplicativo

Observação

O Microsoft Entra ID não dá suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço ao seu espaço de trabalho do Azure Databricks seguindo as instruções Gerenciar entidades de serviço no seu espaço de trabalho.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que são membros imediatos de um grupo explicitamente atribuído. Como alternativa, atribua explicitamente os (ou defina o escopo de outra forma em) grupos que contêm os usuários que precisam ser provisionados. Para saber mais, confira estas perguntas frequentes.

  1. Acesse Gerenciar > Propriedades.
  2. Defina Atribuição necessária como Sim. O Databricks recomenda essa opção, que sincroniza somente os usuários e grupos atribuídos ao aplicativo empresarial.
  3. Acesse Gerenciar > Provisionamento.
  4. Para iniciar a sincronização de usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina a opção Status de Provisionamento para Ligado.
  5. Clique em Save (Salvar).
  6. Acesse Gerenciar > Usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir.
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.

No futuro, os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente quando o Microsoft Entra ID agendar a próxima sincronização.

Importante

Não atribua o administrador do workspace do Azure Databricks cujo token de acesso pessoal foi usado para configurar o aplicativo Conector de Provisionamento do SCIM do Azure Databricks.

(Opcional) Automatizar o provisionamento do SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos na conta ou nos workspaces do Azure Databricks, em vez de configurar um aplicativo conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo no Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Acesse a página de visão geral do aplicativo. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Conceda estas permissões ao aplicativo:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para conceder o consentimento do administrador.
  4. Atualize o código do aplicativo para adicionar suporte ao Microsoft Graph.

Dicas de provisionamento

  • Os usuários e grupos que existiam no workspace do Azure Databricks antes de habilitar o provisionamento exibem o seguinte comportamento ao provisionar a sincronização:
    • São mesclados se também existirem no Microsoft Entra ID
    • São ignorados se não existirem no Microsoft Entra ID
  • As permissões de usuário atribuídas individualmente e duplicadas por meio da associação em um grupo permanecem depois que a associação de grupo é removida para o usuário.
  • Usuários removidos diretamente de um workspace do Azure Databricks, usando a página de configurações de administrador do workspace do Azure Databricks:
    • Perdem o acesso a esse workspace do Azure Databricks, mas ainda podem acessar outros workspaces do Azure Databricks.
    • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo empresarial.
  • A sincronização inicial do Microsoft Entra ID é disparada imediatamente após a habilitação do provisionamento. As sincronizações subsequentes são disparadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Confira Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Você não pode atualizar o nome de usuário ou o endereço de email de um usuário do workspace do Azure Databricks.
  • O grupo admins é um grupo reservado no Azure Databricks e não pode ser removido.
  • Você pode usar a API de Grupos do Azure Databricks ou a Interface do usuário de Grupos para obter uma lista de membros de qualquer grupo do workspace do Azure Databricks.
  • Você não pode sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID do aplicativo Azure Databricks SCIM Provisioning Connector. O Databricks recomenda que você use o aplicativo empresarial para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço no Azure Databricks. No entanto, você também pode usar o provedor Terraform do Databricks ou scripts personalizados direcionados à API do SCIM do Azure Databricks para sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID.

Solução de problemas

Usuários e grupos não sincronizam

  • Se você estiver usando o aplicativo Conector de provisionamento do SCIM do Azure Databricks:
    • Para provisionamento no nível do workspace: na página de configurações do administrador do Azure Databricks, verifique se o usuário do Azure Databricks cujo token de acesso pessoal está sendo usado pelo aplicativo Conector de Provisionamento do SCIM do Azure Databricks ainda é usuário administrador do workspace do Azure Databricks e se o token ainda é válido.
    • Para provisionamento no nível da conta: no console da conta, verifique se o token do SCIM do Azure Databricks usado para configurar o provisionamento ainda é válido.
  • Não tente sincronizar grupos aninhados, um recurso sem suporte no provisionamento automático do Microsoft Entra ID. Para saber mais, confira estas perguntas frequentes.

As entidades de serviço do Microsoft Entra ID não sincronizam

  • O aplicativo Azure Databricks SCIM Provisioning Connector não dá suporte à sincronização de entidades de serviço.

Após a sincronização inicial, os usuários e grupos param de sincronizar

Se você estiver usando o aplicativo Conector de Provisionamento SCIM do Azure Databricks: após a sincronização inicial, o Microsoft Entra ID não será sincronizado imediatamente depois que você alterar as atribuições de usuário ou grupo. Ele agendará uma sincronização com o aplicativo após um atraso, com base no número de usuários e grupos. Para solicitar uma sincronização imediata, acesse Gerenciar > Provisionamento para o aplicativo empresarial e selecione Limpar estado atual e reiniciar sincronização.

Intervalo de IP do serviço de provisionamento do Microsoft Entra ID não acessível

O serviço de provisionamento do Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory nesse arquivo de intervalo de IP. Para saber mais, confira Intervalos IP.