Partilhar via

Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory)

  • Artigo

Este artigo descreve como configurar o provisionamento para o Azure Databricks usando o Microsoft Entra ID (anteriormente Azure Ative Directory).

Você pode configurar o provisionamento para o Azure Databricks usando a ID do Microsoft Entra no nível da conta do Azure Databricks ou no nível do espaço de trabalho do Azure Databricks.

O Databricks recomenda que você provisione usuários, entidades de serviço e grupos para o nível da conta e gerencie a atribuição de usuários e grupos a espaços de trabalho no Azure Databricks. Seus espaços de trabalho devem estar habilitados para federação de identidades, a fim de gerenciar a atribuição de usuários a espaços de trabalho. Se você tiver espaços de trabalho que não estejam habilitados para federação de identidades, deverá continuar a provisionar usuários, entidades de serviço e grupos diretamente para esses espaços de trabalho.

Nota

A maneira como o provisionamento é configurado é totalmente separada da configuração da autenticação e do acesso condicional para espaços de trabalho ou contas do Azure Databricks. A autenticação do Azure Databricks é tratada automaticamente pelo Microsoft Entra ID, usando o fluxo do protocolo OpenID Connect. Você pode configurar o acesso condicional, que permite criar regras para exigir autenticação multifator ou restringir logons a redes locais, no nível de serviço.

Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra

Você pode sincronizar usuários e grupos no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de conta do Azure Databricks.

Nota

Para ativar a consola da conta e estabelecer o seu primeiro administrador de conta, consulte Estabelecer o seu primeiro administrador de conta.

Etapa 1: Configurar o Azure Databricks

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola de conta do Azure Databricks.
  2. Clique em Ícone de configurações do usuárioDefinições.
  3. Clique em Provisionamento de usuário.
  4. Clique em Configurar provisionamento de usuário.

Copie o token SCIM e o URL SCIM da conta. Você os usará para configurar seu aplicativo Microsoft Entra ID.

Nota

O token SCIM é restrito à API /api/2.0/accounts/{account_id}/scim/v2/ SCIM da conta e não pode ser usado para autenticar outras APIs REST do Databricks.

Etapa 2: Configurar o aplicativo corporativo

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

Siga estas etapas para habilitar a ID do Microsoft Entra para sincronizar usuários e grupos com sua conta do Azure Databricks. Essa configuração é separada de todas as configurações que você criou para sincronizar usuários e grupos com espaços de trabalho.

  1. No portal do Azure, vá para Aplicativos Empresariais do Microsoft Entra ID>.
  2. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM Provisioning Connector.
  3. Insira um Nome para o aplicativo e clique em Adicionar.
  4. No menu Gerenciar, clique em Provisionamento.
  5. Defina o Modo de provisionamento como Automático.
  6. Defina o URL do ponto de extremidade da API SCIM para o URL SCIM da conta que você copiou anteriormente.
  7. Defina o Token Secreto como o token SCIM do Azure Databricks que você gerou anteriormente.
  8. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.
  9. Clique em Guardar.

Etapa 3: Atribuir usuários e grupos ao aplicativo

Os usuários e grupos atribuídos ao aplicativo SCIM serão provisionados para a conta do Azure Databricks. Se você tiver espaços de trabalho existentes do Azure Databricks, o Databricks recomenda que você adicione todos os usuários e grupos existentes nesses espaços de trabalho ao aplicativo SCIM.

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço à sua conta do Azure Databricks seguindo Gerenciar entidades de serviço em sua conta.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Defina Atribuição necessária como Não. O Databricks recomenda essa opção, que permite que todos os usuários entrem na conta do Azure Databricks.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o botão Status de provisionamento como Ativado.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

Os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados para a conta do Azure Databricks quando a ID do Microsoft Entra agendar a próxima sincronização.

Nota

Se você remover um usuário do aplicativo SCIM no nível da conta, esse usuário será desativado da conta e de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não.

Provisionar identidades para seu espaço de trabalho do Azure Databricks usando a ID do Microsoft Entra (herdada)

Importante

Esta funcionalidade está em Pré-visualização Pública.

Se você tiver espaços de trabalho não habilitados para federação de identidades, deverá provisionar usuários, entidades de serviço e grupos diretamente para esses espaços de trabalho. Esta seção descreve como fazer isso.

Nos exemplos seguintes, substitua <databricks-instance> pelo URL da área de trabalho da sua implementação do Azure Databricks.

Requerimentos

  • Sua conta do Azure Databricks deve ter o plano Premium.
  • Você deve ter a função Cloud Application Administrator no Microsoft Entra ID.
  • Sua conta do Microsoft Entra ID deve ser uma conta da edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
  • Você deve ser um administrador de espaço de trabalho do Azure Databricks.

Etapa 1: Criar o aplicativo corporativo e conectá-lo à API SCIM do Azure Databricks

Para configurar o provisionamento diretamente para espaços de trabalho do Azure Databricks usando a ID do Microsoft Entra, crie um aplicativo empresarial para cada espaço de trabalho do Azure Databricks.

Estas instruções informam como criar um aplicativo corporativo no portal do Azure e usar esse aplicativo para provisionamento. Se você tiver um aplicativo corporativo existente, poderá modificá-lo para automatizar o provisionamento SCIM usando o Microsoft Graph. Isso elimina a necessidade de um aplicativo de provisionamento separado no Portal do Azure.

  1. Como administrador do espaço de trabalho, faça logon no seu espaço de trabalho do Azure Databricks.

  2. Gere um token de acesso pessoal e copie-o. Você fornece esse token para o Microsoft Entra ID em uma etapa subsequente.

    Importante

    Gere esse token como um administrador do espaço de trabalho do Azure Databricks que não é gerenciado pelo aplicativo empresarial Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando a ID do Microsoft Entra, o aplicativo de provisionamento SCIM será desabilitado.

  3. No portal do Azure, vá para Aplicativos Empresariais do Microsoft Entra ID>.

  4. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar da galeria, procure e selecione Azure Databricks SCIM Provisioning Connector.

  5. Insira um Nome para o aplicativo e clique em Adicionar. Use um nome que ajude os administradores a encontrá-lo, como <workspace-name>-provisioning.

  6. No menu Gerenciar, clique em Provisionamento.

  7. Defina o Modo de provisionamento como Automático.

  8. Insira o URL do ponto de extremidade da API SCIM. Anexe /api/2.0/preview/scim ao URL do espaço de trabalho:

    https://<databricks-instance>/api/2.0/preview/scim

    Substitua <databricks-instance> pela URL do espaço de trabalho da sua implantação do Azure Databricks. Consulte Obter identificadores para objetos de espaço de trabalho.

  9. Defina o Token Secreto como o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.

  10. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas para habilitar o provisionamento.

  11. Opcionalmente, insira um e-mail de notificação para receber notificações de erros críticos com o provisionamento SCIM.

  12. Clique em Guardar.

Etapa 2: atribuir usuários e grupos ao aplicativo

Nota

O Microsoft Entra ID não oferece suporte ao provisionamento automático de entidades de serviço para o Azure Databricks. Você pode adicionar entidades de serviço ao seu espaço de trabalho do Azure Databricks após Gerenciar entidades de serviço em seu espaço de trabalho.

O Microsoft Entra ID não oferece suporte ao provisionamento automático de grupos aninhados para o Azure Databricks. O Microsoft Entra ID só pode ler e provisionar usuários que sejam membros imediatos do grupo explicitamente atribuído. Como solução alternativa, atribua explicitamente (ou de outra forma o escopo em) os grupos que contêm os usuários que precisam ser provisionados. Para obter mais informações, consulte estas perguntas frequentes.

  1. Vá para Gerenciar > propriedades.
  2. Defina Atribuição necessária como Sim. O Databricks recomenda essa opção, que sincroniza apenas usuários e grupos atribuídos ao aplicativo empresarial.
  3. Vá para Gerenciar > provisionamento.
  4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o botão Status de provisionamento como Ativado.
  5. Clique em Guardar.
  6. Vá para Gerenciar > usuários e grupos.
  7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .
  8. Aguarde alguns minutos e verifique se os usuários e grupos existem em sua conta do Azure Databricks.

No futuro, os usuários e grupos que você adicionar e atribuir serão automaticamente provisionados quando o Microsoft Entra ID agendar a próxima sincronização.

Importante

Não atribua o administrador do espaço de trabalho do Azure Databricks cujo token de acesso pessoal foi usado para configurar o aplicativo Azure Databricks SCIM Provisioning Connector .

(Opcional) Automatize o provisionamento SCIM usando o Microsoft Graph

O Microsoft Graph inclui bibliotecas de autenticação e autorização que você pode integrar ao seu aplicativo para automatizar o provisionamento de usuários e grupos para sua conta ou espaços de trabalho do Azure Databricks, em vez de configurar um aplicativo de conector de provisionamento SCIM.

  1. Siga as instruções para registrar um aplicativo com o Microsoft Graph. Anote a ID do Aplicativo e a ID do Locatário do aplicativo
  2. Vá para a página Visão geral dos aplicativos. Nessa página:
    1. Configure um segredo do cliente para o aplicativo e anote o segredo.
    2. Conceda ao aplicativo estas permissões:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Peça a um administrador do Microsoft Entra ID para conceder consentimento de administrador.
  4. Atualize o código do seu aplicativo para adicionar suporte ao Microsoft Graph.

Dicas de provisionamento

  • Os usuários e grupos que existiam no espaço de trabalho do Azure Databricks antes de habilitar o provisionamento apresentam o seguinte comportamento durante a sincronização de provisionamento:
    • São mesclados se também existirem no Microsoft Entra ID
    • São ignorados se não existirem no Microsoft Entra ID
  • As permissões de usuário atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.
  • Usuários removidos de um espaço de trabalho do Azure Databricks diretamente, usando a página de configurações de administração do espaço de trabalho do Azure Databricks:
    • Perde o acesso a esse espaço de trabalho do Azure Databricks, mas ainda pode ter acesso a outros espaços de trabalho do Azure Databricks.
    • Não serão sincronizados novamente usando o provisionamento do Microsoft Entra ID, mesmo que permaneçam no aplicativo empresarial.
  • A sincronização inicial do Microsoft Entra ID é acionada imediatamente após habilitar o provisionamento. As sincronizações subsequentes são acionadas a cada 20-40 minutos, dependendo do número de usuários e grupos no aplicativo. Consulte Relatório de resumo de provisionamento na documentação do Microsoft Entra ID.
  • Não é possível atualizar o nome de usuário ou o endereço de email de um usuário do espaço de trabalho do Azure Databricks.
  • O admins grupo é um grupo reservado no Azure Databricks e não pode ser removido.
  • Você pode usar a API de Grupos do Azure Databricks ou a interface do usuário de Grupos para obter uma lista de membros de qualquer grupo de espaço de trabalho do Azure Databricks.
  • Não é possível sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID a partir do aplicativo Azure Databricks SCIM Provisioning Connector . O Databricks recomenda que você use o aplicativo corporativo para sincronizar usuários e grupos e gerenciar grupos aninhados e entidades de serviço no Azure Databricks. No entanto, você também pode usar o provedor Databricks Terraform ou scripts personalizados destinados à API SCIM do Azure Databricks para sincronizar grupos aninhados ou entidades de serviço do Microsoft Entra ID.

Resolução de Problemas

Usuários e grupos não sincronizam

  • Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector :
    • Para provisionamento no nível do espaço de trabalho: na página Configurações de administração do Azure Databricks, verifique se o usuário do Azure Databricks cujo token de acesso pessoal está sendo usado pelo aplicativo Azure Databricks SCIM Provisioning Connector ainda é um usuário administrador do espaço de trabalho no Azure Databricks e se o token ainda é válido.
    • Para o aprovisionamento ao nível da conta: na consola da conta, verifique se o token do SCIM do Azure Databricks utilizado para configurar o aprovisionamento ainda é válido.
  • Não tente sincronizar grupos aninhados, que não são suportados pelo provisionamento automático do Microsoft Entra ID. Para obter mais informações, consulte estas perguntas frequentes.

As entidades de serviço do Microsoft Entra ID não sincronizam

  • O aplicativo Azure Databricks SCIM Provisioning Connector não oferece suporte à sincronização de entidades de serviço.

Após a sincronização inicial, os utilizadores e os grupos deixam de ser sincronizados

Se você estiver usando o aplicativo Azure Databricks SCIM Provisioning Connector : após a sincronização inicial, a ID do Microsoft Entra não será sincronizada imediatamente após você alterar as atribuições de usuário ou grupo. Agenda uma sincronização com a aplicação após um atraso, com base no número de utilizadores e grupos. Para solicitar uma sincronização imediata, vá para Gerenciar provisionamento para o aplicativo corporativo e selecione Limpar estado atual e reinicie a sincronização>.

O intervalo de IP do serviço de aprovisionamento do Microsoft Entra ID não está acessível

O serviço de provisionamento Microsoft Entra ID opera em intervalos de IP específicos. Se você precisar restringir o acesso à rede, deverá permitir o tráfego dos endereços IP para AzureActiveDirectory este arquivo de intervalo de IP. Para obter mais informações, veja Intervalos de IP.