Sincronizar utilizadores e grupos do Microsoft Entra ID

Este artigo descreve como configurar seu provedor de identidade (IdP) e o Azure Databricks para provisionar usuários e grupos para o Azure Databricks usando SCIM ou System for Cross-domain Identity Management, um padrão aberto que permite automatizar o provisionamento de usuários.

Sobre o provisionamento SCIM no Azure Databricks

O SCIM permite que você use um provedor de identidade (IdP) para criar usuários no Azure Databricks, dar-lhes o nível adequado de acesso e remover o acesso (desprovisioná-los) quando eles deixarem sua organização ou não precisarem mais de acesso ao Azure Databricks.

Você pode usar um conector de provisionamento SCIM em seu IdP ou invocar a API de Grupos SCIM para gerenciar o provisionamento. Você também pode usar essas APIs para gerenciar identidades no Azure Databricks diretamente, sem um IdP.

Provisionamento SCIM no nível da conta e no nível do espaço de trabalho

Você pode configurar um conector de provisionamento SCIM da ID do Microsoft Entra para sua conta do Azure Databricks, usando o provisionamento SCIM no nível da conta, ou configurar conectores de provisionamento SCIM separados para cada espaço de trabalho, usando o provisionamento SCIM no nível do espaço de trabalho.

• Provisionamento SCIM no nível da conta: o Databricks recomenda que você use o provisionamento SCIM no nível da conta para criar, atualizar e excluir todos os usuários da conta. Você gerencia a atribuição de usuários e grupos a espaços de trabalho no Azure Databricks. Seus espaços de trabalho devem estar habilitados para federação de identidades para gerenciar as atribuições de espaço de trabalho dos usuários.

• Provisionamento SCIM no nível do espaço de trabalho (visualização herdada e pública): para espaços de trabalho que não estão habilitados para federação de identidades, você deve gerenciar o provisionamento SCIM no nível da conta e no nível do espaço de trabalho em paralelo. Você não precisa de provisionamento SCIM no nível do espaço de trabalho para nenhum espaço de trabalho habilitado para federação de identidades.

  Se você já tiver o provisionamento SCIM no nível do espaço de trabalho configurado para um espaço de trabalho, o Databricks recomenda que você habilite o espaço de trabalho para federação de identidades, configure o provisionamento SCIM no nível da conta e desative o provisionador SCIM no nível do espaço de trabalho. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Requisitos

Para provisionar usuários e grupos para o Azure Databricks usando SCIM:

• Sua conta do Azure Databricks deve ter o plano Premium.
• Para provisionar usuários para sua conta do Azure Databricks usando SCIM (incluindo as APIs REST do SCIM), você deve ser um administrador de conta do Azure Databricks.
• Para provisionar usuários para um espaço de trabalho do Azure Databricks usando SCIM (incluindo as APIs REST do SCIM), você deve ser um administrador do espaço de trabalho do Azure Databricks.

Para obter mais informações sobre privilégios de administrador, consulte Gerenciar usuários, entidades de serviço e grupos.

Você pode ter um máximo de 10.000 usuários combinados e entidades de serviço e 5000 grupos em uma conta. Cada espaço de trabalho pode ter um máximo de 10.000 usuários combinados e entidades de serviço e 5000 grupos.

Provisionar identidades para sua conta do Azure Databricks

Você pode usar o SCIM para provisionar usuários e grupos da ID do Microsoft Entra para sua conta do Azure Databricks usando um conector de provisionamento SCIM ou diretamente usando as APIs do SCIM.

Adicionar usuários e grupos à sua conta do Azure Databricks usando a ID do Microsoft Entra (anteriormente Azure Ative Directory)

Você pode sincronizar identidades no nível da conta do locatário do Microsoft Entra ID com o Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Para obter instruções completas, consulte Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra.

Nota

Quando você remove um usuário do conector SCIM no nível da conta, esse usuário é desativado da conta e de todos os seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não. Quando você remove um grupo do conector SCIM no nível da conta, todos os usuários desse grupo são desativados da conta e de quaisquer espaços de trabalho aos quais tiveram acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto ao conector SCIM no nível da conta).

Adicione usuários, entidades de serviço e grupos à sua conta usando a API SCIM

Os administradores de conta podem adicionar usuários, entidades de serviço e grupos à conta do Azure Databricks usando a API SCIM da conta. Os administradores de conta chamam a API em accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) e podem usar um token SCIM ou um token de ID do Microsoft Entra para autenticar.

Nota

O token SCIM é restrito à API /api/2.0/accounts/{account_id}/scim/v2/ SCIM da conta e não pode ser usado para autenticar outras APIs REST do Databricks.

Para obter o token SCIM, faça o seguinte:

1. Como administrador da conta, inicie sessão na consola da conta.

2. Na barra lateral, clique em Configurações.

3. Clique em Provisionamento de usuário.

   Se o provisionamento não estiver habilitado, clique em Configurar provisionamento de usuário e copie o token.

   Se o provisionamento já estiver habilitado, clique em Regenerar token e copie o token.

Para usar um token de ID do Microsoft Entra para autenticar, consulte Autenticação da entidade de serviço do Microsoft Entra ID.

Os administradores de espaço de trabalho podem adicionar usuários e entidades de serviço usando a mesma API. Os administradores do espaço de trabalho chamam a API no domínio {workspace-domain}/api/2.0/account/scim/v2/do espaço de trabalho.

Girar o token SCIM no nível da conta

Se o token SCIM no nível da conta estiver comprometido ou se você tiver requisitos de negócios para alternar tokens de autenticação periodicamente, poderá girar o token SCIM.

1. Como administrador de conta do Azure Databricks, inicie sessão na consola da conta.
2. Na barra lateral, clique em Configurações.
3. Clique em Provisionamento de usuário.
4. Clique em Regenerar token. Anote o novo token. O token anterior continuará a funcionar por 24 horas.
5. Dentro de 24 horas, atualize seu aplicativo SCIM para usar o novo token SCIM.

Migrar o provisionamento SCIM no nível do espaço de trabalho para o nível da conta

Se você estiver habilitando o provisionamento SCIM no nível da conta e já tiver o provisionamento SCIM no nível do espaço de trabalho configurado para alguns espaços de trabalho, o Databricks recomenda que você desative o provisionador SCIM no nível do espaço de trabalho e, em vez disso, sincronize usuários e grupos com o nível da conta.

1. Crie um grupo no Microsoft Entra ID que inclua todos os usuários e grupos que você está provisionando atualmente para o Azure Databricks usando seus conectores SCIM no nível do espaço de trabalho.

   O Databricks recomenda que esse grupo inclua todos os usuários em todos os espaços de trabalho da sua conta.

2. Configure um novo conector de provisionamento SCIM para provisionar usuários e grupos para sua conta, usando as instruções em Provisionar identidades para sua conta do Azure Databricks.

   Use o grupo ou grupos que você criou na etapa 1. Se você adicionar um usuário que compartilha um nome de usuário (endereço de e-mail) com um usuário de conta existente, esses usuários serão mesclados. Os grupos existentes na conta não são afetados.

3. Confirme se o novo conector de provisionamento SCIM está provisionando usuários e grupos com êxito para sua conta.

4. Desligue os antigos conectores SCIM no nível do espaço de trabalho que estavam provisionando usuários e grupos para seus espaços de trabalho.

   Não remova usuários e grupos dos conectores SCIM no nível do espaço de trabalho antes de desligá-los. Revogar o acesso de um conector SCIM desativa o usuário no espaço de trabalho do Azure Databricks. Para obter mais informações, consulte Desativar um usuário em seu espaço de trabalho do Azure Databricks.

5. Migre grupos locais do espaço de trabalho para grupos de contas.

   Se você tiver grupos herdados em seus espaços de trabalho, eles serão conhecidos como grupos locais de espaço de trabalho. Não é possível gerenciar grupos locais de espaço de trabalho usando interfaces no nível da conta. O Databricks recomenda que você os converta em grupos de contas. Consulte Migrar grupos locais do espaço de trabalho para grupos de contas

Provisionar identidades para um espaço de trabalho do Azure Databricks (legado)

Importante

Esta funcionalidade está em Pré-visualização Pública.

Se você quiser usar um conector IdP para provisionar usuários e grupos e tiver um espaço de trabalho que não seja federado por identidade, deverá configurar o provisionamento SCIM no nível do espaço de trabalho.

Nota

O SCIM no nível do espaço de trabalho não reconhece grupos de contas atribuídos ao seu espaço de trabalho federado de identidade e as chamadas à API SCIM no nível do espaço de trabalho falharão se envolverem grupos de contas. Se seu espaço de trabalho estiver habilitado para federação de identidades, o Databricks recomenda que você use a API SCIM no nível da conta em vez da API SCIM no nível do espaço de trabalho e que configure o provisionamento SCIM no nível da conta e desative o provisionador SCIM no nível do espaço de trabalho. Para obter instruções detalhadas, consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Adicionar usuários e grupos ao seu espaço de trabalho usando um conector de provisionamento IdP

Siga as instruções no artigo específico do IdP apropriado:

• Configurar o provisionamento SCIM usando o Microsoft Entra ID (Azure Ative Directory)

Adicione usuários, grupos e entidades de serviço ao seu espaço de trabalho usando a API SCIM

Os administradores de espaço de trabalho podem adicionar usuários, grupos e entidades de serviço à conta do Azure Databricks usando APIs SCIM no nível do espaço de trabalho. Consulte API de usuários de espaço de trabalho, API de grupos de espaço de trabalho e API de entidades de serviço de espaço de trabalho