Configurar o provisionamento do SCIM para o OneLogin

Este artigo descreve como configurar o provisionamento Databricks usando o Onelogin.

Databricks Os usuários se autenticam nos sites account e workspace usando o Google Cloud Identity account (ou GSuite account), consulte Logon único usando o Google Cloud Identity. Se o senhor provisionar um usuário para account ou workspace usando o Onelogin, esse usuário também deverá ter um Google Cloud Identity account para se autenticar.

Databricks recomenda que o senhor provisione usuários, entidades de serviço e grupos no nível account e atribua usuários e grupos ao espaço de trabalho usando a federação de identidade.

Requisitos

  • Seu Databricks account deve ter o plano Premium.

  • O senhor deve ser o administrador do Databricks account .

  • Seu OneLogin account deve ser compatível com o provisionamento.

  • O senhor deve ser um Super User ou account Owner do seu OneLogin account.

  • Databricks recomenda que o senhor leia os artigos do OneLogin, What is User provisionamento and Deprovisioning?

Configurar o provisionamento SCIM em nível de conta usando o OneLogin

Esta seção descreve como configurar um conector do OneLogin SCIM para provisionar usuários e grupos para o seu account.

Obtenha os tokens SCIM e o URL account SCIM em Databricks

  1. account log in Como Databricks account administrador do , acesse o console .

    1. Clique em Ícone de configurações do usuário Settings.

    2. Clique em Provisionamento de usuários.

    3. Clique em Set up user provisioning (Configurar provisionamento de usuários).

      Copie os tokens SCIM e o URL account SCIM . O senhor os usará para configurar o conector no OneLogin.

Observação

Os tokens SCIM são restritos ao account SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outros Databricks REST APIs.

Configurar o aplicativo de provisionamento do OneLogin SCIM

  1. log in para o OneLogin como Super User ou account Owner e inicie o console de administração do OneLogin.

  2. Vá para Applications (Aplicativos ) e clique em Add App (Adicionar aplicativo).

  3. Procure e selecione SCIM Provisioner with SAML (SCIM v2 Core).

  4. Clique em Salvar. A nova guia de configuração aparece à esquerda.

  5. Clique em Configuração.

  6. No subdomínioDatabricks , digite o URL account SCIM .

  7. No campo SCIM Bearer tokens, digite o Databricks pessoal access token.

  8. Em API Connection (Conexão de API), clique em Enable (Ativar). O aplicativo se autentica na Databricks.

  9. Vá para provisionamento para ativar e configurar o provisionamento.

    1. Em fluxo de trabalho, selecione Habilitar provisionamento.

    2. Configure se será necessária a aprovação do administrador para criar, excluir ou atualizar um usuário.

      Observação

      A Databricks recomenda que o senhor ative a aprovação do administrador para todas as operações como uma proteção inicial, para que não acione o provisionamento automático para seus usuários antes que a configuração e o teste tenham sido concluídos. Depois de testar e verificar se o provisionamento está funcionando como esperado, o senhor pode definir essas configurações para substituir a aprovação do administrador.

    3. Configure o comportamento no Databricks quando um usuário for excluído do OneLogin:

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.

      • Delete exclui o usuário em Databricks e arquiva o recurso do usuário. Isso não é reversível.

    4. Configure o comportamento no Databricks quando um usuário for suspenso no OneLogin.

      • Não fazer nada não modifica o usuário no Databricks.

      • Suspender desativa o usuário no Databricks. O usuário não pode log in, mas os recursos do usuário não são modificados. Isso é reversível.

    1. Em Entitlements (Direitos), clique em refresh. No OneLogin, os grupos são chamados de direitos. Isso importa grupos do Databricks para o OneLogin. Não há suporte para a importação de direitos do OneLogin para o Databricks.

  10. Clique em Salvar.

Continue em Use o OneLogin para gerenciar usuários e grupos em Databricks para provisionar usuários e grupos em seu Databricks account.

Use o OneLogin para gerenciar usuários e grupos no Databricks

Esta seção descreve como usar o OneLogin para gerenciar usuários e grupos no site Databricks account.

Atribuir grupos aos usuários do espaço de trabalho do Databricks

O senhor deve criar grupos do Databricks no Databricks e criar mapeamentos para mantê-los em sincronia com os campos do OneLogin. O senhor não pode adicionar grupos ao Databricks usando o OneLogin.

  1. No OneLogin, vá para Parameters (Parâmetros ) tab.

  2. Em Optional Parameters (Parâmetros opcionais), clique em Groups (Grupos).

  3. Verifique se todos os nomes de grupos foram importados com êxito de Databricks para o campo Values (Valores ) quando o senhor clicou em refresh no provisionamento tab (acima) e selecione o sinalizador Include in User (Incluir no provisionamento do usuário ).

  4. Clique em Salvar.

Depois de configurar o mapeamento de atributos, o senhor pode atribuir grupos aos usuários do Databricks ao provisioná-los. Para atribuir valores de grupo, é possível selecioná-los manualmente no registro de login do usuário para o aplicativo de provisionamento OneLogin SCIM. Em Usuários tab do aplicativo de provisionamento OneLogin SCIM, selecione o usuário a ser editado.

Também é possível usar as regras do OneLogin (mapeamentos) para atribuir usuários a grupos do Databricks automaticamente, com base em outro atributo do OneLogin, como a função do OneLogin. Por exemplo, para colocar todos os usuários que estão na função "Finance" do OneLogin no grupo Databricks "finance", o senhor pode acessar Rules (Regras ) tab no aplicativo de provisionamento do OneLogin SCIM e criar uma New Rule (Nova regra ) com a condição Roles - include - Finance (Funções - incluir - Finanças ) e a ação Set Groups in Databricks to - finance (Definir grupos em para - finanças), como nesta captura de tela:

Regras tab

Agora, sempre que você adicionar um usuário à função "Finanças" do OneLogin e ao aplicativo de provisionamento do OneLogin SCIM, o usuário será atribuído ao grupo "finanças" no Databricks quando você reaplicar os mapeamentos de direitos.

Remover ou atualizar atribuições de grupos

Para remover ou atualizar atribuições de grupo, acesse Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM e selecione o usuário a ser editado. Remova ou substitua a seleção atual no campo de grupo, no campo IAM role personalizado ou no campo de direito personalizado.

Se o senhor tiver configurado regras para atribuir grupos ao usuário com base em um atributo do OneLogin, como a função do OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função do OneLogin). Também é possível alterar a regra que atribui o grupo, IAM role ou o direito aos usuários nessa função do OneLogin.

Acionar uma sincronização

O senhor pode acionar manualmente uma sincronização dos usuários do OneLogin com os usuários do Databricks acessando o aplicativo de provisionamento do OneLogin SCIM e selecionando MORE ACTIONS -> Sync logins. Se um usuário for atribuído ao aplicativo, ele será adicionado ao seu Databricks account. No entanto, o inverso não é verdadeiro: um usuário criado no site Databricks account não será adicionado ao aplicativo de provisionamento OneLogin SCIM.

Para sincronizar manualmente os usuários do Databricks account com o OneLogin, crie um usuário no OneLogin com o mesmo nome de usuário e endereço email do usuário no Databricks account e, em seguida, atribua o usuário ao aplicativo no OneLogin.

Excluir usuários

Quando o senhor exclui usuários no OneLogin, o OneLogin os desativa do site Databricks account.

Importante

Não remova o administrador que configurou o aplicativo de provisionamento do OneLogin SCIM do Databricks ou do grupo admins. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.

O senhor pode desativar um usuário de várias maneiras:

  • Exclua ou suspenda o usuário do OneLogin.

  • Remova o usuário do aplicativo manualmente acessando Users (Usuários ) tab no aplicativo de provisionamento OneLogin SCIM, selecionando o usuário e clicando no botão Delete (Excluir ).

  • Se o senhor tiver configurado regras para atribuir o usuário ao aplicativo com base em um atributo do OneLogin, como a função do OneLogin, remova esse atributo do usuário (por exemplo, remova o usuário da função do OneLogin). Também é possível remover o aplicativo Databricks de uma função do OneLogin à qual o usuário está atribuído (isso desprovisiona o Databricks para todos os usuários da função).

Observação

Se o senhor remover um usuário do aplicativo account-level SCIM, esse usuário será desativado do account e de seu espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não.

Se o senhor excluir um usuário do OneLogin-gerenciar diretamente em Databricks, o usuário permanecerá ativo no aplicativo de provisionamento do OneLogin SCIM. Quando o senhor tentar excluir o usuário do aplicativo de provisionamento do OneLogin SCIM, a tentativa falhará, pois o usuário já foi excluído no Databricks.

Solução de problemas e dicas

  • Usuários que existiam no Databricks antes da configuração do provisionamento:

    • São automaticamente vinculados a um usuário do OneLogin se já existirem no OneLogin e são correspondidos com base no endereço email (nome de usuário).

    • Pode ser vinculado manualmente a um usuário existente ou criado como um novo usuário no OneLogin se não houver correspondência automática.

  • As permissões de usuário que são atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.

  • O senhor deve criar grupos do Databricks no Databricks; não é possível adicionar grupos usando o OneLogin.

  • O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.