Sincronize usuários e grupos de seu provedor de identidade

Este artigo descreve como configurar seu provedor de identidade (IdP) e Databricks para provisionar usuários e grupos para Databricks usando SCIM ou System for Cross-domain Identity Management, um padrão aberto que permite automatizar o provisionamento de usuários.

Sobre o provisionamento SCIM no Databricks

O SCIM permite que você use um provedor de identidade (IdP) para criar usuários no Databricks, fornecer a eles o nível adequado de acesso e remover o acesso (desprovisioná-los) quando eles deixarem sua organização ou não precisarem mais acessar o Databricks.

Você pode usar um conector de provisionamento SCIM em seu IdP ou invocar as APIs SCIM de gerenciamento de identidade e acesso para gerenciar o provisionamento. Você também pode usar essas APIs para gerenciar identidades diretamente no Databricks, sem um IdP.

Provisionamento SCIM no nível da conta e no nível do espaço de trabalho

Você pode configurar um conector de provisionamento SCIM de seu provedor de identidade para sua account Databricks, usando provisionamento SCIM em nível account , ou configurar conectores de provisionamento SCIM separados para cada workspace, usando provisionamento SCIM em nível de workspace .

  • Provisionamento SCIM no nívelaccount : Databricks recomenda que você use o provisionamento SCIM no nível accountpara criar, atualizar e excluir todos os usuários da account. Você gerencia a atribuição de usuários e grupos ao workspace dentro do Databricks. Seu workspace deve estar habilitado para federação de identidade para gerenciar as atribuições workspace dos usuários.

diagrama SCIM no nível account
  • workspaceO senhor deve gerenciar o provisionamento SCIM -level (legado e Public Preview): Para espaços de trabalho que não estão habilitados para federação de identidade, o senhor deve gerenciar account-level e workspace-level SCIM provisionamento em paralelo. O senhor não precisa do provisionamento workspace-level SCIM para nenhum espaço de trabalho que esteja habilitado para a federação de identidade.

    Se o senhor já tiver o workspace-level SCIM provisionamento configurado para um workspace, o Databricks recomenda que o senhor ative o workspace para federação de identidade, configure o account-level SCIM provisionamento e desative o workspace-level SCIM provisionador. Consulte Migrar workspace-level SCIM provisionamento para o nível account .

Requisitos

Para provisionamento de usuários e grupos para Databricks usando SCIM:

  • Sua account do Databricks deve ter o plano Premium.

  • Para usuários de provisionamento para sua account Databricks usando SCIM (incluindo as APIs SCIM REST), você deve ser um administrador account Databricks.

  • Para usuários de provisionamento para um workspace Databricks usando SCIM (incluindo as APIs SCIM REST), você deve ser um administrador workspace Databricks.

Para obter mais informações sobre privilégios de administrador, consulte gerenciar usuários, entidade de serviço e grupos.

Você pode ter no máximo 10.000 usuários combinados e entidades de serviço e 5.000 grupos em uma account. Cada workspace pode ter no máximo 10.000 usuários combinados e entidades de serviço e 5.000 grupos.

identidades de provisionamento para sua conta Databricks

Você pode usar SCIM para provisionar usuários e grupos de seu provedor de identidade para sua account Databricks usando um conector de provisionamento SCIM ou diretamente usando as APIs SCIM.

Adicione usuários e grupos à sua conta Databricks usando um conector de provisionamento IdP

Você pode sincronizar usuários e grupos de seu IdP para sua account Databricks usando um conector de provisionamento SCIM.

Se você configurar o Google clouds Identity para federar com um IdP externo, esse IdP poderá ter integrações SCIM integradas. Observe que se você usar o Google clouds Identity como seu único IdP (você não o configura para federar com um IdP externo), não haverá integração SCIM integrada.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seu workspace, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível accountestiver habilitado. Consulte Migrar o provisionamento do SCIM no nível workspacepara o nível account .

Para configurar um conector SCIM para provisionamento de usuários e grupos para sua account:

  1. Como administrador account , log in no consoleaccount do Databricks.

  2. Na barra lateral, clique em Configurações.

  3. Clique em Provisionamento de usuário.

  4. Clique em Habilitar provisionamento de usuário.

    Copie os tokens SCIM e o URL SCIM account . Você os usará para configurar seu IdP.

  5. log in em seu IdP como um usuário que pode configurar um conector SCIM para provisionamento de usuários.

  6. Insira os seguintes valores no conector SCIM do seu IdP:

    • Para a URL de provisionamento SAML, insira a URL SCIM que você copiou do Databricks.

    • Para os tokens de API de provisionamento, insira os tokens SCIM que você copiou do Databricks.

Você também pode seguir estas instruções específicas do IdP para o seu IdP:

Observação

Quando você remove um usuário do conector SCIM no nível account , esse usuário é desativado da account e de todo o seu workspace, independentemente de a federação de identidade ter sido habilitada ou não. Quando você remove um grupo do conector SCIM no nível da account , todos os usuários desse grupo são desativados da account e de qualquer workspace ao qual tiveram acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à account- conector SCIM de nível).

Adicione usuários, entidades de serviço e grupos à sua conta usando a API SCIM

os administradores account podem adicionar usuários, entidades de serviço e grupos à account do Databricks usando a API SCIM account . os administradores account chamam a API na account.gcp.clouds.databricks.com ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) e pode usar tokens SCIM ou credenciais clouds do Google para autenticação.

Observação

Os tokens SCIM são restritos à account SCIM API /api/2.0/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outras APIs REST Databricks.

Para obter os tokens SCIM, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Configurações.

  3. Clique em Provisionamento de usuário.

    Se o provisionamento não estiver habilitado, clique em Habilitar provisionamento de usuário e copie os tokens.

    Se o provisionamento já estiver habilitado, clique em Regenerate tokens e copie os tokens.

Para usar credenciais clouds do Google para autenticação, consulte Autenticação de credenciais clouds do Google.

os administradores workspace podem adicionar usuários e entidades de serviço usando a mesma API. os administradores workspace chamam a API no domínio workspace {workspace-domain}/api/2.0/account/scim/v2/.

Gire os tokensSCIM no nível da conta

Se o token SCIM no nível accountestiver comprometido ou se você tiver requisitos de negócios para alternar os tokens de autenticação periodicamente, poderá alternar o token SCIM.

  1. Como administrador account do Databricks, logs in no console account .

  2. Na barra lateral, clique em Configurações.

  3. Clique em Provisionamento de usuário.

  4. Clique em Regenerar tokens. Anote os novos tokens. Os tokens anteriores continuarão funcionando por 24 horas.

  5. Dentro de 24 horas, atualize seu aplicativo SCIM para usar os novos tokens SCIM.

Migre o provisionamento SCIM no nível do espaço de trabalho para o nível da conta

Se estiver ativando o provisionamento account-level SCIM e já tiver o provisionamento workspace-level SCIM configurado para algum espaço de trabalho, Databricks recomenda desativar o provisionador workspace-level SCIM e, em vez disso, sincronizar os usuários e o grupo no nível account.

  1. Crie um grupo em seu provedor de identidade que inclua todos os usuários e grupos que você está provisionando atualmente para Databricks usando seus conectores SCIM no nível workspace .

    Databricks recomenda que este grupo inclua todos os usuários em todos os workspace em sua account.

  2. Configure um novo conector de provisionamento SCIM para provisionar usuários e grupos para sua conta, usando as instruções em Identidades de provisionamento para sua conta Databricks.

    Use o grupo ou grupos que o senhor criou no passo 1. Se o senhor adicionar um usuário que compartilhe um nome de usuário (endereçoemail ) com um usuário existente do account, esses usuários serão mesclados. Os grupos existentes no site account não são afetados.

  3. Confirme se o novo conector de provisionamento SCIM está provisionando usuários e grupos com êxito para sua account.

  4. Desligue os antigos conectores SCIM no nível workspaceque eram usuários e grupos de provisionamento para sua workspace.

    Não remova usuários e grupos dos conectores SCIM de nível workspaceantes de desligá-los. A revogação do acesso de um conector SCIM desativa o usuário no Databricks workspace. Para obter mais informações, consulte Desativar um usuário no seu espaço de trabalho do Databricks.

  5. Migre grupos locais workspacepara grupos account .

    Se você tiver grupos legados em seu workspace, eles serão conhecidos como grupos locaisworkspace. Você não pode gerenciar grupos locais de workspaceusando interfaces em nível de account . A Databricks recomenda que você os converta em grupos account . Consulte Migrar grupos locais do workspace para grupos account

identidades de provisionamento para um Databricks workspace (legado)

Visualização

Este recurso está em visualização pública.

Se você quiser usar um conector IdP para provisionamento de usuários e grupos e tiver um workspace que não seja federado por identidade, deverá configurar o provisionamento de SCIM no nível do workspace .

Observação

O SCIM no nível workspacenão reconhece os grupos account designados ao seu workspace federado de identidade e as chamadas de API do SCIM no nível workspacefalharão se envolverem grupos account . Se o seu workspace estiver habilitado para federação de identidade, o Databricks recomenda que você use a API SCIM no nível accountem vez da API SCIM no nível workspacee que configure o provisionamento SCIM no nível accounte desative o provisionador SCIM no nível workspace . Para obter instruções detalhadas, consulte Migrar o provisionamento SCIM no nível workspacepara o nível account .

Adicione usuários e grupos ao seu espaço de trabalho usando um conector de provisionamento IdP

Se você configurar o Google clouds Identity para federar com um IdP externo, esse IdP poderá ter integrações SCIM integradas. Observe que se você usar o Google clouds Identity como seu único IdP (você não o configura para federar com um IdP externo), não haverá integração SCIM integrada.

Siga as instruções nos artigos específicos de IdP apropriados:

Adicione usuários, grupos e entidade de serviço ao seu espaço de trabalho usando a API SCIM

workspace Os administradores podem adicionar usuários, grupos e entidades de serviço ao site Databricks account usando workspace-level SCIM APIs. Consulte workspace Usuários API, workspace Grupos API, e workspace entidade de serviço API