Configurar o provisionamento SCIM para o Okta

Este artigo descreve como configurar o provisionamento Databricks usando o Okta. Seu Okta tenant deve estar usando o recurso Okta Lifecycle Management para provisionar usuários e grupos para Databricks.

O senhor pode configurar o provisionamento no nível Databricks account ou no nível Databricks workspace .

Databricks Os usuários se autenticam nos sites account e workspace usando o Google cloud Identity account (ou GSuite account), consulte Single sign-on. Se o senhor provisionar um usuário para o account ou workspace usando o Okta, esse usuário também deverá ter um Google cloud Identity account para se autenticar.

Databricks recomenda que o senhor provisione usuários, entidades de serviço e grupos no nível account e atribua usuários e grupos ao espaço de trabalho usando a federação de identidade. Se o senhor tiver algum espaço de trabalho não habilitado para a federação de identidade, deverá continuar a provisionar usuários, entidades de serviço e grupos diretamente para esse espaço de trabalho.

Para saber mais sobre o provisionamento SCIM em Databricks, incluindo uma explicação do impacto da federação de identidade no provisionamento e conselhos sobre quando usar o provisionamento de nível accounte de nível workspace, consulte Sincronizar usuários e grupos do seu provedor de identidade.

recurso

Databricks está disponível como um aplicativo de provisionamento na Rede de Integração Okta (OIN), permitindo que o senhor use o Okta para provisionar usuários e grupos com o Databricks automaticamente.

O aplicativo Okta da Databricks permite que o senhor:

  • Convidar usuários para uma account ou workspace do Databricks

  • Adicionar usuários convidados ou ativos a grupos

  • Desativar usuários existentes em uma account ou workspace do Databricks

  • Gerenciar grupos e associação a grupos

  • Atualizar e gerenciar perfis

Requisitos

  • Seu Databricks account deve ter o plano Premium.

  • O senhor deve ser um usuário desenvolvedor do Okta.

  • Para configurar o provisionamento para seu Databricks account, o senhor deve ser um administrador do Databricks account .

  • Para configurar o provisionamento para um Databricks workspace, o senhor deve ser um administrador do Databricks workspace .

Configurar o provisionamento SCIM em nível de conta usando o Okta

Esta seção descreve como configurar um conector Okta SCIM para provisionar usuários e grupos para o seu account.

Obtenha os tokens SCIM e o URL account SCIM em Databricks

  1. account log in Como Databricks account administrador do , acesse o console .

    1. Clique em Ícone de configurações do usuário Settings.

    2. Clique em Provisionamento de usuários.

    3. Clique em Set up user provisioning (Configurar provisionamento de usuários).

      Copie os tokens SCIM e o URL account SCIM . O senhor os usará para configurar seu conector no Okta.

Observação

Os tokens SCIM são restritos ao account SCIM API /api/2.1/accounts/{account_id}/scim/v2/ e não podem ser usados para autenticação em outros Databricks REST APIs.

Configurar o provisionamento SCIM no Okta

  1. Log in no portal de administração do Okta.

  2. Vá para Applications (Aplicativos ) e clique em Browse App Catalog (Navegar no catálogo de aplicativos).

  3. Procure a Databricks no Browse App Integration Catalog.

  4. Clique em Add integration (Adicionar integração).

  5. Em Add Databricks, configure o seguinte:

    • Em Application rótulo, digite um nome para o aplicativo.

    • Selecione Não exibir o ícone do aplicativo para os usuários.

    • Selecione Não exibir o ícone do aplicativo no aplicativo móvel Okta.

  6. Clique em Concluído.

  7. Clique em provisionamento e digite o seguinte:

    • Em Provisioning Base URL (URL da base de provisionamento), digite o URL do SCIM que o senhor copiou do Databricks.

    • Em provisionamento API tokens, insira os tokens SCIM que o senhor copiou de Databricks.

  8. Clique em Test API Credentials (Testar credenciais de API), verifique se a conexão foi bem-sucedida e clique em Save (Salvar).

  9. Recarregue o provisionamento tab. Configurações adicionais aparecem após um teste bem-sucedido das credenciais da API.

  10. Para configurar o comportamento ao enviar as alterações do Okta para Databricks, clique em provisionamento para o aplicativo.

    • Clique em Edit. Habilite o recurso de que o senhor precisa. A Databricks recomenda habilitar Create users (Criar usuários), Update user attributes (Atualizar atributos do usuário) e Deactivate users (Desativar usuários).

    • Em Databricks Attribute Mappings (Mapeamentos de atributos da Databricks), verifique seus mapeamentos de atributos da Databricks. Esses mapeamentos dependerão das opções que o senhor habilitou acima. O senhor pode adicionar e editar mapeamentos para atender às suas necessidades. Consulte Mapear atributos do aplicativo na página de provisionamento na documentação do Okta.

  11. Para configurar o comportamento ao enviar as alterações do Databricks para o Okta, clique em To Okta. As configurações do default funcionam bem para o provisionamento do Databricks. Se o senhor quiser atualizar as configurações do default e os mapeamentos de atributos, consulte provisionamento e desprovisionamento na documentação do Okta.

Testar a integração

Para testar a configuração, use o Okta para convidar um usuário para o site Databricks account.

  1. No Okta, vá para Aplicativos e clique em Databricks.

  2. Clique em provisionamento.

  3. Clique em Assign e depois em Assign to people.

  4. Procure um usuário Okta e clique em Assign (Atribuir).

  5. Confirme os detalhes do usuário, clique em Assign and go back (Atribuir e voltar) e, em seguida, clique em Done (Concluído).

  6. Log in no console da conta, clique em Icone de gerenciamento de usuários do console account Gerenciamento de usuários e confirme se o usuário foi adicionado.

Após esse teste simples, o senhor pode realizar operações em massa, conforme descrito em Use o Okta para gerenciar usuários e grupos em Databricks.

Configurar o provisionamento SCIM em nível de espaço de trabalho usando o Okta (legado)

Visualização

Este recurso está em visualização pública.

Esta seção descreve como configurar o provisionamento do Okta diretamente para o espaço de trabalho Databricks.

Obtenha os tokens API e o URL SCIM em Databricks

  1. Como administrador do Databricks workspace , gere um access token pessoal. Consulte Gerenciamento de tokens. Armazene o access token pessoal em um local seguro.

    Importante

    O usuário que possui esse access token pessoal não pode estar gerenciando dentro do Okta. Caso contrário, a remoção do usuário do Okta interromperia a integração do SCIM.

  2. Anote o URL a seguir, que é necessário para configurar o Okta:

    https://<databricks-instance>/api/2.0/preview/scim/v2

    Substitua <databricks-instance> pelo URL do espaço de trabalho de sua implantação do Databricks. Consulte Obter identificadores para objetos do espaço de trabalho.

Manter esta guia do navegador aberta.

Configurar o provisionamento SCIM no aplicativo SAML da Databricks no Okta

  1. Vá para Aplicativos e clique em Databricks.

  2. Clique em provisionamento. Insira as seguintes informações obtidas na seção acima:

    • provisionamento Base URL: o provisionamento endpoint

    • Provisionamento API Token: os access tokenspessoal

  3. Clique em Testar credenciais de API.

  4. Recarregue o provisionamento tab. Configurações adicionais aparecem após um teste bem-sucedido das credenciais da API.

  5. Para configurar o comportamento ao enviar as alterações do Okta para o Databricks, clique em To App.

    • Em General ( Geral), clique em Edit (Editar). Habilite o recurso de que o senhor precisa. A Databricks recomenda habilitar, no mínimo, o Create users.

    • Em Databricks Attribute Mappings (Mapeamentos de atributos da Databricks), verifique seus mapeamentos de atributos da Databricks. Esses mapeamentos dependerão das opções que o senhor habilitou acima. O senhor pode adicionar e editar mapeamentos para atender às suas necessidades. Consulte Mapear atributos do aplicativo na página de provisionamento na documentação do Okta.

  6. Para configurar o comportamento ao enviar as alterações do Databricks para o Okta, clique em To Okta. As configurações do default funcionam bem para o provisionamento do Databricks. Se o senhor quiser atualizar as configurações do default e os mapeamentos de atributos, consulte provisionamento e desprovisionamento na documentação do Okta.

Testar a integração

Para testar a configuração, use o Okta para convidar um usuário para o site Databricks workspace.

  1. No Okta, vá para Aplicativos e clique em Databricks.

  2. Clique em Assign tab e, em seguida, em Assign to people.

  3. Procure um usuário Okta e clique em Assign (Atribuir).

  4. Confirme os detalhes do usuário. Clique em Done (Concluído).

  5. Na página de configurações de administração Databricks workspace , clique em Identity and access tab e, em seguida, vá para a seção Users (Usuários ) e confirme se o usuário foi adicionado. No mínimo, conceda ao usuário o direito de workspace.

Após esse teste simples, o senhor pode realizar operações em massa, conforme descrito nas seções a seguir.

Use o Okta para gerenciar usuários e grupos no Databricks

Esta seção descreve as operações em massa que podem ser realizadas usando o Okta SCIM provisionamento para o seu Databricks account ou espaço de trabalho.

Importar usuários do espaço de trabalho do Databricks para o Okta

Para importar usuários do Databricks para o Okta, acesse Import tab e clique em Import Now (Importar agora). Será solicitado que o senhor revise e confirme as atribuições de todos os usuários que não forem automaticamente associados aos usuários existentes do Okta pelo endereço email.

Adicionar atribuições de usuários e grupos à sua conta Databricks

Para verificar ou adicionar atribuições de usuários e grupos, acesse Assignments (Atribuições ) tab. Databricks recomenda adicionar o grupo Okta chamado Everyone ao aplicativo de provisionamento account-level SCIM. Isso sincroniza todos os usuários da sua organização com o site Databricks account.

Enviar grupos para o Databricks

Para enviar grupos do Okta para Databricks, acesse Push Groups tab. Os usuários que já existem em Databricks são correspondidos pelo endereço email.

Excluir um usuário ou grupo da conta

Se o senhor excluir um usuário do aplicativo account-level Databricks no Okta, o usuário será excluído no Databricks account e perderá o acesso a todos os espaços de trabalho, estejam eles habilitados ou não para a federação de identidade.

Se o senhor excluir um grupo do aplicativo account-level Databricks no Okta, todos os usuários desse grupo serão excluídos do account e perderão o acesso a qualquer espaço de trabalho ao qual tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto ao account ou a qualquer espaço de trabalho). Databricks Recomenda que o senhor não exclua os grupos de nível account, a menos que queira que eles percam o acesso a todos os espaços de trabalho no account.

Esteja ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks

    • Os jobs pertencentes ao usuário não vão funcionar

    • Os clusters pertencentes ao usuário serão interrompidos

    • As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Excluir um usuário desativado do espaço de trabalho

Se o senhor excluir um usuário do aplicativo workspace-level Databricks no Okta, o usuário será desativado no Databricks workspace , mas não será removido do workspace. Um usuário desativado não tem o direito workspace-access ou databricks-sql-access. A reativação de um usuário desativado é reversível, seja adicionando novamente o usuário no Okta ou usando diretamente a API SCIM da Databricks. A remoção de um usuário de um site Databricks workspace é disruptiva e não reversível.

Importante

Não desative o administrador que configurou o aplicativo de provisionamento Okta SCIM. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.

Para remover um usuário de um site Databricks workspace:

  1. Na página de configurações do administrador, acesse Users (Usuários ) tab.

  2. Clique no x no final da linha do usuário.

Esteja ciente das seguintes consequências da remoção do usuário:

  • Os aplicativos ou scripts que usam os tokens gerados pelo usuário não poderão mais acessar a API da Databricks

  • Os trabalhos pertencentes ao usuário falharão

  • Os clusters pertencentes ao usuário serão interrompidos

  • As consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como proprietário deverão ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe

Limitações

  • A remoção de um usuário do aplicativo Okta de nível workspacedesativa o usuário em Databricks, em vez de excluí-lo. O senhor deve excluir o usuário diretamente do Databricks.

  • O senhor pode reativar um usuário desativado removendo-o e adicionando-o novamente ao Okta, exatamente com o mesmo endereço email.

Solução de problemas e dicas

  • Os usuários sem nome ou sobrenome em seus perfis do Databricks não podem ser importados para o Okta como novos usuários.

  • Usuários que existiam no Databricks antes da configuração do provisionamento:

    • São automaticamente vinculados a um usuário do Okta se já existirem no Okta e são combinados com base no endereço email (nome de usuário).

    • Pode ser vinculado manualmente a um usuário existente ou criado como um novo usuário no Okta se não for correspondido automaticamente.

  • As permissões de usuário que são atribuídas individualmente e duplicadas por meio da associação a um grupo permanecem depois que a associação ao grupo é removida para o usuário.

  • Os usuários removidos de um Databricks workspace perdem o acesso a esse workspace, mas ainda podem ter acesso a outro espaço de trabalho Databricks.

  • O grupo admins é um grupo reservado no Databricks e não pode ser removido.

  • O senhor não pode renomear grupos no Databricks; não tente renomeá-los no Okta.

  • O senhor pode usar a API do Databricks Groups ou a UI do Groups para obter uma lista de membros de qualquer grupo no nível do espaço de trabalho do Databricks.

  • O senhor não pode atualizar os nomes de usuário Databricks e os endereços email.