Configurar workspace-level SCIM provisionamento usando Okta (legado)
Essa documentação foi descontinuada e pode não estar atualizada. workspace-level SCIM provisionamento é legado. Databricks Recomenda-se que o senhor use o provisionamento account-level SCIM, consulte Sincronizar usuários e grupos do provedor de identidade usando SCIM.
Visualização
Esse recurso está em Public Preview.
Esta seção descreve como configurar o provisionamento do Okta diretamente para o espaço de trabalho Databricks.
Obtenha os tokens API e o URL SCIM em Databricks
- Como administrador do Databricks workspace , gere tokens de acesso pessoal. Consulte Gerenciamento de tokens. Armazene os tokens de acesso pessoal em um local seguro.
O usuário que possui esses tokens de acesso pessoal não deve ser gerenciar dentro do Okta. Caso contrário, a remoção do usuário do Okta interromperia a integração do SCIM.
-
Anote o seguinte URL, que é necessário para configurar o Okta:
https://<databricks-instance>/api/2.0/preview/scim/v2
Substitua
<databricks-instance>
pelo URLworkspace de sua implantação Databricks. Consulte Obter identificadores para objetos workspace.
Manter esta guia do navegador aberta.
Configurar o provisionamento SCIM no aplicativo SAML da Databricks no Okta
-
Vá para Aplicativos e clique em Databricks .
-
Clique em provisionamento . Insira as seguintes informações obtidas na seção acima:
- provisionamento Base URL: o provisionamento endpoint
- Provisionamento API Token: os access tokenspessoal
-
Clique em Testar credenciais de API .
-
Recarregar o provisionamento tab. Configurações adicionais aparecem após um teste bem-sucedido das credenciais da API.
-
Para configurar o comportamento ao enviar as alterações do Okta para o Databricks, clique em To App .
- Em Geral , clique em Editar . Habilite o recurso de que o senhor precisa. A Databricks recomenda habilitar, no mínimo, o Create users .
- Em Databricks Attribute Mappings (Mapeamentos de atributos da Databricks), verifique seus mapeamentos de atributos da Databricks. Esses mapeamentos dependerão das opções que o senhor habilitou acima. Você pode adicionar e editar mapeamentos para atender às suas necessidades. Consulte Mapear atributos do aplicativo na página de provisionamento na documentação do Okta.
-
Para configurar o comportamento ao enviar as alterações do Databricks para o Okta, clique em To Okta . As configurações do default funcionam bem para o provisionamento do Databricks. Se o senhor quiser atualizar as configurações do default e os mapeamentos de atributos, consulte provisionamento e desprovisionamento na documentação do Okta.
Teste a integração
Para testar a configuração, use o Okta para convidar um usuário para o site Databricks workspace.
- No Okta, vá para Aplicativos e clique em Databricks .
- Clique em Assign tab e, em seguida, em Assign to people .
- Procure um usuário do Okta e clique em Atribuir .
- Confirme os detalhes do usuário. Clique em Concluído .
- Na página de configurações de administração Databricks workspace , clique em Identity and access tab e, em seguida, vá para a seção Users (Usuários ) e confirme se o usuário foi adicionado. No mínimo, conceda ao usuário o direito ao espaço de trabalho.
Após esse teste simples, o senhor pode realizar operações em massa, conforme descrito nas seções a seguir.
Excluir um usuário desativado da lista de usuários workspace
Se o senhor excluir um usuário do aplicativo workspace-level Databricks no Okta, o usuário será desativado no Databricks workspace , mas não será removido do workspace. Um usuário desativado não tem o direito workspace-access
ou databricks-sql-access
. A reativação de um usuário desativado é reversível, seja adicionando novamente o usuário no Okta ou usando diretamente a API SCIM da Databricks. A remoção de um usuário de um site Databricks workspace é disruptiva e não reversível.
Não desative o administrador que configurou o aplicativo de provisionamento Okta SCIM. Caso contrário, a integração do SCIM não poderá se autenticar no Databricks.
Para remover um usuário de um site Databricks workspace:
- Na página de configurações do administrador, acesse Users (Usuários ) tab.
- Clique no x no final da linha para o usuário.
Esteja ciente das seguintes consequências da remoção do usuário:
- Os aplicativos ou scripts que usam os tokens gerados pelo usuário não poderão mais acessar a API da Databricks
- Os trabalhos pertencentes ao usuário falharão
- de propriedade do usuário será interrompido
- As consultas ou painéis criados pelo usuário e compartilhados usando a credencial de execução como proprietário deverão ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe