Configurar o provisionamento SCIM no nível de espaço de trabalho usando o Microsoft Entra ID (herdado)

Em caso de workspaces não habilitados para federação de identidade, você deverá provisionar usuários, entidades de serviço e grupos diretamente para esses workspaces. Esta seção descreve como fazer isso.

Nos exemplos a seguir, substitua então <databricks-instance> pela URL do workspace da implantação do Azure Databricks.

Requisitos

• Sua conta do Azure Databricks deve ter o plano Premium.
• Você deve ter a função Administrador de aplicativos de nuvem no Microsoft Entra ID.
• Sua conta do Microsoft Entra ID deve ser uma conta de edição Premium para provisionar grupos. O provisionamento de usuários está disponível para qualquer edição do Microsoft Entra ID.
• Você deve ser um administrador do workspace do Azure Databricks.

Etapa 1: Criar o aplicativo empresarial e conectá-lo à API do SCIM do Azure Databricks

Para configurar o provisionamento diretamente nos workspaces do Azure Databricks usando o Microsoft Entra ID, crie um aplicativo empresarial para cada workspace do Azure Databricks.

Estas instruções ensinam a criar um aplicativo empresarial no portal do Azure e usar esse aplicativo para provisionamento.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

2. Gere um token de acesso pessoal e copie-o. Você fornecerá esse token ao Microsoft Entra ID em uma etapa subsequente.

   Importante

   Gere esse token como um administrador do workspace do Azure Databricks que não é gerenciado pelo aplicativo empresarial do Microsoft Entra ID. Se o usuário administrador do Azure Databricks que possui o token de acesso pessoal for desprovisionado usando o Microsoft Entra ID, o aplicativo de provisionamento do SCIM será desabilitado.

3. No portal do Azure, acesse o Microsoft Entra ID > Enterprise Applications.

4. Clique em + Novo Aplicativo acima da lista de aplicativos. Em Adicionar por meio da galeria, pesquise e selecione o Conector de Provisionamento SCIM do Azure Databricks.

5. Insira um nome para o aplicativo e clique em Adicionar. Use um nome que ajudará os administradores a encontrá-lo, como <workspace-name>-provisioning.

6. No menu Gerenciar , clique em Provisionamento.

7. Defina o modo de provisionamento como automático.

8. Insira a URL do ponto de extremidade da API do SCIM. Anexe /api/2.0/preview/scim à URL do workspace:

   https://<databricks-instance>/api/2.0/preview/scim
   

   Substitua <databricks-instance> pela URL do espaço de trabalho da implantação do Azure Databricks. Veja Obter identificadores para objetos de espaço de trabalho.

9. Defina o Token Secreto para o token de acesso pessoal do Azure Databricks que você gerou na etapa 1.

10. Clique em Testar Conexão e aguarde a mensagem que confirma que as credenciais estão autorizadas a habilitar o provisionamento.

11. Opcionalmente, insira um email de notificação para receber notificações de erros críticos com o provisionamento do SCIM.

12. Clique em Salvar.

Etapa 2: Atribuir usuários e grupos ao aplicativo

1. Vá para Gerenciar > Propriedades.
2. Defina a atribuição necessária para Sim. O Databricks recomenda essa opção, que sincroniza somente os usuários e grupos atribuídos ao aplicativo empresarial.
3. Acesse Gerenciar > Provisionamento.
4. Para começar a sincronizar usuários e grupos do Microsoft Entra ID com o Azure Databricks, defina o alternador do Status de Provisionamento como Ligado.
5. Clique em Salvar.
6. Vá para Gerenciar > Usuários e grupos.
7. Clique em Adicionar usuário/grupo, selecione os usuários e grupos e clique no botão Atribuir .
8. Aguarde alguns minutos e verifique se os usuários e grupos existem na conta do Azure Databricks.

No futuro, os usuários e os grupos que você adicionar e atribuir serão provisionados automaticamente quando o Microsoft Entra ID agendar a próxima sincronização.