Comparteix via

Configurar el aprovisionamiento de SCIM mediante Microsoft Entra ID (Azure Active Directory)

En este artículo se describe cómo configurar el aprovisionamiento en la cuenta de Azure Databricks mediante Microsoft Entra ID.

También puede sincronizar usuarios y grupos de Microsoft Entra ID mediante la administración automática de identidades. La administración automática de identidades no requiere que configure una aplicación en microsoft Entra ID. También admite la sincronización de entidades de servicio de Microsoft Entra ID y grupos anidados en Azure Databricks, que no se admite mediante el aprovisionamiento SCIM. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. Para más información, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.

Nota

El conector de aprovisionamiento SCIM del id. de Entra de Microsoft no está disponible en las regiones de Azure China.

Nota

El aprovisionamiento de SCIM es independiente de la configuración de la autenticación para Azure Databricks. Microsoft Entra ID controla automáticamente la autenticación mediante el flujo del protocolo OpenID Connect.

Aprovisionamiento de identidades en la cuenta de Azure Databricks mediante Microsoft Entra ID

Puede sincronizar usuarios y grupos de nivel de cuenta desde el inquilino de Microsoft Entra ID en Azure Databricks mediante un conector de aprovisionamiento de SCIM.

Importante

Si ya dispone de conectores SCIM que sincronizan identidades directamente con las áreas de trabajo, debe desactivar dichos conectores SCIM cuando se active el conector SCIM a nivel de cuenta. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.

Requisitos

  • La cuenta de Azure Databricks debe tener el Plan Premium.
  • Debe tener el rol Administrador de aplicaciones en la nube en Microsoft Entra ID.
  • Para el aprovisionamiento de grupos, la cuenta de Microsoft Entra ID debe ser una cuenta de la edición Premium. El aprovisionamiento de usuarios está disponible en todas las ediciones de Microsoft Entra ID.
  • Debe ser administrador de la cuenta de Azure Databricks.

Nota

Para activar la consola de cuenta y establecer su primer administrador de cuenta, consulte Establecer su primer administrador de cuenta.

Paso 1: Configuración de Azure Databricks

  1. Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta de Azure Databricks.
  2. Haga clic en Seguridad.
  3. Haga clic en Aprovisionamiento de usuarios.
  4. Haga clic en Configurar el aprovisionamiento de usuarios.

Copia el token de SCIM y la URL de SCIM de la cuenta. Esta información se usará para configurar la aplicación de Microsoft Entra ID.

Nota

El token de SCIM está restringido a la API /api/2.1/accounts/{account_id}/scim/v2/ de SCIM para cuentas y no se puede usar para autenticarse en otras API de REST de Databricks.

Paso 2: Configuración de la aplicación empresarial

Estas instrucciones te indican cómo crear una aplicación empresarial en el portal de Azure y utilizar esa aplicación para el aprovisionamiento. Si tienes una aplicación existente, puedes modificarlo para automatizar el aprovisionamiento de SCIM mediante Microsoft Graph. Esto elimina la necesidad de tener una aplicación de aprovisionamiento independiente en Azure Portal.

Siga los pasos que se muestran a continuación para permitir que Microsoft Entra ID sincronice los usuarios y los grupos con su cuenta de Azure Databricks. Esta configuración es independiente de las configuraciones que haya creado para sincronizar los usuarios y los grupos con las áreas de trabajo.

  1. En Azure Portal, vaya a Microsoft Entra ID > Aplicaciones empresariales.
  2. Haga clic en + Nueva aplicación, encima de la lista de aplicaciones. En Agregar desde la galería, busque y seleccione Azure Databricks SCIM Provisioning Connector (Conector de aprovisionamiento SCIM de Azure Databricks).
  3. Escriba un nombre para la aplicación y haga clic en Agregar.
  4. En el menú Administrar, haga clic en Aprovisionamiento.
  5. Establezca el Modo de aprovisionamiento en Automático.
  6. Establezca el valor del campo URL del punto de conexión de la API de SCIM con la URL de SCIM de la cuenta que copió anteriormente.
  7. Establezca un Token secreto para el token de SCIM de Azure Databricks que generó anteriormente.
  8. Haga clic en Probar conexión y espere el mensaje que confirma que las credenciales están autorizadas para habilitar el aprovisionamiento.
  9. Haga clic en Guardar.

Paso 3: Asignación de usuarios y grupos a la aplicación

Los usuarios y los grupos que se asignen a la aplicación de SCIM se aprovisionarán en la cuenta de Azure Databricks. En el caso de que haya áreas de trabajo de Azure Databricks existentes, es recomendable que agregue todos los usuarios y grupos existentes de estas a la aplicación de SCIM.

Nota

Microsoft Entra ID no admite el aprovisionamiento automático de entidades de servicio en Azure Databricks. Puede agregar entidades de servicio a su cuenta de Azure Databricks después de Agregar entidades de servicio a su cuenta.

Microsoft Entra ID no admite el aprovisionamiento automático de grupos anidados en Azure Databricks. Microsoft Entra ID solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos de un grupo asignado explícitamente. Como alternativa, debe asignar explícitamente los grupos que contengan los usuarios que se deban aprovisionar (también puede definir el ámbito de los grupos). Para obtener más información, consulte esta página.

  1. Vaya a Administrar > propiedades.
  2. Establezca Asignación necesaria en No. Databricks recomienda esta opción, que permite a todos los usuarios iniciar sesión en la cuenta de Azure Databricks.
  3. Vaya a Administración > Aprovisionamiento.
  4. Para comenzar a sincronizar los usuarios y grupos de Microsoft Entra ID con Azure Databricks, establezca el conmutador de estado de aprovisionamiento en Encendido.
  5. Haga clic en Guardar.
  6. Vaya a Administrar > Usuarios y grupos.
  7. Haga clic en Agregar usuario/grupo, seleccione los usuarios y grupos, y haga clic en el botón Asignar.
  8. Espere unos minutos y compruebe que los usuarios y los grupos existan en la cuenta de Azure Databricks.

Los usuarios y grupos que agregue y asigne se aprovisionarán automáticamente en la cuenta de Azure Databricks cuando Microsoft Entra ID programe la siguiente sincronización.

Nota

Si quita un usuario de la aplicación SCIM de nivel de cuenta, ese usuario también se desactiva en la cuenta y en todas sus áreas de trabajo, independientemente de si se ha habilitado la identidad federada o no.

Sugerencias de aprovisionamiento

  • Los usuarios y grupos que existían en la cuenta de Azure Databricks antes de habilitar el aprovisionamiento muestran el comportamiento siguiente al aprovisionar la sincronización:
    • Los usuarios y grupos se combinan si también existen en Microsoft Entra ID.
    • Los usuarios y grupos se ignoran si no existen en Microsoft Entra ID. Los usuarios que no existen en microsoft Entra ID no pueden iniciar sesión en Azure Databricks.
  • Los permisos de usuario que se asignan individualmente y que se duplican a través de la pertenencia a un grupo, permanecen intactos después de quitar la pertenencia al grupo del usuario.
  • La eliminación directa de usuarios de una cuenta de Azure Databricks mediante la consola de la cuenta tiene los siguientes efectos:
    • El usuario quitado pierde el acceso a esa cuenta de Azure Databricks y a todas las áreas de trabajo de la cuenta.
    • El usuario quitado no se sincronizará de nuevo con el aprovisionamiento de Microsoft Entra ID, incluso si permanecen en la aplicación empresarial.
  • La sincronización inicial de Microsoft Entra ID se desencadena inmediatamente después de habilitar el aprovisionamiento. Las sincronizaciones posteriores se desencadenan cada 20-40 minutos, según la cantidad de usuarios y grupos en la aplicación. Consulte Informe de resumen de aprovisionamiento en la documentación de Microsoft Entra ID.
  • No se puede actualizar la dirección de correo electrónico de un usuario de Azure Databricks. Si necesita actualizar una dirección de correo electrónico, póngase en contacto con el equipo de la cuenta de Azure Databricks.
  • No se pueden sincronizar grupos anidados ni entidades de servicio de Microsoft Entra ID desde la aplicación Conector de aprovisionamiento de SCIM de Azure Databricks. Databricks recomienda usar la aplicación empresarial para sincronizar usuarios y grupos y administrar grupos anidados y entidades de servicio en Azure Databricks. Pero también puedes usar el proveedor de Terraform de Databricks o scripts personalizados que tienen como destino la API de SCIM de Azure Databricks para sincronizar grupos anidados o entidades de servicio de Microsoft Entra ID.
  • Las actualizaciones de los nombres de grupo en Microsoft Entra ID no se sincronizan con Azure Databricks.
  • Los parámetros userName y emails.value deben coincidir. Una falta de coincidencia puede provocar que Azure Databricks rechace solicitudes de creación de usuarios desde la aplicación SCIM de Id. de Microsoft Entra. En casos como usuarios externos o correos electrónicos con alias, es posible que tenga que cambiar la asignación de SCIM predeterminada de la aplicación empresarial para usar userPrincipalName en lugar de mail.

(Opcional) Automatización del aprovisionamiento de SCIM con Microsoft Graph

Microsoft Graph incluye bibliotecas de autenticación y autorización que puede integrar en su aplicación para automatizar el aprovisionamiento de usuarios y grupos de su cuenta o área de trabajo de Azure Databricks, en lugar de configurar una aplicación de conector de aprovisionamiento de SCIM.

  1. Siga las instrucciones para registrar una aplicación con Microsoft Graph. Anote el identificador de aplicación y el identificador de inquilino de la aplicación.
  2. Vaya a la página Información general de las aplicaciones. En esa página:
    1. Configure un secreto de cliente para la aplicación y anótelo.
    2. Conceda estos permisos a la aplicación:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Pida a un administrador de Microsoft Entra ID que conceda el consentimiento administrativo.
  4. Actualice el código de la aplicación para agregar compatibilidad con Microsoft Graph.

Solución de problemas

Los usuarios y grupos no se sincronizan

  • Si usas la aplicación Azure Databricks SCIM Provisioning Connector:
    • En la consola de la cuenta, compruebe que el token SCIM de Azure Databricks que se usó para configurar el aprovisionamiento sigue siendo válido.
  • No intente sincronizar grupos anidados, ya que no son compatibles con el aprovisionamiento automático de Microsoft Entra ID. Para obtener más información, consulte esta página.

Las entidades de servicio de Microsoft Entra ID no se sincronizan.

  • La aplicación Azure Databricks SCIM Provisioning Connector no admite la sincronización de entidades de servicio.

Después de realizar la sincronización inicial, los usuarios y grupos dejan de sincronizarse

Si usa la aplicación Azure Databricks SCIM Provisioning Connector, después de la sincronización inicial, Microsoft Entra ID no se sincroniza inmediatamente después de que cambie las asignaciones de usuarios o grupos. En cambio, programa una sincronización con la aplicación después de un retraso, según la cantidad de usuarios y grupos. Para solicitar una sincronización inmediata, vaya a la opción Administrar >Aprovisionamiento de la aplicación empresarial y seleccione Clear current state and restart synchronization (Borrar estado actual y reiniciar sincronización).

El intervalo de IP del servicio de aprovisionamiento de Microsoft Entra ID no es accesible

El servicio de aprovisionamiento de Microsoft Entra ID funciona con intervalos de IP específicos. Si necesita restringir el acceso a la red, debe permitir el tráfico de las direcciones IP para AzureActiveDirectory en el archivo "Azure IP Ranges and Service Tags – Public Cloud". Descargue desde el sitio de descarga de Microsoft. Para obtener más información, consulte Intervalos de IP.

  • Last updated on