Sincronización de usuarios y grupos desde Azure Active Directory

Importante

Esta característica está en versión preliminar pública.

En este artículo se describe cómo configurar el proveedor de identidades (IdP) y Azure Databricks para aprovisionar usuarios y grupos en Azure Databricks mediante SCIM o System for Cross-domain Identity Management (Sistema de Gestión de Identidad entre Dominios), un estándar abierto que permite automatizar el aprovisionamiento de usuarios.

Acerca del aprovisionamiento SCIM en Azure Databricks

SCIM le permite usar un proveedor de identidades (IdP) para crear usuarios en Azure Databricks y darles el nivel de acceso adecuado, así como quitarles el acceso (desaprovisionarlos) cuando abandonan la organización o no necesitan acceso a Azure Databricks.

Puede usar un conector de aprovisionamiento SCIM en el IdP o invocar las API de SCIM para administrar el aprovisionamiento. También puede usar estas API para administrar identidades en Azure Databricks directamente, sin un IdP.

Aprovisionamiento SCIM de nivel de cuenta y de nivel de área de trabajo

Puede configurar un conector de aprovisionamiento SCIM desde Azure Active Directory a la cuenta de Azure Databricks mediante el aprovisionamiento SCIM de nivel de cuenta, o configurar conectores de aprovisionamiento SCIM independientes en cada área de trabajo mediante el aprovisionamiento SCIM de nivel de área de trabajo.

  • Aprovisionamiento SCIM de nivel de cuenta: Azure Databricks recomienda usar el aprovisionamiento SCIM de nivel de cuenta para crear, actualizar y eliminar todos los usuarios de la cuenta. Administrará la asignación de usuarios y grupos a áreas de trabajo dentro de Databricks. Las áreas de trabajo deben estar habilitadas para la federación de identidades, con el fin de administrar la asignación de usuarios a áreas de trabajo.

Diagrama de SCIM de nivel de cuenta

  • Aprovisionamiento SCIM de nivel de área de trabajo: Si ninguna de las áreas de trabajo está habilitada para la federación de identidades o si tiene una mezcla de áreas de trabajo, algunas habilitadas para la federación de identidades y otras no, debe administrar el aprovisionamiento SCIM de nivel de cuenta y de nivel de área de trabajo en paralelo. En un escenario mixto no se necesita el aprovisionamiento SCIM de nivel de área de trabajo para las áreas de trabajo habilitadas para la federación de identidades.

    Si ya tiene el aprovisionamiento SCIM de nivel de área de trabajo configurado para las áreas de trabajo que está habilitando para la federación de identidades, debe configurar el aprovisionamiento SCIM de nivel de cuenta y desactivar el aprovisionamiento SCIM de nivel de área de trabajo. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.

Requisitos

Para aprovisionar usuarios y grupos en Azure Databricks mediante SCIM:

  • La cuenta de Azure Databricks debe tener el plan Premium.
  • Para aprovisionar usuarios en la cuenta de Azure Databricks mediante SCIM (incluidas las API de REST de SCIM), debe ser administrador de la cuenta de Azure Databricks.
  • Para aprovisionar usuarios en un área de trabajo de Azure Databricks mediante SCIM (incluidas las API de REST de SCIM), debe ser administrador del área de trabajo de Azure Databricks.

Para más información sobre los privilegios de administrador, consulte Administración de usuarios, entidades de servicio y grupos.

Puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5000 grupos en una cuenta. Cada área de trabajo puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5000 grupos.

Nota

Al usar el aprovisionamiento SCIM, los atributos de usuario y de grupo almacenados en Azure Active Directory pueden invalidar los cambios que haga mediante la consolas de administrador de Azure Databricks, la consola de cuentas o la API de SCIM (Grupos).

Por ejemplo, si a un usuario se le asigna el derecho Permitir creación de clústeres en Azure Active Directory y se lo quita mediante la Consola de administración de Azure Databricks, ese derecho se le volverá a conceder la próxima vez que el IdP se sincronice con Azure Databricks si el IdP está configurado para aprovisionar dicho derecho. Ese mismo comportamiento se aplica a los grupos.

Aprovisionamiento de identidades en la cuenta de Azure Databricks

Puede usar SCIM para aprovisionar usuarios y grupos desde Azure Active Directory en su cuenta de Azure Databricks mediante un conector de aprovisionamiento SCIM o directamente mediante las API de SCIM.

Agregar usuarios y grupos a la cuenta de Azure Databricks mediante Azure Active Directory (Azure AD)

Puede sincronizar identidades de nivel de cuenta desde el inquilino de Azure Active Directory (Azure AD) en Azure Databricks mediante un conector de aprovisionamiento SCIM.

Importante

Si ya tiene conectores SCIM que sincronizan usuarios y grupos directamente con las áreas de trabajo y esas áreas de trabajo están habilitadas para la federación de identidades, debe deshabilitar esos conectores SCIM cuando esté habilitado el conector SCIM de nivel de cuenta. Si tiene áreas de trabajo que no están federadas por identidades, debe seguir usando los conectores SCIM que haya configurado para esas áreas de trabajo, ejecutándose en paralelo con el conector SCIM de nivel de cuenta.

Para obtener instrucciones completas, consulte Aprovisionamiento de identidades en la cuenta de Azure Databricks mediante Azure Active Directory (Azure AD).

Agregar usuarios,entidades de servicio y grupos a la cuenta mediante la API de SCIM

Los administradores de cuentas pueden agregar usuarios, entidades de servicio y grupos a la cuenta de Azure Databricks mediante la API de SCIM para cuentas. Los administradores de cuentas llaman a la API en accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) y usan un token SCIM.

Para obtener el token SCIM, haga lo siguiente:

  1. Como administrador de cuenta, inicie sesión en la consola de la cuenta de Azure Databricks.

  2. Haga clic en Icono de configuraciónConfiguración.

  3. Haga clic en el elemento Aprovisionamiento de usuarios.

    Si el aprovisionamiento no está habilitado, haga clic en Habilitar el aprovisionamiento de usuarios y copie el token.

    Si el aprovisionamiento ya está habilitado, haga clic en Regenerar token y copie el token.

Consulte API de SCIM 2.0 (Cuentas).

Rotar el token SCIM de nivel de cuenta

Si el token de SCIM de nivel de cuenta está en peligro o la empresa requiere que se roten los tokens de autenticación periódicamente, es posible rotar el token de SCIM.

  1. Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta de Azure Databricks.
  2. Haga clic en Icono de configuraciónConfiguración.
  3. Haga clic en el elemento Aprovisionamiento de usuarios.
  4. Haga clic en el elemento Regenerar token. Anote el nuevo token. El token anterior seguirá funcionando durante las siguientes 24 horas.
  5. En un plazo de 24 horas, actualice la aplicación SCIM para usar el nuevo token SCIM.

Aprovisionar identidades en un área de trabajo de Azure Databricks

Si desea usar un conector de IdP para aprovisionar usuarios y grupos, y tiene un área de trabajo que no está federada por identidades, debe configurar el aprovisionamiento SCIM en el nivel de área de trabajo.

Agregar usuarios y grupos al área de trabajo mediante un conector de aprovisionamiento de IdP

Siga las instrucciones del artículo específico del IdP adecuado:

Agregar usuarios, grupos y entidades de servicio al área de trabajo mediante la API de SCIM

Los administradores de área de trabajo pueden agregar usuarios, grupos y entidades de servicio a la cuenta de Azure Databricks mediante las API de SCIM para áreas de trabajo. Consulte SCIM API 2.0.

Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta

Si ya tiene el aprovisionamiento SCIM de nivel de área de trabajo configurado para las áreas de trabajo que está habilitando para la federación de identidades, debe configurar el aprovisionamiento SCIM de nivel de cuenta y desactivar el aprovisionamiento SCIM de nivel de área de trabajo.

  1. Cree un grupo en Azure Active Directory que incluya todos los usuarios y grupos que está aprovisionando actualmente en Azure Databricks mediante los conectores SCIM de nivel de área de trabajo.

    Este grupo debe incluir todos los usuarios en todas las áreas de trabajo de la cuenta.

  2. Configure un nuevo conector de aprovisionamiento SCIM para aprovisionar usuarios y grupos en la cuenta mediante las instrucciones de Aprovisionamiento de identidades en la cuenta de Azure Databricks.

    Use el grupo o grupos que creó en el paso 1.

  3. Confirme que el nuevo conector de aprovisionamiento SCIM está aprovisionando correctamente los usuarios y los grupos en la cuenta.

  4. Apague los conectores SCIM de nivel de área de trabajo antiguos que aprovisionaban usuarios y grupos en las áreas de trabajo.

    Apague solo los conectores SCIM que aprovisionan usuarios y grupos en áreas de trabajo habilitadas para la federación de identidades. Mantenga los conectores de aprovisionamiento en servicio para las áreas de trabajo que no estén habilitadas para la federación de identidades, pero asegúrese de que cualquier identidad que agregue mediante el conector de nivel de área de trabajo también se está agregando mediante el conector de nivel de cuenta. Los grupos de IdP pueden ayudarle a administrar este escenario de aprovisionamiento paralelo.

  5. Migrar grupos de área de trabajo local a grupos de cuenta.

    Si tiene grupos existentes en las áreas de trabajo federadas por identidades, se conocen como grupos locales del área de trabajo y no puede administrarlos mediante interfaces de nivel de cuenta. Databricks recomienda convertirlos en grupos de cuenta. Consulte Migrar grupos de área de trabajo local a grupos de cuenta

Importante

Al quitar un usuario del conector SCIM de nivel de cuenta, ese usuario también se quita de la cuenta y de todas sus áreas de trabajo, independientemente de si se ha habilitado la identidad federada o no. Al quitar un grupo, todos los usuarios de ese grupo desde el conector SCIM a nivel de cuenta se eliminan de la cuenta y pierden el acceso a las áreas de trabajo a las que tenían acceso, a menos que sean miembros de otro grupo o se les haya concedido acceso directamente a la cuenta o a cualquier área de trabajo. Deberá abstenerse de eliminar usuarios y grupos a menos que desee que estos pierdan acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:

  • Las aplicaciones o scripts que usen los tokens que generó ese usuario ya no podrán acceder a la API de Databricks.
  • Los trabajos que pertenezcan a ese usuario no se ejecutarán correctamente.
  • Los clústeres que pertenezcan a ese usuario se detendrán.
  • Las consultas o paneles que haya creado ese usuario y que se hayan compartido mediante el uso de la credencial Ejecutar como propietario tendrán que asignarse a un nuevo propietario para evitar que se produzca un error de uso compartido.