Compartir vía


Sincronizar usuarios y grupos desde Microsoft Entra ID

En este artículo se describe cómo configurar el proveedor de identidades (IdP) y Azure Databricks para aprovisionar usuarios y grupos en Azure Databricks mediante SCIM o System for Cross-domain Identity Management (Sistema de Gestión de Identidad entre Dominios), un estándar abierto que permite automatizar el aprovisionamiento de usuarios.

Acerca del aprovisionamiento SCIM en Azure Databricks

SCIM le permite usar un IdP para crear usuarios en Azure Databricks y darles el nivel de acceso adecuado, así como quitarles el acceso (desaprovisionarlos) cuando abandonan la organización o no necesitan acceso a Azure Databricks.

Puede usar un conector de aprovisionamiento SCIM en el IdP o invocar las API de grupos de SCIM para administrar el aprovisionamiento. También puede usar estas API para administrar identidades en Azure Databricks directamente, sin un IdP.

Aprovisionamiento SCIM de nivel de cuenta y de nivel de área de trabajo

Databricks recomienda usar el aprovisionamiento SCIM de nivel de cuenta para crear, actualizar y eliminar todos los usuarios de la cuenta. Puede administrar la asignación de usuarios y grupos a áreas de trabajo dentro de Azure Databricks. Las áreas de trabajo deben estar habilitadas para que la federación de identidades administre las asignaciones de áreas de trabajo de los usuarios.

Diagrama SCIM de nivel de cuenta

El aprovisionamiento SCIM de nivel de área de trabajo es una configuración heredada que se encuentra en versión preliminar pública. Si ya tiene el aprovisionamiento SCIM de nivel de área de trabajo configurado para un área de trabajo, Databricks recomienda habilitar el área de trabajo para la federación de identidades, configurar el aprovisionamiento SCIM de nivel de cuenta y desactivar el aprovisionamiento SCIM de nivel de área de trabajo. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta. Para más información sobre el aprovisionamiento SCIM de nivel de área de trabajo, consulte Aprovisionamiento de identidades en un área de trabajo de Azure Databricks (heredado).

Requisitos

Para aprovisionar usuarios y grupos en Azure Databricks mediante SCIM:

  • La cuenta de Azure Databricks debe tener el Plan Premium.
  • Debe ser administrador de la cuenta de Azure Databricks.

Puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5000 grupos en una cuenta. Cada área de trabajo puede tener un máximo de 10 000 usuarios combinados y entidades de servicio y 5000 grupos.

Sincronización de usuarios y grupos a su cuenta de Azure Databricks

Es posible sincronizar identidades de nivel de cuenta desde el inquilino de Microsoft Entra ID a Azure Databricks mediante un conector de aprovisionamiento SCIM.

Importante

Si ya dispone de conectores SCIM que sincronizan identidades directamente con las áreas de trabajo, debe desactivar dichos conectores SCIM cuando se active el conector SCIM a nivel de cuenta. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.

Para ver las instrucciones completas, consulte Configurar el aprovisionamiento SCIM utilizando Microsoft Entra ID (Azure Active Directory). Después de configurar el aprovisionamiento SCIM de nivel de cuenta, Databricks recomienda permitir que todos los usuarios de Microsoft Entra ID accedan a la cuenta de Azure Databricks. Vea Habilitación de todos los usuarios de Microsoft Entra ID para acceder a Azure Databricks.

Nota:

Al quitar un usuario del conector SCIM de nivel de cuenta, ese usuario se desactiva de la cuenta y de todas sus áreas de trabajo, independientemente de si se ha habilitado la identidad federada o no. Cuando elimina un grupo del conector SCIM a nivel de cuenta, todos los usuarios de ese grupo se desactivan de la cuenta y de cualquier área de trabajo a la que tuvieran acceso (a menos que sean miembros de otro grupo o se les haya concedido directamente acceso al conector SCIM a nivel de cuenta).

Rotar el token SCIM de nivel de cuenta

Si el token de SCIM de nivel de cuenta está en peligro o la empresa requiere que se roten los tokens de autenticación periódicamente, es posible rotar el token de SCIM.

  1. Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Configuración.
  3. Haga clic en el elemento Aprovisionamiento de usuarios.
  4. Haga clic en el elemento Regenerar token. Anote el nuevo token. El token anterior seguirá funcionando durante las siguientes 24 horas.
  5. En un plazo de 24 horas, actualice la aplicación SCIM para usar el nuevo token SCIM.

Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta

Si va a habilitar el aprovisionamiento SCIM de nivel de cuenta y ya tiene el aprovisionamiento SCIM de nivel de área de trabajo configurado para algunas áreas de trabajo, Databricks recomienda desactivar el aprovisionamiento SCIM de nivel de área de trabajo y sincronizar usuarios y grupos en el nivel de cuenta.

  1. Cree un grupo en Microsoft Entra ID que incluya todos los usuarios y grupos que está aprovisionando actualmente en Azure Databricks mediante los conectores SCIM de nivel de área de trabajo.

    Databricks recomienda que este grupo incluya a todos los usuarios de todas las áreas de trabajo de la cuenta.

  2. Configure un nuevo conector de aprovisionamiento SCIM para aprovisionar usuarios y grupos en la cuenta mediante las instrucciones de Sincronización de usuarios y grupos en la cuenta de Azure Databricks.

    Use el grupo o grupos que creó en el paso 1. Si agrega un usuario que comparte un nombre de usuario (dirección de correo electrónico) con un usuario de cuenta existente, esos usuarios se fusionan. Los grupos existentes de la cuenta no se ven afectados.

  3. Confirme que el nuevo conector de aprovisionamiento SCIM está aprovisionando correctamente los usuarios y los grupos en la cuenta.

  4. Apague los conectores SCIM de nivel de área de trabajo antiguos que aprovisionaban usuarios y grupos en las áreas de trabajo.

    No quite usuarios y grupos de los conectores SCIM de nivel de área de trabajo antes de apagarlos. Revocar el acceso desde un conector SCIM desactiva al usuario en el área de trabajo de Azure Databricks. Para más información, consulte Desactivación de un usuario en el área de trabajo de Azure Databricks.

  5. Migrar grupos de área de trabajo local a grupos de cuenta.

    Si tiene grupos heredados en sus áreas de trabajo, se denominan grupos locales de área de trabajo. No se pueden administrar grupos locales del área de trabajo mediante interfaces de nivel de cuenta. Databricks recomienda convertirlos en grupos de cuenta. Consulte Migrar grupos de área de trabajo local a grupos de cuenta