Compartilhar via

Configurar o provisionamento de aplicativos locais do Microsoft Entra para o Azure Databricks com o Private Link Workspace

O serviço de provisionamento do Microsoft Entra dá suporte a um cliente SCIM 2.0 que pode ser usado para provisionar automaticamente usuários em aplicativos locais ou na nuvem. Este artigo descreve como você pode usar o serviço de provisionamento do Microsoft Entra para provisionar usuários em workspaces do Azure Databricks sem acesso público.

Diagrama que mostra a arquitetura do SCIM.

Pré-requisitos

- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente. - Uma das seguintes funções: - Administrador de Aplicativos - Administrador de Aplicativos na Nuvem - Proprietário do Aplicativo. com Microsoft Entra ID Governance e Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). Para encontrar a licença certa para seus requisitos, consulte Comparar os recursos disponíveis do Microsoft Entra ID.

  • Função de administrador para instalar o agente. Esta tarefa é um esforço único e deve ser realizada por uma conta com pelo menos a função de Administrador de Identidade Híbrida.
  • Função de administrador para configurar o aplicativo no Administrador de Aplicativos na nuvem, Administrador de Aplicativos na Nuvem ou Proprietário do Aplicativo.
  • Um computador com pelo menos 3 GB de RAM para hospedar um agente de provisionamento. O computador deve ter o Windows Server 2016 ou uma versão posterior do Windows Server, com conectividade com o aplicativo de destino e conectividade de saída com login.microsoftonline.com, outros serviços do Microsoft Online e domínios do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada no IaaS do Azure ou por trás de um proxy.

Baixar, instalar e configurar o pacote do agente de provisionamento do Microsoft Entra Connect

Se você já baixou o agente de provisionamento e o configurou para outro aplicativo local, continue lendo na próxima seção.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

    Captura de tela da nova UX.

  3. À esquerda, selecione Agente.

  4. Selecione Baixar agente local e selecione Aceitar termos e baixar.

Observação

Use agentes de provisionamento diferentes para o provisionamento de aplicativo local e o provisionamento controlado por RH / Sincronização na nuvem do Microsoft Entra Connect. Todos os três cenários não devem ser gerenciados no mesmo agente.

  1. Abra o instalador do agente de provisionamento, concorde com os termos de serviço e selecione o próximo.
  2. Quando o assistente do agente de provisionamento abrir, prossiga para a guia Selecionar extensão e selecione Provisionamento de aplicativo local quando solicitado para a extensão que você quer habilitar.
  3. O agente de provisionamento usa o navegador da Web do sistema operacional para exibir uma janela pop-up para você se autenticar na Microsoft Entra ID e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
  4. Forneça credenciais para um administrador do Microsoft Entra quando você for solicitado a autorizar. O usuário deve ter pelo menos a função administrador de identidade híbrida .
  5. Selecione Confirmar para confirmar a configuração. Depois que a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do Pacote do Agente de Provisionamento.

Provisionamento para workspace habilitado para SCIM

Depois que o agente é instalado, nenhuma configuração adicional é necessária localmente e todas as configurações de provisionamento são gerenciadas.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.

  3. Adicione o aplicativo SCIM local por meio da galeria.

  4. No menu à esquerda, navegue até a opção Provisionamento e selecione Introdução.

  5. Selecione Automático na lista suspensa e expanda a opção Conectividade Local.

  6. Escolha o agente que você instalou na lista suspensa e selecione Atribuir Agentes.

  7. Agora, aguarde 10 minutos ou reinicie o Agente de Provisionamento do Microsoft Entra Connect antes de prosseguir para a próxima etapa e testar a conexão.

  8. No campo URL do Locatário, forneça a URL do ponto de extremidade do SCIM para seu aplicativo. A URL normalmente é exclusiva para cada aplicativo de destino e deve ser resolvida pelo DNS. Um exemplo para um cenário em que o agente está instalado no mesmo host que o aplicativo https://localhost:8585/scim

    Captura de tela que mostra a atribuição de um agente.

  9. Criar um Token de Administrador no Console de Configurações de Usuário do Azure Databricks e inserir o mesmo no campo Token Secreto

  10. Selecione Testar Conexão e salve as credenciais. O endpoint SCIM do aplicativo deve estar escutando ativamente solicitações de provisionamento de entrada, senão o teste falhará. Use as etapas aqui se você encontrar problemas de conectividade.

Observação

Se a conexão de teste falhar, você verá a solicitação feita. Observe que, embora a URL na mensagem de erro de conexão de teste esteja truncada, a solicitação real enviada ao aplicativo contém toda a URL fornecida acima.

  1. Configure todos os mapeamentos de atributo ou regras de escopo necessários para seu aplicativo.
  2. Adicione usuários ao escopo atribuindo usuários e grupos ao aplicativo.
  3. Teste o provisionamento de alguns usuários sob demanda.
  4. Adicione mais usuários ao escopo atribuindo-os ao aplicativo.
  5. Vá para o painel Provisionamento e selecione Iniciar provisionamento.
  6. Monitore usando os logs de provisionamento.

O vídeo a seguir fornece uma visão geral do provisionamento local.

Mais requisitos

  • Verifique se a implementação do SCIM atende aos requisitos do Microsoft Entra SCIM.
    A ID do Microsoft Entra oferece código de referência de software livre que os desenvolvedores podem usar para inicializar a implementação do SCIM.
  • Ofereça suporte ao endpoint /schemas para reduzir a configuração necessária.

Conteúdo relacionado

  • Last updated on