تكوين تزويد SCIM باستخدام معرف Microsoft Entra (Azure Active Directory)

توضح هذه المقالة كيفية إعداد التزويد إلى Azure Databricks باستخدام معرف Microsoft Entra (المعروف سابقا ب Azure Active Directory).

يمكنك إعداد التوفير إلى Azure Databricks باستخدام معرف Microsoft Entra على مستوى حساب Azure Databricks أو على مستوى مساحة عمل Azure Databricks.

توصي Databricks بتوفير المستخدمين وكيانات الخدمة والمجموعات على مستوى الحساب وإدارة تعيين المستخدمين والمجموعات إلى مساحات العمل داخل Azure Databricks. يجب تمكين مساحات العمل الخاصة بك لاتحاد الهوية، من أجل إدارة تعيين المستخدمين إلى مساحات العمل. إذا كان لديك أي مساحات عمل غير ممكنة لاتحاد الهوية، فيجب عليك الاستمرار في توفير المستخدمين وكيانات الخدمة والمجموعات مباشرة إلى مساحات العمل هذه.

إشعار

طريقة تكوين التوفير منفصلة تماما عن تكوين المصادقة والوصول المشروط لمساحات عمل أو حسابات Azure Databricks. تتم معالجة المصادقة ل Azure Databricks تلقائيا بواسطة معرف Microsoft Entra، باستخدام تدفق بروتوكول OpenID الاتصال. يمكنك تكوين الوصول المشروط، والذي يتيح لك إنشاء قواعد لطلب مصادقة متعددة العوامل أو تقييد عمليات تسجيل الدخول إلى الشبكات المحلية، على مستوى الخدمة.

توفير الهويات لحساب Azure Databricks الخاص بك باستخدام معرف Microsoft Entra

يمكنك مزامنة المستخدمين والمجموعات على مستوى الحساب من مستأجر Microsoft Entra ID إلى Azure Databricks باستخدام موصل تزويد SCIM.

هام

إذا كان لديك بالفعل موصلات SCIM تقوم بمزامنة الهويات مباشرة إلى مساحات العمل الخاصة بك، يجب تعطيل موصلات SCIM هذه عند تمكين موصل SCIM على مستوى الحساب. راجع ترحيل توفير SCIM على مستوى مساحة العمل إلى مستوى الحساب.

الاحتياجات

• يجب أن يكون لحساب Azure Databricks الخاص بك خطة Premium.
• يجب أن يكون لديك دور مسؤول istrator للتطبيق السحابي في معرف Microsoft Entra.
• يجب أن يكون حساب معرف Microsoft Entra الخاص بك حساب إصدار Premium لتزويد المجموعات. يتوفر توفير المستخدمين لأي إصدار من Microsoft Entra ID.
• يجب أن تكون مسؤول حساب Azure Databricks.

إشعار

لتمكين وحدة تحكم الحساب وإنشاء مسؤول حسابك الأول، راجع إنشاء مسؤول حسابك الأول.

الخطوة 1: تكوين Azure Databricks

1. بصفتك مسؤول حساب Azure Databricks، سجل الدخول إلى وحدة تحكم حساب Azure Databricks.
2. انقر فوق الإعدادات.
3. انقر فوق توفير المستخدم.
4. انقر فوق Set up user provisioning.

انسخ رمز SCIM المميز وعنوان URL الخاص ب SCIM للحساب. ستستخدم هذه لتكوين تطبيق معرف Microsoft Entra.

إشعار

يقتصر رمز SCIM المميز على واجهة برمجة تطبيقات /api/2.0/accounts/{account_id}/scim/v2/ SCIM للحساب ولا يمكن استخدامه للمصادقة على واجهات برمجة تطبيقات REST ل Databricks الأخرى.

الخطوة 2: تكوين تطبيق المؤسسة

تخبرك هذه الإرشادات كيفية إنشاء تطبيق مؤسسة في مدخل Microsoft Azure واستخدام هذا التطبيق للتزويد. إذا كان لديك تطبيق مؤسسة موجود، يمكنك تعديله لأتمتة تزويد SCIM باستخدام Microsoft Graph. يؤدي ذلك إلى إزالة الحاجة إلى تطبيق توفير منفصل في مدخل Microsoft Azure.

اتبع هذه الخطوات لتمكين معرف Microsoft Entra لمزامنة المستخدمين والمجموعات إلى حساب Azure Databricks الخاص بك. هذا التكوين منفصل عن أي تكوينات قمت بإنشائها لمزامنة المستخدمين والمجموعات إلى مساحات العمل.

1. في مدخل Microsoft Azure، انتقل إلى Microsoft Entra ID > Enterprise Applications.
2. انقر فوق + New Application أعلى قائمة التطبيقات. ضمن Add from the gallery، ابحث عن Azure Databricks SCIM Provisioning الاتصال or وحدده.
3. أدخل اسما للتطبيق وانقر فوق إضافة.
4. ضمن القائمة إدارة ، انقر فوق توفير.
5. تعيين وضع التزويد إلى تلقائي.
6. قم بتعيين عنوان URL لنقطة نهاية واجهة برمجة تطبيقات SCIM إلى عنوان URL لحساب SCIM الذي نسخته سابقا.
7. قم بتعيين الرمز المميز السري إلى الرمز المميز ل Azure Databricks SCIM الذي أنشأته سابقا.
8. انقر فوق Test الاتصال ion وانتظر الرسالة التي تؤكد أن بيانات الاعتماد مخولة لتمكين التوفير.
9. انقر فوق حفظ.

الخطوة 3: تعيين المستخدمين والمجموعات للتطبيق

سيتم توفير المستخدمين والمجموعات المعينة لتطبيق SCIM إلى حساب Azure Databricks. إذا كان لديك مساحات عمل Azure Databricks موجودة، توصي Databricks بإضافة جميع المستخدمين والمجموعات الموجودة في مساحات العمل هذه إلى تطبيق SCIM.

إشعار

لا يدعم معرف Microsoft Entra التوفير التلقائي لكيانات الخدمة إلى Azure Databricks. يمكنك إضافة كيانات الخدمة إلى حساب Azure Databricks الخاص بك بعد إدارة كيانات الخدمة في حسابك.

لا يدعم معرف Microsoft Entra التوفير التلقائي للمجموعات المتداخلة إلى Azure Databricks. يمكن لمعرف Microsoft Entra قراءة المستخدمين الذين هم أعضاء فوريون في المجموعة المعينة بشكل صريح وتوفيرهم فقط. كحل بديل، قم بتعيين (أو نطاق آخر) بشكل صريح للمجموعات التي تحتوي على المستخدمين الذين يحتاجون إلى توفير. لمزيد من المعلومات، راجع هذه الأسئلة المتداولة.

1. انتقل إلى إدارة > الخصائص.
2. تعيين التعيين المطلوب إلى لا. توصي Databricks بهذا الخيار، والذي يسمح لجميع المستخدمين بتسجيل الدخول إلى حساب Azure Databricks.
3. انتقل إلى إدارة > التزويد.
4. لبدء مزامنة مستخدمي Microsoft Entra ID والمجموعات إلى Azure Databricks، قم بتعيين تبديل حالة التزويد إلى تشغيل.
5. انقر فوق حفظ.
6. انتقل إلى إدارة > المستخدمين والمجموعات.
7. انقر فوق إضافة مستخدم/مجموعة، وحدد المستخدمين والمجموعات، وانقر فوق الزر تعيين .
8. انتظر بضع دقائق وتحقق من وجود المستخدمين والمجموعات في حساب Azure Databricks الخاص بك.

سيتم توفير المستخدمين والمجموعات التي تضيفها وتعينها تلقائيا إلى حساب Azure Databricks عندما يقوم معرف Microsoft Entra بجدولة المزامنة التالية.

إشعار

إذا قمت بإزالة مستخدم من تطبيق SCIM على مستوى الحساب، يتم إلغاء تنشيط هذا المستخدم من الحساب ومن مساحات العمل الخاصة به، بغض النظر عما إذا كان قد تم تمكين اتحاد الهوية أم لا.

توفير الهويات لمساحة عمل Azure Databricks باستخدام معرف Microsoft Entra (قديم)

هام

هذه الميزة في المعاينة العامة.

إذا كان لديك أي مساحات عمل غير ممكنة لاتحاد الهوية، يجب توفير المستخدمين وكيانات الخدمة والمجموعات مباشرة إلى مساحات العمل هذه. يصف هذا القسم كيفية القيام بذلك.

في الأمثلة التالية، استبدل <databricks-instance> بعنوان URL لمساحة العمل لنشر Azure Databricks.

الاحتياجات

• يجب أن يكون لحساب Azure Databricks الخاص بك خطة Premium.
• يجب أن يكون لديك دور مسؤول istrator للتطبيق السحابي في معرف Microsoft Entra.
• يجب أن يكون حساب معرف Microsoft Entra الخاص بك حساب إصدار Premium لتزويد المجموعات. يتوفر توفير المستخدمين لأي إصدار من Microsoft Entra ID.
• يجب أن تكون مسؤول مساحة عمل Azure Databricks.

الخطوة 1: إنشاء تطبيق المؤسسة وتوصيله بواجهة برمجة تطبيقات Azure Databricks SCIM

لإعداد التوفير مباشرة إلى مساحات عمل Azure Databricks باستخدام معرف Microsoft Entra، يمكنك إنشاء تطبيق مؤسسة لكل مساحة عمل Azure Databricks.

تخبرك هذه الإرشادات كيفية إنشاء تطبيق مؤسسة في مدخل Microsoft Azure واستخدام هذا التطبيق للتزويد. إذا كان لديك تطبيق مؤسسة موجود، يمكنك تعديله لأتمتة تزويد SCIM باستخدام Microsoft Graph. يؤدي ذلك إلى إزالة الحاجة إلى تطبيق توفير منفصل في مدخل Microsoft Azure.

1. بصفتك مسؤول مساحة العمل، سجل الدخول إلى مساحة عمل Azure Databricks.

2. إنشاء رمز وصول شخصي ونسخه. يمكنك توفير هذا الرمز المميز لمعرف Microsoft Entra في خطوة لاحقة.

   هام

   قم بإنشاء هذا الرمز المميز كمسؤول مساحة عمل Azure Databricks الذي لا تتم إدارته بواسطة تطبيق Microsoft Entra ID enterprise. إذا تم إلغاء توفير مستخدم مسؤول Azure Databricks الذي يمتلك رمز الوصول الشخصي باستخدام معرف Microsoft Entra، فسيتم تعطيل تطبيق تزويد SCIM.

3. في مدخل Microsoft Azure، انتقل إلى Microsoft Entra ID > Enterprise Applications.

4. انقر فوق + New Application أعلى قائمة التطبيقات. ضمن إضافة من المعرض، ابحث عن Azure Databricks SCIM Provisioning الاتصال or وحدده.

5. أدخل اسما للتطبيق وانقر فوق إضافة. استخدم اسما سيساعد المسؤولين في العثور عليه، مثل <workspace-name>-provisioning.

6. ضمن القائمة إدارة ، انقر فوق توفير.

7. حدد Provisioning Mode إلى وضع Automatic.

8. أدخل عنوان URL لنقطة نهاية واجهة برمجة تطبيقات SCIM. إلحاق /api/2.0/preview/scim بعنوان URL لمساحة العمل:

   https://<databricks-instance>/api/2.0/preview/scim
   

   استبدل <databricks-instance> بعنوان URL لمساحة العمل لنشر Azure Databricks. راجع الحصول على معرفات لكائنات مساحة العمل.

9. قم بتعيين الرمز المميز السري إلى رمز الوصول الشخصي Azure Databricks الذي أنشأته في الخطوة 1.

10. انقر فوق Test الاتصال ion وانتظر الرسالة التي تؤكد أن بيانات الاعتماد مخولة لتمكين التوفير.

11. اختياريا، أدخل إشعارا عبر البريد الإلكتروني لتلقي إعلامات بالأخطاء الهامة مع توفير SCIM.

12. انقر فوق حفظ.

الخطوة 2: تعيين المستخدمين والمجموعات للتطبيق

إشعار

لا يدعم معرف Microsoft Entra التوفير التلقائي لكيانات الخدمة إلى Azure Databricks. يمكنك إضافة كيانات الخدمة لمساحة عمل Azure Databricks باتباع إدارة كيانات الخدمة في مساحة العمل الخاصة بك.

لا يدعم معرف Microsoft Entra التوفير التلقائي للمجموعات المتداخلة إلى Azure Databricks. يمكن لمعرف Microsoft Entra قراءة المستخدمين الذين هم أعضاء فوريون في المجموعة المعينة بشكل صريح وتوفيرهم فقط. كحل بديل، قم بتعيين (أو نطاق آخر) بشكل صريح للمجموعات التي تحتوي على المستخدمين الذين يحتاجون إلى توفير. لمزيد من المعلومات، راجع هذه الأسئلة المتداولة.

1. انتقل إلى إدارة > الخصائص.
2. تعيين التعيين المطلوب إلى نعم. توصي Databricks بهذا الخيار، والذي يقوم بمزامنة المستخدمين والمجموعات المعينة لتطبيق المؤسسة فقط.
3. انتقل إلى إدارة > التزويد.
4. لبدء مزامنة مستخدمي Microsoft Entra ID والمجموعات إلى Azure Databricks، قم بتعيين تبديل حالة التزويد إلى تشغيل.
5. انقر فوق حفظ.
6. انتقل إلى إدارة > المستخدمين والمجموعات.
7. انقر فوق إضافة مستخدم/مجموعة، وحدد المستخدمين والمجموعات، وانقر فوق الزر تعيين .
8. انتظر بضع دقائق وتحقق من وجود المستخدمين والمجموعات في حساب Azure Databricks الخاص بك.

في المستقبل، يتم توفير المستخدمين والمجموعات التي تضيفها وتعينها تلقائيا عندما يقوم Microsoft Entra ID بجدولة المزامنة التالية.

هام

لا تقم بتعيين مسؤول مساحة عمل Azure Databricks الذي تم استخدام رمز الوصول الشخصي الخاص به لتكوين تطبيق Azure Databricks SCIM Provisioning الاتصال or.

(اختياري) أتمتة تزويد SCIM باستخدام Microsoft Graph

يتضمن Microsoft Graph مكتبات المصادقة والتخويل التي يمكنك دمجها في التطبيق الخاص بك لأتمتة تزويد المستخدمين والمجموعات بحساب Azure Databricks أو مساحات العمل الخاصة بك، بدلا من تكوين تطبيق موصل تزويد SCIM.

1. اتبع الإرشادات لتسجيل تطبيق باستخدام Microsoft Graph. دون معرف التطبيق ومعرف المستأجر للتطبيق
2. انتقل إلى صفحة نظرة عامة على التطبيقات. في تلك الصفحة:
   1. قم بتكوين سر العميل للتطبيق، وقم بتدوين البيانات السرية.
   2. امنح التطبيق هذه الأذونات:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
3. اطلب من مسؤول Microsoft Entra ID منح موافقة المسؤول.
4. قم بتحديث التعليمات البرمجية للتطبيق الخاص بك لإضافة دعم ل Microsoft Graph.

تلميحات التوفير

• يعرض المستخدمون والمجموعات التي كانت موجودة في مساحة عمل Azure Databricks قبل تمكين التوفير السلوك التالي عند توفير المزامنة:
  • يتم دمجها إذا كانت موجودة أيضا في معرف Microsoft Entra
  • يتم تجاهلها إذا لم تكن موجودة في معرف Microsoft Entra
• تظل أذونات المستخدم التي تم تعيينها بشكل فردي ويتم تكرارها من خلال العضوية في مجموعة بعد إزالة عضوية المجموعة للمستخدم.
• تمت إزالة المستخدمين من مساحة عمل Azure Databricks مباشرة، باستخدام صفحة إعدادات مسؤول مساحة عمل Azure Databricks:
  • فقدان الوصول إلى مساحة عمل Azure Databricks هذه ولكن قد لا يزال لديه حق الوصول إلى مساحات عمل Azure Databricks الأخرى.
  • لن تتم مزامنتها مرة أخرى باستخدام توفير معرف Microsoft Entra، حتى لو بقيت في تطبيق المؤسسة.
• يتم تشغيل مزامنة معرف Microsoft Entra الأولية مباشرة بعد تمكين التوفير. يتم تشغيل المزامنة اللاحقة كل 20-40 دقيقة، اعتمادا على عدد المستخدمين والمجموعات في التطبيق. راجع تقرير ملخص التوفير في وثائق معرف Microsoft Entra.
• لا يمكنك تحديث اسم المستخدم أو عنوان البريد الإلكتروني لمستخدم مساحة عمل Azure Databricks.
• admins المجموعة هي مجموعة محجوزة في Azure Databricks ولا يمكن إزالتها.
• يمكنك استخدام واجهة برمجة تطبيقات مجموعات Azure Databricks أو واجهة مستخدم المجموعات للحصول على قائمة بأعضاء أي مجموعة مساحة عمل Azure Databricks.
• لا يمكنك مزامنة المجموعات المتداخلة أو أساسيات خدمة معرف Microsoft Entra من تطبيق Azure Databricks SCIM Provisioning الاتصال or. توصي Databricks باستخدام تطبيق المؤسسة لمزامنة المستخدمين والمجموعات وإدارة المجموعات المتداخلة وكيانات الخدمة داخل Azure Databricks. ومع ذلك، يمكنك أيضا استخدام موفر Databricks Terraform أو البرامج النصية المخصصة التي تستهدف Azure Databricks SCIM API من أجل مزامنة المجموعات المتداخلة أو أساسيات خدمة معرف Microsoft Entra.

استكشاف الأخطاء وإصلاحها

لا تتم مزامنة المستخدمين والمجموعات

• إذا كنت تستخدم تطبيق Azure Databricks SCIM Provisioning الاتصال or:
  • للتزويد على مستوى مساحة العمل: في صفحة إعدادات مسؤول Azure Databricks، تحقق من أن مستخدم Azure Databricks الذي يتم استخدام رمز الوصول الشخصي الخاص به بواسطة تطبيق Azure Databricks SCIM Provisioning الاتصال or لا يزال مستخدم مسؤول مساحة العمل في Azure Databricks وأن الرمز المميز لا يزال صالحا.
  • للتزويد على مستوى الحساب: في وحدة تحكم الحساب تحقق من أن الرمز المميز ل Azure Databricks SCIM الذي تم استخدامه لإعداد التوفير لا يزال صالحا.
• لا تحاول مزامنة المجموعات المتداخلة، والتي لا يدعمها التوفير التلقائي لمعرف Microsoft Entra. لمزيد من المعلومات، راجع هذه الأسئلة المتداولة.

لا تتم مزامنة أساسيات خدمة معرف Microsoft Entra

• لا يدعم تطبيق Azure Databricks SCIM Provisioning الاتصال or مزامنة كيانات الخدمة.

بعد المزامنة الأولية، يتوقف المستخدمون والمجموعات عن المزامنة

إذا كنت تستخدم Azure Databricks SCIM Provisioning الاتصال or application: بعد المزامنة الأولية، لا تتم مزامنة معرف Microsoft Entra مباشرة بعد تغيير تعيينات المستخدم أو المجموعة. يقوم بجدولة مزامنة مع التطبيق بعد تأخير، استنادا إلى عدد المستخدمين والمجموعات. لطلب مزامنة فورية، انتقل إلى إدارة التوفير لتطبيق المؤسسة وحدد مسح الحالة الحالية وإعادة تشغيل المزامنة>.

لا يمكن الوصول إلى نطاق IP لخدمة توفير معرف Microsoft Entra

تعمل خدمة توفير معرف Microsoft Entra ضمن نطاقات IP محددة. إذا كنت بحاجة إلى تقييد الوصول إلى الشبكة، يجب السماح بنسبة استخدام الشبكة من عناوين IP في AzureActiveDirectory ملف نطاق IP هذا. لمزيد من المعلومات، راجع نطاقات IP.