مشاركة عبر

تكوين تزويد SCIM باستخدام معرف Microsoft Entra (Azure Active Directory)

  • مقالة

توضح هذه المقالة كيفية إعداد التوفير لحساب Azure Databricks باستخدام معرف Microsoft Entra.

توصي Databricks بتوفير المستخدمين وكيانات الخدمة والمجموعات على مستوى الحساب وإدارة تعيين المستخدمين والمجموعات إلى مساحات العمل داخل Azure Databricks. يجب تمكين مساحات العمل الخاصة بك لاتحاد الهوية، من أجل إدارة تعيين المستخدمين إلى مساحات العمل.

إشعار

طريقة تكوين التوفير منفصلة تماما عن تكوين المصادقة والوصول المشروط لمساحات عمل أو حسابات Azure Databricks. تتم معالجة المصادقة ل Azure Databricks تلقائيا بواسطة معرف Microsoft Entra، باستخدام تدفق بروتوكول OpenID Connect. يمكنك تكوين الوصول المشروط، والذي يتيح لك إنشاء قواعد لطلب مصادقة متعددة العوامل أو تقييد عمليات تسجيل الدخول إلى الشبكات المحلية، على مستوى الخدمة.

توفير الهويات لحساب Azure Databricks الخاص بك باستخدام معرف Microsoft Entra

يمكنك مزامنة المستخدمين والمجموعات على مستوى الحساب من مستأجر Microsoft Entra ID إلى Azure Databricks باستخدام موصل تزويد SCIM.

هام

إذا كان لديك بالفعل موصلات SCIM تقوم بمزامنة الهويات مباشرة إلى مساحات العمل الخاصة بك، يجب تعطيل موصلات SCIM هذه عند تمكين موصل SCIM على مستوى الحساب. راجع ترحيل توفير SCIM على مستوى مساحة العمل إلى مستوى الحساب.

المتطلبات

  • يجب أن يكون لحساب Azure Databricks الخاص بك خطة Premium.
  • يجب أن يكون لديك دور مسؤول تطبيق السحابة في معرف Microsoft Entra.
  • يجب أن يكون حساب معرف Microsoft Entra الخاص بك حساب إصدار Premium لتزويد المجموعات. يتوفر توفير المستخدمين لأي إصدار من Microsoft Entra ID.
  • يجب أن تكون مسؤول حساب Azure Databricks.

إشعار

لتمكين وحدة تحكم الحساب وإنشاء مسؤول حسابك الأول، راجع إنشاء مسؤول حسابك الأول.

الخطوة 1: تكوين Azure Databricks

  1. بصفتك مسؤول حساب Azure Databricks، سجل الدخول إلى وحدة تحكم حساب Azure Databricks.
  2. انقر فوق أيقونة إعدادات المستخدم إعدادات.
  3. انقر فوق توفير المستخدم.
  4. انقر فوق Set up user provisioning.

انسخ رمز SCIM المميز وعنوان URL الخاص ب SCIM للحساب. ستستخدم هذه لتكوين تطبيق معرف Microsoft Entra.

إشعار

يقتصر رمز SCIM المميز على واجهة برمجة تطبيقات /api/2.1/accounts/{account_id}/scim/v2/ SCIM للحساب ولا يمكن استخدامه للمصادقة على واجهات برمجة تطبيقات REST ل Databricks الأخرى.

الخطوة 2: تكوين تطبيق المؤسسة

تخبرك هذه الإرشادات كيفية إنشاء تطبيق مؤسسة في مدخل Microsoft Azure واستخدام هذا التطبيق للتزويد. إذا كان لديك تطبيق مؤسسة موجود، يمكنك تعديله لأتمتة تزويد SCIM باستخدام Microsoft Graph. يؤدي ذلك إلى إزالة الحاجة إلى تطبيق توفير منفصل في مدخل Microsoft Azure.

اتبع هذه الخطوات لتمكين معرف Microsoft Entra لمزامنة المستخدمين والمجموعات إلى حساب Azure Databricks الخاص بك. هذا التكوين منفصل عن أي تكوينات قمت بإنشائها لمزامنة المستخدمين والمجموعات إلى مساحات العمل.

  1. في مدخل Microsoft Azure، انتقل إلى Microsoft Entra ID > Enterprise Applications.
  2. انقر فوق + New Application أعلى قائمة التطبيقات. ضمن إضافة من المعرض، ابحث عن Azure Databricks SCIM Provisioning Connector وحدده.
  3. أدخل اسما للتطبيق وانقر فوق إضافة.
  4. ضمن القائمة إدارة ، انقر فوق توفير.
  5. تعيين وضع التزويد إلى تلقائي.
  6. قم بتعيين عنوان URL لنقطة نهاية واجهة برمجة تطبيقات SCIM إلى عنوان URL لحساب SCIM الذي نسخته سابقا.
  7. قم بتعيين الرمز المميز السري إلى الرمز المميز ل Azure Databricks SCIM الذي أنشأته سابقا.
  8. انقر فوق اختبار الاتصال وانتظر الرسالة التي تؤكد أن بيانات الاعتماد مخولة لتمكين التوفير.
  9. انقر فوق حفظ.

الخطوة 3: تعيين المستخدمين والمجموعات للتطبيق

سيتم توفير المستخدمين والمجموعات المعينة لتطبيق SCIM إلى حساب Azure Databricks. إذا كان لديك مساحات عمل Azure Databricks موجودة، توصي Databricks بإضافة جميع المستخدمين والمجموعات الموجودة في مساحات العمل هذه إلى تطبيق SCIM.

إشعار

لا يدعم معرف Microsoft Entra التوفير التلقائي لكيانات الخدمة إلى Azure Databricks. يمكنك إضافة كيانات الخدمة إلى حساب Azure Databricks الخاص بك بعد إدارة كيانات الخدمة في حسابك.

لا يدعم معرف Microsoft Entra التوفير التلقائي للمجموعات المتداخلة إلى Azure Databricks. يمكن لمعرف Microsoft Entra قراءة المستخدمين الذين هم أعضاء فوريون في المجموعة المعينة بشكل صريح وتوفيرهم فقط. كحل بديل، قم بتعيين (أو نطاق آخر) بشكل صريح للمجموعات التي تحتوي على المستخدمين الذين يحتاجون إلى توفير. لمزيد من المعلومات، راجع هذه الأسئلة المتداولة.

  1. انتقل إلى إدارة > الخصائص.
  2. تعيين التعيين المطلوب إلى لا. توصي Databricks بهذا الخيار، والذي يسمح لجميع المستخدمين بتسجيل الدخول إلى حساب Azure Databricks.
  3. انتقل إلى إدارة > التزويد.
  4. لبدء مزامنة مستخدمي Microsoft Entra ID والمجموعات إلى Azure Databricks، قم بتعيين تبديل حالة التزويد إلى تشغيل.
  5. انقر فوق حفظ.
  6. انتقل إلى إدارة > المستخدمين والمجموعات.
  7. انقر فوق إضافة مستخدم/مجموعة، وحدد المستخدمين والمجموعات، وانقر فوق الزر تعيين .
  8. انتظر بضع دقائق وتحقق من وجود المستخدمين والمجموعات في حساب Azure Databricks الخاص بك.

سيتم توفير المستخدمين والمجموعات التي تضيفها وتعينها تلقائيا إلى حساب Azure Databricks عندما يقوم معرف Microsoft Entra بجدولة المزامنة التالية.

إشعار

إذا قمت بإزالة مستخدم من تطبيق SCIM على مستوى الحساب، يتم إلغاء تنشيط هذا المستخدم من الحساب ومن مساحات العمل الخاصة به، بغض النظر عما إذا كان قد تم تمكين اتحاد الهوية أم لا.

تلميحات التوفير

  • يعرض المستخدمون والمجموعات التي كانت موجودة في مساحة عمل Azure Databricks قبل تمكين التوفير السلوك التالي عند توفير المزامنة:
    • يتم دمجها إذا كانت موجودة أيضا في معرف Microsoft Entra
    • يتم تجاهلها إذا لم تكن موجودة في معرف Microsoft Entra
  • تظل أذونات المستخدم المعينة بشكل فردي والتي يتم تكرارها بواسطة العضوية في مجموعة حتى بعد إزالة عضوية المجموعة للمستخدم.
  • تمت إزالة المستخدمين من مساحة عمل Azure Databricks مباشرة، باستخدام صفحة إعدادات مسؤول مساحة عمل Azure Databricks:
    • فقدان الوصول إلى مساحة عمل Azure Databricks هذه ولكن قد لا يزال لديه حق الوصول إلى مساحات عمل Azure Databricks الأخرى.
    • لن تتم مزامنتها مرة أخرى باستخدام توفير معرف Microsoft Entra، حتى لو بقيت في تطبيق المؤسسة.
  • يتم تشغيل مزامنة معرف Microsoft Entra الأولية مباشرة بعد تمكين التوفير. يتم تشغيل المزامنة اللاحقة كل 20-40 دقيقة، اعتمادا على عدد المستخدمين والمجموعات في التطبيق. راجع تقرير ملخص التوفير في وثائق معرف Microsoft Entra.
  • لا يمكنك تحديث اسم المستخدم أو عنوان البريد الإلكتروني لمستخدم مساحة عمل Azure Databricks.
  • admins المجموعة هي مجموعة محجوزة في Azure Databricks ولا يمكن إزالتها.
  • يمكنك استخدام واجهة برمجة تطبيقات مجموعات Azure Databricks أو واجهة مستخدم المجموعات للحصول على قائمة بأعضاء أي مجموعة مساحة عمل Azure Databricks.
  • لا يمكنك مزامنة المجموعات المتداخلة أو أساسيات خدمة معرف Microsoft Entra من تطبيق Azure Databricks SCIM Provisioning Connector . توصي Databricks باستخدام تطبيق المؤسسة لمزامنة المستخدمين والمجموعات وإدارة المجموعات المتداخلة وكيانات الخدمة داخل Azure Databricks. ومع ذلك، يمكنك أيضا استخدام موفر Databricks Terraform أو البرامج النصية المخصصة التي تستهدف Azure Databricks SCIM API لمزامنة المجموعات المتداخلة أو أساسيات خدمة معرف Microsoft Entra.
  • لا تتم مزامنة تحديثات أسماء المجموعات في معرف Microsoft Entra في Azure Databricks.

(اختياري) أتمتة تزويد SCIM باستخدام Microsoft Graph

يتضمن Microsoft Graph مكتبات المصادقة والتخويل التي يمكنك دمجها في التطبيق الخاص بك لأتمتة تزويد المستخدمين والمجموعات بحساب Azure Databricks أو مساحات العمل الخاصة بك، بدلا من تكوين تطبيق موصل تزويد SCIM.

  1. اتبع الإرشادات لتسجيل تطبيق باستخدام Microsoft Graph. دون معرف التطبيق ومعرف المستأجر للتطبيق
  2. انتقل إلى صفحة نظرة عامة على التطبيقات. في تلك الصفحة:
    1. قم بتكوين سر العميل للتطبيق، وقم بتدوين البيانات السرية.
    2. امنح التطبيق هذه الأذونات:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. اطلب من مسؤول Microsoft Entra ID منح موافقة المسؤول.
  4. قم بتحديث التعليمات البرمجية للتطبيق الخاص بك لإضافة دعم ل Microsoft Graph.

استكشاف الأخطاء وإصلاحها

لا تتم مزامنة المستخدمين والمجموعات

  • إذا كنت تستخدم تطبيق Azure Databricks SCIM Provisioning Connector :
    • في وحدة تحكم الحساب تحقق من أن الرمز المميز ل Azure Databricks SCIM الذي تم استخدامه لإعداد التوفير لا يزال صالحا.
  • لا تحاول مزامنة المجموعات المتداخلة، والتي لا يدعمها التوفير التلقائي لمعرف Microsoft Entra. لمزيد من المعلومات، راجع هذه الأسئلة المتداولة.

لا تتم مزامنة أساسيات خدمة معرف Microsoft Entra

  • لا يدعم تطبيق Azure Databricks SCIM Provisioning Connector مزامنة كيانات الخدمة.

بعد المزامنة الأولية، يتوقف المستخدمون والمجموعات عن المزامنة

إذا كنت تستخدم تطبيق Azure Databricks SCIM Provisioning Connector : بعد المزامنة الأولية، لا تتم مزامنة معرف Microsoft Entra مباشرة بعد تغيير تعيينات المستخدم أو المجموعة. يقوم بجدولة مزامنة مع التطبيق بعد تأخير، استنادا إلى عدد المستخدمين والمجموعات. لطلب مزامنة فورية، انتقل إلى إدارة التوفير لتطبيق المؤسسة وحدد مسح الحالة الحالية وإعادة تشغيل المزامنة>.

لا يمكن الوصول إلى نطاق IP لخدمة توفير معرف Microsoft Entra

تعمل خدمة توفير معرف Microsoft Entra ضمن نطاقات IP محددة. إذا كنت بحاجة إلى تقييد الوصول إلى الشبكة، يجب السماح بنسبة استخدام الشبكة من عناوين IP في AzureActiveDirectory ملف نطاق IP هذا. لمزيد من المعلومات، راجع نطاقات IP.