Sdílet prostřednictvím

Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory)

  • Článek

Tento článek popisuje, jak nastavit zřizování pro Azure Databricks pomocí ID Microsoft Entra (dříve Azure Active Directory).

Zřizování pro Azure Databricks můžete nastavit pomocí ID Microsoft Entra na úrovni účtu Azure Databricks nebo na úrovni pracovního prostoru Azure Databricks.

Databricks doporučuje zřídit uživatele, instanční objekty a skupiny na úrovni účtu a spravovat přiřazení uživatelů a skupin k pracovním prostorům v Rámci Azure Databricks. Aby bylo možné spravovat přiřazení uživatelů k pracovním prostorům, musí být vaše pracovní prostory povolené pro federaci identit. Pokud máte nějaké pracovní prostory, které nejsou povolené pro federaci identit, měli byste v těchto pracovních prostorech dál zřizovat uživatele, instanční objekty a skupiny.

Poznámka:

Způsob konfigurace zřizování je zcela oddělený od konfigurace ověřování a podmíněného přístupu pro pracovní prostory nebo účty Azure Databricks. Ověřování pro Azure Databricks se zpracovává automaticky pomocí ID Microsoft Entra pomocí toku protokolu OpenID Připojení. Můžete nakonfigurovat podmíněný přístup, který umožňuje vytvářet pravidla pro vyžadování vícefaktorového ověřování nebo omezení přihlášení k místním sítím na úrovni služby.

Zřízení identit pro účet Azure Databricks pomocí ID Microsoft Entra

Uživatele a skupiny na úrovni účtu můžete synchronizovat z tenanta Microsoft Entra ID do Azure Databricks pomocí zřizovacího konektoru SCIM.

Důležité

Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Požadavky

  • Váš účet Azure Databricks musí mít plán Premium.
  • V Microsoft Entra ID musíte mít roli Cloud Application Správa istrator.
  • Abyste mohli zřídit skupiny, musíte mít účet Microsoft Entra ID edice Premium. Zřizování uživatelů je k dispozici pro libovolnou edici Microsoft Entra ID.
  • Musíte být správcem účtu Azure Databricks.

Poznámka:

Pokud chcete povolit konzolu účtu a vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.

Krok 1: Konfigurace Azure Databricks

  1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu Azure Databricks.
  2. Klikněte na příkaz Ikona uživatelského NastaveníNastavení.
  3. Klikněte na Zřizování uživatelů.
  4. Klikněte na Nastavit zřizování uživatelů.

Zkopírujte token SCIM a adresu URL SCIM účtu. Použijete je ke konfiguraci aplikace Microsoft Entra ID.

Poznámka:

Token SCIM je omezen na rozhraní API /api/2.0/accounts/{account_id}/scim/v2/ SCIM účtu a nelze ho použít k ověření v jiných rozhraních DATABricks REST API.

Krok 2: Konfigurace podnikové aplikace

Tyto pokyny vám řeknou, jak vytvořit podnikovou aplikaci na webu Azure Portal a jak ji použít ke zřizování. Pokud máte existující podnikovou aplikaci, můžete ji upravit tak, aby automatizovala zřizování SCIM pomocí Microsoft Graphu. Tím se odebere potřeba samostatné aplikace zřizování na webu Azure Portal.

Následujícím postupem povolíte Microsoft Entra ID synchronizace uživatelů a skupin s vaším účtem Azure Databricks. Tato konfigurace je oddělená od všech konfigurací, které jste vytvořili pro synchronizaci uživatelů a skupin s pracovními prostory.

  1. Na webu Azure Portal přejděte do podnikových aplikací Microsoft Entra ID>.
  2. Klikněte na + Nová aplikace nad seznamem aplikací. V části Přidat z galerie vyhledejte a vyberte Azure Databricks SCIM Provisioning Připojení or.
  3. Zadejte název aplikace a klikněte na Přidat.
  4. V nabídce Spravovat klikněte na Zřizování.
  5. Nastavte režim zřizování na automatickou.
  6. Nastavte adresu URL koncového bodu rozhraní API SCIM na adresu URL účtu SCIM, kterou jste si zkopírovali dříve.
  7. Nastavte token tajného klíče na token SCIM Azure Databricks, který jste vygenerovali dříve.
  8. Klikněte na testovací Připojení ion a počkejte na zprávu, která potvrzuje, že přihlašovací údaje mají oprávnění k povolení zřizování.
  9. Klikněte na Uložit.

Krok 3: Přiřazení uživatelů a skupin k aplikaci

Uživatelé a skupiny přiřazené k aplikaci SCIM se zřídí pro účet Azure Databricks. Pokud máte existující pracovní prostory Azure Databricks, databricks doporučuje přidat do aplikace SCIM všechny stávající uživatele a skupiny v těchto pracovních prostorech.

Poznámka:

Id Microsoft Entra nepodporuje automatické zřizování instančních objektů do Azure Databricks. Instanční objekty můžete přidat do účtu Azure Databricks podle pokynů ke správě instančních objektů ve vašem účtu.

Microsoft Entra ID nepodporuje automatické zřizování vnořených skupin do Azure Databricks. Id Microsoft Entra může číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Jako alternativní řešení explicitně přiřaďte skupiny, které obsahují uživatele, kteří je potřebují zřídit (nebo v jiném rozsahu). Další informace najdete v těchto nejčastějších dotazech.

  1. Přejděte na Spravovat > vlastnosti.
  2. Nastavte přiřazení požadované na Ne. Databricks doporučuje tuto možnost, která umožňuje všem uživatelům přihlásit se k účtu Azure Databricks.
  3. Přejděte do správy > zřizování.
  4. Pokud chcete začít synchronizovat uživatele a skupiny Microsoft Entra ID do Azure Databricks, nastavte přepínač Stav zřizování na Zapnuto.
  5. Klikněte na Uložit.
  6. Přejděte na Spravovat > uživatele a skupiny.
  7. Klikněte na Přidat uživatele nebo skupinu, vyberte uživatele a skupiny a klikněte na tlačítko Přiřadit .
  8. Počkejte několik minut a zkontrolujte, jestli ve vašem účtu Azure Databricks existují uživatelé a skupiny.

Uživatelé a skupiny, které přidáte a přiřadíte, se automaticky zřídí pro účet Azure Databricks, když Microsoft Entra ID naplánuje další synchronizaci.

Poznámka:

Pokud odeberete uživatele z aplikace SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne.

Zřízení identit pro pracovní prostor Azure Databricks pomocí ID Microsoft Entra (starší verze)

Důležité

Tato funkce je ve verzi Public Preview.

Pokud nemáte povolené žádné pracovní prostory pro federaci identit, měli byste zřídit uživatele, instanční objekty a skupiny přímo pro tyto pracovní prostory. Tato část popisuje, jak to udělat.

V následujících příkladech nahraďte <databricks-instance>adresou URL pracovního prostoru pro vaše nasazení Azure Databricks.

Požadavky

  • Váš účet Azure Databricks musí mít plán Premium.
  • V Microsoft Entra ID musíte mít roli Cloud Application Správa istrator.
  • Abyste mohli zřídit skupiny, musíte mít účet Microsoft Entra ID edice Premium. Zřizování uživatelů je k dispozici pro libovolnou edici Microsoft Entra ID.
  • Musíte být správcem pracovního prostoru Azure Databricks.

Krok 1: Vytvoření podnikové aplikace a její připojení k rozhraní API SCIM Azure Databricks

Pokud chcete nastavit zřizování přímo pro pracovní prostory Azure Databricks pomocí ID Microsoft Entra, vytvoříte podnikovou aplikaci pro každý pracovní prostor Azure Databricks.

Tyto pokyny vám řeknou, jak vytvořit podnikovou aplikaci na webu Azure Portal a jak ji použít ke zřizování. Pokud máte existující podnikovou aplikaci, můžete ji upravit tak, aby automatizovala zřizování SCIM pomocí Microsoft Graphu. Tím se odebere potřeba samostatné aplikace zřizování na webu Azure Portal.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.

  2. Vygenerujte osobní přístupový token a zkopírujte ho. Tento token zadáte do MICROSOFT Entra ID v dalším kroku.

    Důležité

    Tento token vygenerujte jako správce pracovního prostoru Azure Databricks, který není spravovaný podnikovou aplikací Microsoft Entra ID. Pokud se uživateli správce Azure Databricks, který vlastní osobní přístupový token, zruší zřízení pomocí ID Microsoft Entra, aplikace zřizování SCIM bude zakázaná.

  3. Na webu Azure Portal přejděte do podnikových aplikací Microsoft Entra ID>.

  4. Klikněte na + Nová aplikace nad seznamem aplikací. V části Přidat z galerie vyhledejte a vyberte azure Databricks SCIM Provisioning Připojení or.

  5. Zadejte název aplikace a klikněte na Přidat. Použijte název, který správcům pomůže ho najít, například <workspace-name>-provisioning.

  6. V nabídce Spravovat klikněte na Zřizování.

  7. Nastavte režim zřizování na automatickou.

  8. Zadejte adresu URL koncového bodu rozhraní API SCIM. Připojte /api/2.0/preview/scim se k adrese URL pracovního prostoru:

    https://<databricks-instance>/api/2.0/preview/scim

    Nahraďte <databricks-instance> adresou URL pracovního prostoru vašeho nasazení Azure Databricks. Viz Získání identifikátorů pro objekty pracovního prostoru.

  9. Nastavte token tajného klíče na token pat azure Databricks, který jste vygenerovali v kroku 1.

  10. Klikněte na testovací Připojení ion a počkejte na zprávu, která potvrzuje, že přihlašovací údaje mají oprávnění k povolení zřizování.

  11. Volitelně můžete zadat e-mail s oznámením o kritických chybách se zřizováním SCIM.

  12. Klikněte na Uložit.

Krok 2: Přiřazení uživatelů a skupin k aplikaci

Poznámka:

Id Microsoft Entra nepodporuje automatické zřizování instančních objektů do Azure Databricks. Instanční objekty můžete přidat do pracovního prostoru Azure Databricks podle pokynů ke správě instančních objektů ve vašem pracovním prostoru.

Microsoft Entra ID nepodporuje automatické zřizování vnořených skupin do Azure Databricks. Id Microsoft Entra může číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Jako alternativní řešení explicitně přiřaďte skupiny, které obsahují uživatele, kteří je potřebují zřídit (nebo v jiném rozsahu). Další informace najdete v těchto nejčastějších dotazech.

  1. Přejděte na Spravovat > vlastnosti.
  2. Nastavte přiřazení požadované na Ano. Databricks doporučuje tuto možnost, která synchronizuje jenom uživatele a skupiny přiřazené k podnikové aplikaci.
  3. Přejděte do správy > zřizování.
  4. Pokud chcete začít synchronizovat uživatele a skupiny Microsoft Entra ID do Azure Databricks, nastavte přepínač Stav zřizování na Zapnuto.
  5. Klikněte na Uložit.
  6. Přejděte na Spravovat > uživatele a skupiny.
  7. Klikněte na Přidat uživatele nebo skupinu, vyberte uživatele a skupiny a klikněte na tlačítko Přiřadit .
  8. Počkejte několik minut a zkontrolujte, jestli ve vašem účtu Azure Databricks existují uživatelé a skupiny.

V budoucnu se uživatelům a skupinám, které přidáte a přiřadíte, automaticky zřídí, když Microsoft Entra ID naplánuje další synchronizaci.

Důležité

Nepřiřazujte správce pracovního prostoru Azure Databricks, jehož osobní přístupový token se použil ke konfiguraci aplikace azure Databricks SCIM Provisioning Připojení or.

(Volitelné) Automatizace zřizování SCIM pomocí Microsoft Graphu

Microsoft Graph zahrnuje knihovny ověřování a autorizace, které můžete integrovat do aplikace, abyste mohli automatizovat zřizování uživatelů a skupin pro váš účet nebo pracovní prostory Azure Databricks místo konfigurace aplikace konektoru pro zřizování SCIM.

  1. Postupujte podle pokynů pro registraci aplikace v Microsoft Graphu. Poznamenejte si ID aplikace a ID tenanta pro aplikaci.
  2. Přejděte na stránku Přehled aplikací. Na této stránce:
    1. Nakonfigurujte tajný klíč klienta pro aplikaci a poznamenejte si ho.
    2. Udělte aplikaci tato oprávnění:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Požádejte správce Microsoft Entra ID, aby udělil souhlas správce.
  4. Aktualizujte kód aplikace a přidejte podporu pro Microsoft Graph.

Tipy pro zřizování

  • Uživatelé a skupiny, které existovaly v pracovním prostoru Azure Databricks před povolením zřizování, vykazují při zřizování synchronizaci následující chování:
    • Jsou sloučeny, pokud existují také v Microsoft Entra ID
    • Jsou ignorovány, pokud v ID Microsoft Entra neexistují.
  • Uživatelská oprávnění, která jsou přiřazena jednotlivě a jsou duplikována prostřednictvím členství ve skupině zůstanou po odebrání členství ve skupině pro uživatele.
  • Uživatelé odebraní z pracovního prostoru Azure Databricks přímo pomocí stránky nastavení pracovního prostoru Azure Databricks:
    • Ztratí přístup k pracovnímu prostoru Azure Databricks, ale může mít stále přístup k jiným pracovním prostorům Azure Databricks.
    • Nebude se znovu synchronizovat pomocí zřizování Microsoft Entra ID, i když zůstanou v podnikové aplikaci.
  • Počáteční synchronizace ID Microsoft Entra se aktivuje okamžitě po povolení zřizování. Následné synchronizace se aktivují každých 20 až 40 minut v závislosti na počtu uživatelů a skupin v aplikaci. Viz souhrnná sestava zřizování v dokumentaci k Microsoft Entra ID.
  • Uživatelské jméno nebo e-mailovou adresu uživatele pracovního prostoru Azure Databricks nelze aktualizovat.
  • Skupina admins je rezervovaná skupina v Azure Databricks a nedá se odebrat.
  • K získání seznamu členů libovolné skupiny pracovních prostorů Azure Databricks můžete použít rozhraní API skupiny skupin Azure Databricks nebo uživatelské rozhraní Skupiny.
  • Z aplikace azure Databricks SCIM Provisioning Připojení or nemůžete synchronizovat vnořené skupiny ani instanční objekty Microsoft Entra ID. Databricks doporučuje používat podnikovou aplikaci k synchronizaci uživatelů a skupin a správě vnořených skupin a instančních objektů v rámci Azure Databricks. K synchronizaci vnořených skupin nebo instančních objektů Microsoft Entra ID ale můžete použít také zprostředkovatele Databricks Terraformu nebo vlastní skripty, které cílí na rozhraní API SCIM Azure Databricks.

Řešení problému

Uživatelé a skupiny se nesynchronizují

  • Pokud používáte aplikaci azure Databricks SCIM Provisioning Připojení or:
    • Zřizování na úrovni pracovního prostoru: Na stránce nastavení správce Azure Databricks ověřte, že uživatel Azure Databricks, jehož osobní přístupový token používá aplikace Azure Databricks SCIM Provisioning Připojení or, je stále uživatelem správce pracovního prostoru v Azure Databricks a že token je stále platný.
    • Zřizování na úrovni účtu: V konzole účtu ověřte platnost tokenu SCIM Azure Databricks použitého k nastavení zřizování.
  • Nepokoušejte se synchronizovat vnořené skupiny, které nejsou podporovány automatickým zřizováním ID Microsoft Entra. Další informace najdete v těchto nejčastějších dotazech.

Instanční objekty Microsoft Entra ID se nesynchronizují

  • Aplikace azure Databricks SCIM Provisioning Připojení or nepodporuje synchronizaci instančních objektů.

Uživatelé a skupiny se po počáteční synchronizaci přestanou synchronizovat

Pokud používáte aplikaci azure Databricks SCIM Provisioning Připojení or: Po počáteční synchronizaci se ID Microsoft Entra nesynchronizuje hned po změně přiřazení uživatele nebo skupiny. Na základě počtu uživatelů a skupin naplánuje s určitou prodlevou synchronizaci s aplikací. Pokud chcete požádat o okamžitou synchronizaci, přejděte do části Správa > zřizování podnikové aplikace a vyberte Vymazat aktuální stav a restartujte synchronizaci.

Rozsah IP adres služby zřizování Microsoft Entra ID není přístupný

Služba zřizování Microsoft Entra ID funguje v rámci konkrétních rozsahů IP adres. Pokud potřebujete omezit přístup k síti, musíte povolit provoz z IP adres pro AzureActiveDirectory tento soubor rozsahu IP adres. Další informace najdete v části Rozsahy IP adres.