Synchronizace uživatelů a skupin z Microsoft Entra ID

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity (IDP) a Azure Databricks tak, aby zřizovaly uživatele a skupiny pro Azure Databricks pomocí SCIM nebo System for Cross-domain Identity Management, což je otevřený standard, který umožňuje automatizovat zřizování uživatelů.

Informace o zřizování SCIM v Azure Databricks

SCIM umožňuje pomocí zprostředkovatele identity vytvářet uživatele v Azure Databricks, poskytovat jim správnou úroveň přístupu a odebírat přístup (zrušit jejich zřízení), když opustí vaši organizaci nebo už nepotřebují přístup k Azure Databricks.

Ke správě zřizování můžete použít zřizovací konektor SCIM ve vašem zprostředkovatele identity nebo vyvolat rozhraní API skupin SCIM. Tato rozhraní API můžete také použít ke správě identit v Azure Databricks přímo bez zprostředkovatele identity.

Zřizování SCIM na úrovni účtu a pracovního prostoru

Databricks doporučuje používat zřizování SCIM na úrovni účtu k vytváření, aktualizaci a odstraňování všech uživatelů z účtu. Přiřazení uživatelů a skupin k pracovním prostorům v Azure Databricks spravujete. Aby bylo možné spravovat přiřazení pracovních prostorů uživatelů, musí být vaše pracovní prostory povolené pro federaci identit.

Zřizování SCIM na úrovni pracovního prostoru je starší konfigurace, která je ve verzi Public Preview. Pokud už máte pro pracovní prostor nastavené zřizování SCIM na úrovni pracovního prostoru, doporučuje Databricks povolit pracovní prostor pro federaci identit, nastavit zřizování SCIM na úrovni účtu a vypnout zřizovací nástroj SCIM na úrovni pracovního prostoru. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu. Další informace o zřizování SCIM na úrovni pracovního prostoru najdete v tématu Zřizování identit pro pracovní prostor Azure Databricks (starší verze).

Požadavky

Zřízení uživatelů a skupin pro Azure Databricks pomocí SCIM:

• Váš účet Azure Databricks musí mít plán Premium.
• Musíte být správcem účtu Azure Databricks.

V účtu můžete mít maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin. Každý pracovní prostor může mít maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin.

Synchronizace uživatelů a skupin s účtem Azure Databricks

Identity na úrovni účtu můžete synchronizovat z tenanta Microsoft Entra ID do Azure Databricks pomocí zřizovacího konektoru SCIM.

Důležité

Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Úplné pokyny najdete v tématu Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory). Jakmile nakonfigurujete zřizování SCIM na úrovni účtu, databricks doporučuje povolit všem uživatelům v Microsoft Entra ID přístup k účtu Azure Databricks. Viz Povolení přístupu ke službě Azure Databricks všem uživatelům Microsoft Entra ID.

Poznámka:

Když odeberete uživatele z konektoru SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a všech jeho pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne. Když odeberete skupinu z konektoru SCIM na úrovni účtu, všichni uživatelé v této skupině se deaktivují z účtu a ze všech pracovních prostorů, ke kterým měli přístup (pokud nejsou členy jiné skupiny nebo nemají přímý přístup ke konektoru SCIM na úrovni účtu).

Obměna tokenu SCIM na úrovni účtu

Pokud dojde k ohrožení zabezpečení tokenu SCIM na úrovni účtu nebo pokud máte obchodní požadavky na pravidelné obměně ověřovacích tokenů, můžete token SCIM otočit.

1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu.
2. Na bočním panelu klikněte na Nastavení.
3. Klikněte na Zřizování uživatelů.
4. Klikněte na Znovu vygenerovat token. Poznamenejte si nový token. Předchozí token bude dál fungovat po dobu 24 hodin.
5. Do 24 hodin aktualizujte aplikaci SCIM tak, aby používala nový token SCIM.

Migrace zřizování SCIM na úrovni pracovního prostoru na úroveň účtu

Pokud povolujete zřizování SCIM na úrovni účtu a pro některé pracovní prostory už máte nastavené zřizování SCIM na úrovni pracovního prostoru, databricks doporučuje vypnout zřizovací nástroj SCIM na úrovni pracovního prostoru a místo toho synchronizovat uživatele a skupinu s úrovní účtu.

1. Vytvořte skupinu v Microsoft Entra ID, která zahrnuje všechny uživatele a skupiny, které aktuálně zřizujete pro Azure Databricks pomocí konektorů SCIM na úrovni pracovního prostoru.

   Databricks doporučuje, aby tato skupina zahrnovala všechny uživatele ve všech pracovních prostorech ve vašem účtu.

2. Nakonfigurujte nový konektor pro zřizování SCIM pro zřizování uživatelů a skupin pro váš účet pomocí pokynů v tématu Synchronizace uživatelů a skupin s vaším účtem Azure Databricks.

   Použijte skupinu nebo skupiny, které jste vytvořili v kroku 1. Pokud přidáte uživatele, který sdílí uživatelské jméno (e-mailovou adresu) s existujícím uživatelem účtu, budou tito uživatelé sloučeni. Stávající skupiny v účtu nejsou ovlivněny.

3. Ověřte, že nový konektor pro zřizování SCIM úspěšně zřizuje uživatele a skupiny pro váš účet.

4. Vypněte staré konektory SCIM na úrovni pracovního prostoru, které zřizují uživatele a skupiny pro vaše pracovní prostory.

   Před vypnutím uživatelů a skupin neodebírat uživatele a skupiny z konektorů SCIM na úrovni pracovního prostoru. Odvolání přístupu z konektoru SCIM deaktivuje uživatele v pracovním prostoru Azure Databricks. Další informace najdete v tématu Deaktivace uživatele v pracovním prostoru Azure Databricks.

5. Migrujte místní skupiny pracovního prostoru do skupin účtů.

   Pokud máte ve svých pracovních prostorech starší verze skupin, označují se jako místní skupiny pracovního prostoru. Místní skupiny pracovního prostoru nelze spravovat pomocí rozhraní na úrovni účtu. Databricks doporučuje, abyste je převedli na skupiny účtů. Viz Migrace místních skupin pracovního prostoru do skupin účtů