Synchronizace uživatelů a skupin z Microsoft Entra ID

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity (IDP) a Azure Databricks tak, aby zřizovaly uživatele a skupiny pro Azure Databricks pomocí SCIM nebo System for Cross-domain Identity Management, což je otevřený standard, který umožňuje automatizovat zřizování uživatelů.

Informace o zřizování SCIM v Azure Databricks

SCIM umožňuje používat zprostředkovatele identity (IdP) k vytváření uživatelů v Azure Databricks, udělit jim správnou úroveň přístupu a odebrat přístup (zrušit jejich zřízení), když opustí vaši organizaci nebo už nepotřebují přístup k Azure Databricks.

Ke správě zřizování můžete použít zřizovací konektor SCIM ve vašem zprostředkovatele identity nebo vyvolat rozhraní API skupin SCIM. Tato rozhraní API můžete také použít ke správě identit v Azure Databricks přímo bez zprostředkovatele identity.

Zřizování SCIM na úrovni účtu a pracovního prostoru

Ke svému účtu Azure Databricks můžete nakonfigurovat jeden konektor zřizování SCIM z Microsoft Entra ID, pomocí zřizování SCIM na úrovni účtu nebo nakonfigurovat samostatné konektory zřizování SCIM pro každý pracovní prostor pomocí zřizování na úrovni pracovního prostoru.

• Zřizování SCIM na úrovni účtu: Databricks doporučuje používat zřizování SCIM na úrovni účtu k vytváření, aktualizaci a odstraňování všech uživatelů z účtu. Přiřazení uživatelů a skupin k pracovním prostorům v Azure Databricks spravujete. Aby bylo možné spravovat přiřazení pracovních prostorů uživatelů, musí být vaše pracovní prostory povolené pro federaci identit.

• Zřizování SCIM na úrovni pracovního prostoru (starší verze a verze Public Preview): U pracovních prostorů, které nejsou povolené pro federaci identit, musíte paralelně spravovat zřizování SCIM na úrovni účtu a na úrovni pracovního prostoru. Pro všechny pracovní prostory, které jsou povolené pro federaci identit, nepotřebujete zřizování SCIM na úrovni pracovního prostoru.

  Pokud už máte pro pracovní prostor nastavené zřizování SCIM na úrovni pracovního prostoru, doporučuje Databricks povolit pracovní prostor pro federaci identit, nastavit zřizování SCIM na úrovni účtu a vypnout zřizovací nástroj SCIM na úrovni pracovního prostoru. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Požadavky

Zřízení uživatelů a skupin pro Azure Databricks pomocí SCIM:

• Váš účet Azure Databricks musí mít plán Premium.
• Pokud chcete uživatelům zřídit účet Azure Databricks pomocí SCIM (včetně rozhraní REST API SCIM), musíte být správcem účtu Azure Databricks.
• Pokud chcete uživatelům zřídit pracovní prostor Azure Databricks pomocí SCIM (včetně rozhraní REST API SCIM), musíte být správcem pracovního prostoru Azure Databricks.

Další informace o oprávněních správce najdete v tématu Správa uživatelů, instančních objektů a skupin.

V účtu můžete mít maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin. Každý pracovní prostor může mít maximálně 10 000 kombinovaných uživatelů a instančních objektů a 5 000 skupin.

Zřízení identit pro váš účet Azure Databricks

SCIM můžete použít ke zřízení uživatelů a skupin z Microsoft Entra ID pro váš účet Azure Databricks pomocí zřizovacího konektoru SCIM nebo přímo pomocí rozhraní API SCIM.

Přidání uživatelů a skupin do účtu Azure Databricks pomocí ID Microsoft Entra (dříve Azure Active Directory)

Identity na úrovni účtu můžete synchronizovat z tenanta Microsoft Entra ID do Azure Databricks pomocí zřizovacího konektoru SCIM.

Důležité

Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Úplné pokyny najdete v tématu Zřizování identit pro váš účet Azure Databricks pomocí ID Microsoft Entra.

Poznámka:

Když odeberete uživatele z konektoru SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a všech jeho pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne. Když odeberete skupinu z konektoru SCIM na úrovni účtu, všichni uživatelé v této skupině se deaktivují z účtu a ze všech pracovních prostorů, ke kterým měli přístup (pokud nejsou členy jiné skupiny nebo nemají přímý přístup ke konektoru SCIM na úrovni účtu).

Přidání uživatelů, instančních objektů a skupin do účtu pomocí rozhraní API SCIM

Správci účtů můžou do účtu Azure Databricks přidávat uživatele, instanční objekty a skupiny pomocí rozhraní API SCIM účtu. Správci účtu můžou k ověření použít token SCIM nebo token ID Microsoft Entra. Viz referenční informace k rozhraní API SCIM v2.1 účtu.

Poznámka:

Token SCIM je omezen na rozhraní API SCIM účtu a nelze ho použít k ověření v jiných rozhraních DATABricks REST API.

Token SCIM získáte takto:

1. Jako správce účtu se přihlaste ke konzole účtu.

2. Na bočním panelu klikněte na Nastavení.

3. Klikněte na Zřizování uživatelů.

   Pokud zřizování není povolené, klikněte na Nastavit zřizování uživatelů a zkopírujte token.

   Pokud už je zřizování povolené, klikněte na Znovu vygenerovat token a zkopírujte token.

Pokud chcete k ověření použít token ID Microsoft Entra, přečtěte si téma Ověřování instančního objektu Microsoft Entra ID.

Správci pracovního prostoru můžou přidávat uživatele a instanční objekty pomocí stejného rozhraní API. Správci pracovního prostoru volají rozhraní API v doméně {workspace-domain}/api/2.0/account/scim/v2/pracovního prostoru .

Obměna tokenu SCIM na úrovni účtu

Pokud dojde k ohrožení zabezpečení tokenu SCIM na úrovni účtu nebo pokud máte obchodní požadavky na pravidelné obměně ověřovacích tokenů, můžete token SCIM otočit.

1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu.
2. Na bočním panelu klikněte na Nastavení.
3. Klikněte na Zřizování uživatelů.
4. Klikněte na Znovu vygenerovat token. Poznamenejte si nový token. Předchozí token bude dál fungovat po dobu 24 hodin.
5. Do 24 hodin aktualizujte aplikaci SCIM tak, aby používala nový token SCIM.

Migrace zřizování SCIM na úrovni pracovního prostoru na úroveň účtu

Pokud povolujete zřizování SCIM na úrovni účtu a pro některé pracovní prostory už máte nastavené zřizování SCIM na úrovni pracovního prostoru, databricks doporučuje vypnout zřizovací nástroj SCIM na úrovni pracovního prostoru a místo toho synchronizovat uživatele a skupinu s úrovní účtu.

1. Vytvořte skupinu v Microsoft Entra ID, která zahrnuje všechny uživatele a skupiny, které aktuálně zřizujete pro Azure Databricks pomocí konektorů SCIM na úrovni pracovního prostoru.

   Databricks doporučuje, aby tato skupina zahrnovala všechny uživatele ve všech pracovních prostorech ve vašem účtu.

2. Nakonfigurujte nový konektor pro zřizování SCIM pro zřizování uživatelů a skupin pro váš účet pomocí pokynů v tématu Zřizování identit pro váš účet Azure Databricks.

   Použijte skupinu nebo skupiny, které jste vytvořili v kroku 1. Pokud přidáte uživatele, který sdílí uživatelské jméno (e-mailovou adresu) s existujícím uživatelem účtu, budou tito uživatelé sloučeni. Stávající skupiny v účtu nejsou ovlivněny.

3. Ověřte, že nový konektor pro zřizování SCIM úspěšně zřizuje uživatele a skupiny pro váš účet.

4. Vypněte staré konektory SCIM na úrovni pracovního prostoru, které zřizují uživatele a skupiny pro vaše pracovní prostory.

   Před vypnutím uživatelů a skupin neodebírat uživatele a skupiny z konektorů SCIM na úrovni pracovního prostoru. Odvolání přístupu z konektoru SCIM deaktivuje uživatele v pracovním prostoru Azure Databricks. Další informace najdete v tématu Deaktivace uživatele v pracovním prostoru Azure Databricks.

5. Migrujte místní skupiny pracovního prostoru do skupin účtů.

   Pokud máte ve svých pracovních prostorech starší verze skupin, označují se jako místní skupiny pracovního prostoru. Místní skupiny pracovního prostoru nelze spravovat pomocí rozhraní na úrovni účtu. Databricks doporučuje, abyste je převedli na skupiny účtů. Viz Migrace místních skupin pracovního prostoru do skupin účtů

Zřízení identit pro pracovní prostor Azure Databricks (starší verze)

Důležité

Tato funkce je ve verzi Public Preview.

Pokud chcete použít konektor zprostředkovatele identity ke zřizování uživatelů a skupin a máte pracovní prostor, který není federovaný identitou, musíte nakonfigurovat zřizování SCIM na úrovni pracovního prostoru.

Poznámka:

SCIM na úrovni pracovního prostoru nerozpozná skupiny účtů přiřazené k vašemu pracovnímu prostoru federované identitě a volání rozhraní API SCIM na úrovni pracovního prostoru selžou, pokud zahrnují skupiny účtů. Pokud je váš pracovní prostor povolený pro federaci identit, databricks doporučuje používat rozhraní SCIM API na úrovni účtu místo rozhraní SCIM API na úrovni pracovního prostoru a nastavit zřizování SCIM na úrovni účtu a vypnout zřizovací nástroj SCIM na úrovni pracovního prostoru. Podrobné pokyny najdete v tématu Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Přidání uživatelů a skupin do pracovního prostoru pomocí zřizovacího konektoru zprostředkovatele identity

Postupujte podlepokynůch

• Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory)

Přidání uživatelů, skupin a instančních objektů do pracovního prostoru pomocí rozhraní API SCIM

Správci pracovního prostoru můžou do účtu Azure Databricks přidávat uživatele, skupiny a instanční objekty pomocí rozhraní API SCIM na úrovni pracovního prostoru. Viz rozhraní API pro uživatele pracovního prostoru, rozhraní API skupin pracovních prostorů a rozhraní API instančních objektů pracovních prostorů.