Sdílet prostřednictvím

Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory)

  • Článek

Tento článek popisuje, jak nastavit zřizování pro účet Azure Databricks pomocí ID Microsoft Entra.

Databricks doporučuje zřídit uživatele, instanční objekty a skupiny na úrovni účtu a spravovat přiřazení uživatelů a skupin k pracovním prostorům v Rámci Azure Databricks. Aby bylo možné spravovat přiřazení uživatelů k pracovním prostorům, musí být vaše pracovní prostory povolené pro federaci identit.

Poznámka:

Způsob konfigurace zřizování je zcela oddělený od konfigurace ověřování a podmíněného přístupu pro pracovní prostory nebo účty Azure Databricks. Ověřování pro Azure Databricks se zpracovává automaticky pomocí ID Microsoft Entra pomocí toku protokolu OpenID Connect. Můžete nakonfigurovat podmíněný přístup, který umožňuje vytvářet pravidla pro vyžadování vícefaktorového ověřování nebo omezení přihlášení k místním sítím na úrovni služby.

Zřízení identit pro účet Azure Databricks pomocí ID Microsoft Entra

Uživatele a skupiny na úrovni účtu můžete synchronizovat z tenanta Microsoft Entra ID do Azure Databricks pomocí zřizovacího konektoru SCIM.

Důležité

Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Požadavky

  • Váš účet Azure Databricks musí mít plán Premium.
  • V Microsoft Entra ID musíte mít roli Správce cloudových aplikací.
  • Abyste mohli zřídit skupiny, musíte mít účet Microsoft Entra ID edice Premium. Zřizování uživatelů je k dispozici pro libovolnou edici Microsoft Entra ID.
  • Musíte být správcem účtu Azure Databricks.

Poznámka:

Pokud chcete povolit konzolu účtu a vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.

Krok 1: Konfigurace Azure Databricks

  1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu Azure Databricks.
  2. Klikněte na Ikona nastavení uživatele Nastavení.
  3. Klikněte na Zřizování uživatelů.
  4. Klikněte na Nastavit zřizování uživatelů.

Zkopírujte token SCIM a adresu URL SCIM účtu. Použijete je ke konfiguraci aplikace Microsoft Entra ID.

Poznámka:

Token SCIM je omezen na rozhraní API /api/2.1/accounts/{account_id}/scim/v2/ SCIM účtu a nelze ho použít k ověření v jiných rozhraních DATABricks REST API.

Krok 2: Konfigurace podnikové aplikace

Tyto pokyny vám řeknou, jak vytvořit podnikovou aplikaci na webu Azure Portal a jak ji použít ke zřizování. Pokud máte existující podnikovou aplikaci, můžete ji upravit tak, aby automatizovala zřizování SCIM pomocí Microsoft Graphu. Tím se odebere potřeba samostatné aplikace zřizování na webu Azure Portal.

Následujícím postupem povolíte Microsoft Entra ID synchronizace uživatelů a skupin s vaším účtem Azure Databricks. Tato konfigurace je oddělená od všech konfigurací, které jste vytvořili pro synchronizaci uživatelů a skupin s pracovními prostory.

  1. Na webu Azure Portal přejděte do podnikových aplikací Microsoft Entra ID>.
  2. Klikněte na + Nová aplikace nad seznamem aplikací. V části Přidat z galerie vyhledejte a vyberte Azure Databricks SCIM Provisioning Connector.
  3. Zadejte název aplikace a klikněte na Přidat.
  4. V nabídce Spravovat klikněte na Zřizování.
  5. Nastavte režim zřizování na automatickou.
  6. Nastavte adresu URL koncového bodu rozhraní API SCIM na adresu URL účtu SCIM, kterou jste si zkopírovali dříve.
  7. Nastavte token tajného klíče na token SCIM Azure Databricks, který jste vygenerovali dříve.
  8. Klikněte na test připojení a počkejte na zprávu, která potvrzuje, že přihlašovací údaje jsou autorizované k povolení zřizování.
  9. Klikněte na Uložit.

Krok 3: Přiřazení uživatelů a skupin k aplikaci

Uživatelé a skupiny přiřazené k aplikaci SCIM se zřídí pro účet Azure Databricks. Pokud máte existující pracovní prostory Azure Databricks, databricks doporučuje přidat do aplikace SCIM všechny stávající uživatele a skupiny v těchto pracovních prostorech.

Poznámka:

Id Microsoft Entra nepodporuje automatické zřizování instančních objektů do Azure Databricks. Instanční objekty můžete přidat do účtu Azure Databricks podle pokynů ke správě instančních objektů ve vašem účtu.

Microsoft Entra ID nepodporuje automatické zřizování vnořených skupin do Azure Databricks. Id Microsoft Entra může číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Jako alternativní řešení explicitně přiřaďte skupiny, které obsahují uživatele, kteří je potřebují zřídit (nebo v jiném rozsahu). Další informace najdete v těchto nejčastějších dotazech.

  1. Přejděte na Spravovat > vlastnosti.
  2. Nastavte přiřazení požadované na Ne. Databricks doporučuje tuto možnost, která umožňuje všem uživatelům přihlásit se k účtu Azure Databricks.
  3. Přejděte do správy > zřizování.
  4. Pokud chcete začít synchronizovat uživatele a skupiny Microsoft Entra ID do Azure Databricks, nastavte přepínač Stav zřizování na Zapnuto.
  5. Klikněte na Uložit.
  6. Přejděte na Spravovat > uživatele a skupiny.
  7. Klikněte na Přidat uživatele nebo skupinu, vyberte uživatele a skupiny a klikněte na tlačítko Přiřadit .
  8. Počkejte několik minut a zkontrolujte, jestli ve vašem účtu Azure Databricks existují uživatelé a skupiny.

Uživatelé a skupiny, které přidáte a přiřadíte, se automaticky zřídí pro účet Azure Databricks, když Microsoft Entra ID naplánuje další synchronizaci.

Poznámka:

Pokud odeberete uživatele z aplikace SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne.

Tipy pro zřizování

  • Uživatelé a skupiny, které existovaly v pracovním prostoru Azure Databricks před povolením zřizování, vykazují při zřizování synchronizaci následující chování:
    • Jsou sloučeny, pokud existují také v Microsoft Entra ID
    • Jsou ignorovány, pokud v ID Microsoft Entra neexistují.
  • Individuální přiřazená uživatelská oprávnění, která jsou duplikována členstvím ve skupině, zůstávají i po odebrání členství ve skupině pro uživatele.
  • Uživatelé odebraní z pracovního prostoru Azure Databricks přímo pomocí stránky nastavení pracovního prostoru Azure Databricks:
    • Ztratí přístup k pracovnímu prostoru Azure Databricks, ale může mít stále přístup k jiným pracovním prostorům Azure Databricks.
    • Nebude se znovu synchronizovat pomocí zřizování Microsoft Entra ID, i když zůstanou v podnikové aplikaci.
  • Počáteční synchronizace ID Microsoft Entra se aktivuje okamžitě po povolení zřizování. Následné synchronizace se aktivují každých 20 až 40 minut v závislosti na počtu uživatelů a skupin v aplikaci. Viz souhrnná sestava zřizování v dokumentaci k Microsoft Entra ID.
  • Uživatelské jméno nebo e-mailovou adresu uživatele pracovního prostoru Azure Databricks nelze aktualizovat.
  • Skupina admins je rezervovaná skupina v Azure Databricks a nedá se odebrat.
  • K získání seznamu členů libovolné skupiny pracovních prostorů Azure Databricks můžete použít rozhraní API skupiny skupin Azure Databricks nebo uživatelské rozhraní Skupiny.
  • Z aplikace Azure Databricks SCIM Provisioning Connector není možné synchronizovat vnořené skupiny ani instanční objekty Microsoft Entra ID. Databricks doporučuje používat podnikovou aplikaci k synchronizaci uživatelů a skupin a správě vnořených skupin a instančních objektů v rámci Azure Databricks. Můžete ale také použít zprostředkovatele Databricks Terraform nebo vlastní skripty, které cílí na rozhraní API SCIM Azure Databricks, k synchronizaci vnořených skupin nebo instančních objektů Microsoft Entra ID.
  • Aktualizace názvů skupin v ID Microsoft Entra se nesynchronizují do Azure Databricks.

(Volitelné) Automatizace zřizování SCIM pomocí Microsoft Graphu

Microsoft Graph zahrnuje knihovny ověřování a autorizace, které můžete integrovat do aplikace, abyste mohli automatizovat zřizování uživatelů a skupin pro váš účet nebo pracovní prostory Azure Databricks místo konfigurace aplikace konektoru pro zřizování SCIM.

  1. Postupujte podle pokynů pro registraci aplikace v Microsoft Graphu. Poznamenejte si ID aplikace a ID tenanta pro aplikaci.
  2. Přejděte na stránku Přehled aplikací. Na této stránce:
    1. Nakonfigurujte tajný klíč klienta pro aplikaci a poznamenejte si ho.
    2. Udělte aplikaci tato oprávnění:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Požádejte správce Microsoft Entra ID, aby udělil souhlas správce.
  4. Aktualizujte kód aplikace a přidejte podporu pro Microsoft Graph.

Řešení problému

Uživatelé a skupiny se nesynchronizují

  • Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector :
    • V konzole účtu ověřte, že token Azure Databricks SCIM použitý k nastavení zřizování je stále platný.
  • Nepokoušejte se synchronizovat vnořené skupiny, které nejsou podporovány automatickým zřizováním ID Microsoft Entra. Další informace najdete v těchto nejčastějších dotazech.

Instanční objekty Microsoft Entra ID se nesynchronizují

  • Aplikace konektoru Azure Databricks SCIM Provisioning Connector nepodporuje synchronizaci instančních objektů.

Uživatelé a skupiny se po počáteční synchronizaci přestanou synchronizovat

Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector : Po počáteční synchronizaci se ID Microsoft Entra nesynchronizuje hned po změně přiřazení uživatele nebo skupiny. Na základě počtu uživatelů a skupin naplánuje s určitou prodlevou synchronizaci s aplikací. Pokud chcete požádat o okamžitou synchronizaci, přejděte do části Správa > zřizování podnikové aplikace a vyberte Vymazat aktuální stav a restartujte synchronizaci.

Rozsah IP adres služby zřizování Microsoft Entra ID není přístupný

Služba zřizování Microsoft Entra ID funguje v rámci konkrétních rozsahů IP adres. Pokud potřebujete omezit přístup k síti, musíte povolit provoz z IP adres pro AzureActiveDirectory tento soubor rozsahu IP adres. Další informace najdete v části Rozsahy IP adres.