Megosztás a következőn keresztül:

Felhasználók és csoportok szinkronizálása a Microsoft Entra ID-ból

  • Cikk

Ez a cikk bemutatja, hogyan konfigurálhatja az identitásszolgáltatót (IDP) és az Azure Databrickset arra, hogy felhasználókat és csoportokat építsen ki az Azure Databricksbe scIM vagy system for Cross-domain Identity Management használatával, amely egy nyílt szabvány, amely lehetővé teszi a felhasználók kiépítésének automatizálását.

Tudnivalók az SCIM-kiépítésről az Azure Databricksben

Az SCIM lehetővé teszi, hogy idP használatával felhasználókat hozzon létre az Azure Databricksben, megfelelő hozzáférési szintet biztosítson nekik, és eltávolítsa a hozzáférést (megszüntetheti őket), amikor elhagyják a szervezetet, vagy már nincs szükségük az Azure Databrickshez való hozzáférésre.

Használhat scim kiépítési összekötőt az idP-ben, vagy meghívhatja az SCIM Groups API-t a kiépítés kezeléséhez. Ezen API-k segítségével közvetlenül, idp nélkül is kezelheti az identitásokat az Azure Databricksben.

Fiókszintű és munkaterületszintű SCIM-kiépítés

A Databricks azt javasolja, hogy használjon fiókszintű SCIM-kiépítést az összes felhasználó létrehozásához, frissítéséhez és törléséhez a fiókból. Kezelheti a felhasználók és csoportok hozzárendelését az Azure Databricks munkaterületeihez. A munkaterületeket engedélyezni kell az identitás-összevonáshoz a felhasználók munkaterület-hozzárendeléseinek kezeléséhez.

Fiókszintű SCIM-diagram

A munkaterületszintű SCIM-kiépítés egy örökölt konfiguráció, amely nyilvános előzetes verzióban érhető el. Ha már be van állítva munkaterületszintű SCIM-kiépítés egy munkaterülethez, a Databricks azt javasolja, hogy engedélyezze a munkaterületet az identitásösszevonáshoz, állítsa be a fiókszintű SCIM-kiépítést, és kapcsolja ki a munkaterületszintű SCIM-kiépítést. Lásd: Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre. A munkaterületszintű SCIM-kiépítéssel kapcsolatos további információkért lásd: Identitások kiépítése egy Azure Databricks-munkaterületre (örökölt)

Követelmények

Felhasználók és csoportok kiépítése az Azure Databricksbe az SCIM használatával:

  • Az Azure Databricks-fióknak prémium csomaggal kell rendelkeznie.
  • Azure Databricks-fiókadminisztrátornak kell lennie.

Egy fiókban legfeljebb 10 000 egyesített felhasználóval és szolgáltatásnévvel és 5000 csoporttal rendelkezhet. Minden munkaterület legfeljebb 10 000 egyesített felhasználóval és szolgáltatásnévvel és 5000 csoporttal rendelkezhet.

Felhasználók és csoportok szinkronizálása az Azure Databricks-fiókba

A fiókszintű identitásokat a Microsoft Entra ID-bérlőről az Azure Databricksbe szinkronizálhatja SCIM-kiépítési összekötő használatával.

Fontos

Ha már rendelkezik olyan SCIM-összekötőkkel, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel, akkor le kell tiltania ezeket az SCIM-összekötőket, ha engedélyezve van a fiókszintű SCIM-összekötő. Lásd: Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre.

A teljes útmutatásért lásd: SCIM-kiépítés konfigurálása a Microsoft Entra ID (Azure Active Directory) használatával. Miután konfigurálta a fiókszintű SCIM-kiépítést, a Databricks azt javasolja, hogy engedélyezze a Microsoft Entra-azonosítóban lévő összes felhasználó számára az Azure Databricks-fiók elérését. Lásd: Az Azure Databricks elérésének engedélyezése a Microsoft Entra-azonosító összes felhasználója számára.

Feljegyzés

Amikor eltávolít egy felhasználót a fiókszintű SCIM-összekötőből, a rendszer inaktiválja a felhasználót a fiókból és az összes munkaterületről, függetlenül attól, hogy engedélyezve van-e az identitás-összevonás. Amikor eltávolít egy csoportot a fiókszintű SCIM-összekötőből, a csoport összes felhasználója inaktiválva lesz a fiókból és minden olyan munkaterületről, amelyhez hozzáférése volt (kivéve, ha tagjai egy másik csoportnak, vagy közvetlenül kaptak hozzáférést a fiókszintű SCIM-összekötőhöz).

A fiókszintű SCIM-jogkivonat elforgatása

Ha a fiókszintű SCIM-jogkivonat biztonsága sérül, vagy ha üzleti követelményeket támaszt a hitelesítési jogkivonatok rendszeres elforgatásához, az SCIM-jogkivonatot elforgathatja.

  1. Azure Databricks-fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Beállítások gombra.
  3. Kattintson a Felhasználói kiépítés elemre.
  4. Kattintson az Újragenerálás jogkivonatra. Jegyezze fel az új jogkivonatot. Az előző jogkivonat 24 órán át fog működni.
  5. 24 órán belül frissítse SCIM-alkalmazását az új SCIM-jogkivonat használatára.

Munkaterületszintű SCIM-kiépítés migrálása a fiókszintre

Ha engedélyezi a fiókszintű SCIM-kiépítést, és egyes munkaterületekhez már beállította a munkaterületszintű SCIM-kiépítést, a Databricks azt javasolja, hogy kapcsolja ki a munkaterületszintű SCIM-kiépítést, és inkább szinkronizálja a felhasználókat és a csoportokat a fiókszintre.

  1. Hozzon létre egy csoportot a Microsoft Entra-azonosítóban, amely tartalmazza az összes felhasználót és csoportot, amelyet jelenleg az Azure Databricksben épít ki a munkaterületszintű SCIM-összekötők használatával.

    A Databricks azt javasolja, hogy ez a csoport a fiók összes munkaterületén tartalmazza az összes felhasználót.

  2. Konfiguráljon egy új SCIM-kiépítési összekötőt, amely felhasználókat és csoportokat épít ki a fiókjába a Felhasználók és csoportok szinkronizálása az Azure Databricks-fiókba című témakörben leírtak szerint.

    Használja az 1. lépésben létrehozott csoportot vagy csoportokat. Ha olyan felhasználót ad hozzá, aki megoszt egy felhasználónevet (e-mail-címet) egy meglévő fiókfelhasználóval, a rendszer egyesíti ezeket a felhasználókat. A fiók meglévő csoportjaira nincs hatással.

  3. Győződjön meg arról, hogy az új SCIM kiépítési összekötő sikeresen kiépíti a felhasználókat és csoportokat a fiókjába.

  4. Állítsa le a régi munkaterületszintű SCIM-összekötőket, amelyek felhasználókat és csoportokat hoztak létre a munkaterületeken.

    Ne távolítsa el a felhasználókat és csoportokat a munkaterületszintű SCIM-összekötőkről, mielőtt leállítja őket. Az SCIM-összekötők hozzáférésének visszavonása inaktiválja a felhasználót az Azure Databricks-munkaterületen. További információ: Felhasználó inaktiválása az Azure Databricks-munkaterületen.

  5. Munkaterület-helyi csoportok áttelepítése fiókcsoportokba.

    Ha régebbi csoportokkal rendelkezik a munkaterületeken, azokat munkaterület-helyi csoportoknak nevezzük. A munkaterület helyi csoportjai fiókszintű felületek használatával nem kezelhetők. A Databricks azt javasolja, hogy alakítsa át őket fiókcsoportokká. Lásd: Munkaterület-helyi csoportok migrálása fiókcsoportokba