Megosztás a következőn keresztül:

SCIM-kiépítés konfigurálása a Microsoft Entra ID (Azure Active Directory) használatával

  • Cikk

Ez a cikk bemutatja, hogyan állíthatja be a kiépítést az Azure Databricks-fiókhoz a Microsoft Entra ID használatával.

A Databricks azt javasolja, hogy a felhasználókat, a szolgáltatásneveket és a csoportokat a fiók szintjén építse ki, és kezelje a felhasználók és csoportok hozzárendelését az Azure Databricks munkaterületeihez. A munkaterületeket engedélyezni kell az identitás-összevonáshoz a felhasználók munkaterületekhez való hozzárendelésének kezeléséhez.

Feljegyzés

A kiépítés konfigurálásának módja teljesen eltér az Azure Databricks-munkaterületek vagy -fiókok hitelesítésének és feltételes hozzáférésének konfigurálásától. Az Azure Databricks hitelesítését a Microsoft Entra ID automatikusan kezeli az OpenID Connect protokollfolyamat használatával. Konfigurálhatja a feltételes hozzáférést, amely lehetővé teszi olyan szabályok létrehozását, amelyek többtényezős hitelesítést igényelnek, vagy korlátozzák a bejelentkezéseket a helyi hálózatokra szolgáltatásszinten.

Identitások kiépítése az Azure Databricks-fiókhoz a Microsoft Entra ID használatával

Egy SCIM-kiépítési összekötő használatával szinkronizálhatja a fiókszintű felhasználókat és csoportokat a Microsoft Entra ID-bérlőről az Azure Databricksbe.

Fontos

Ha már rendelkezik olyan SCIM-összekötőkkel, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel, akkor le kell tiltania ezeket az SCIM-összekötőket, ha engedélyezve van a fiókszintű SCIM-összekötő. Lásd: Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre.

Követelmények

  • Az Azure Databricks-fióknak prémium csomaggal kell rendelkeznie.
  • A Felhőalkalmazás-rendszergazdai szerepkörnek a Microsoft Entra-azonosítóban kell lennie.
  • A Microsoft Entra ID-fióknak prémium kiadású fióknak kell lennie a csoportok kiépítéséhez. A felhasználók kiépítése bármely Microsoft Entra ID-kiadáshoz elérhető.
  • Azure Databricks-fiókadminisztrátornak kell lennie.

Feljegyzés

A fiókkonzol engedélyezéséhez és az első fiókadminisztrátor létrehozásához lásd : Az első fiókadminisztrátor létrehozása.

1. lépés: Az Azure Databricks konfigurálása

  1. Azure Databricks-fiókadminisztrátorként jelentkezzen be az Azure Databricks-fiókkonzolba.
  2. Kattintson a Beállítások gombraFelhasználói beállítások ikon.
  3. Kattintson a Felhasználói kiépítés elemre.
  4. Kattintson a Felhasználó kiépítésének beállítása elemre.

Másolja ki az SCIM-jogkivonatot és a fiók SCIM URL-címét. Ezekkel konfigurálhatja a Microsoft Entra ID-alkalmazást.

Feljegyzés

Az SCIM-jogkivonat az Account SCIM API-ra /api/2.1/accounts/{account_id}/scim/v2/ korlátozódik, és nem használható más Databricks REST API-k hitelesítésére.

2. lépés: A vállalati alkalmazás konfigurálása

Ezek az utasítások bemutatja, hogyan hozhat létre nagyvállalati alkalmazást az Azure Portalon, és hogyan használhatja ezt az alkalmazást kiépítésre. Ha már rendelkezik vállalati alkalmazással, módosíthatja úgy, hogy automatizálja az SCIM-kiépítést a Microsoft Graph használatával. Így nincs szükség külön kiépítési alkalmazásra az Azure Portalon.

Az alábbi lépéseket követve engedélyezheti, hogy a Microsoft Entra ID szinkronizálja a felhasználókat és csoportokat az Azure Databricks-fiókjával. Ez a konfiguráció eltér a felhasználók és csoportok munkaterületekre való szinkronizálásához létrehozott konfigurációktól.

  1. Az Azure Portalon nyissa meg a Microsoft Entra ID > Enterprise-alkalmazásokat.
  2. Kattintson az + Új alkalmazás elemre az alkalmazáslista fölött. A gyűjtemény Hozzáadás területén keresse meg és válassza ki az Azure Databricks SCIM kiépítési összekötőt.
  3. Adja meg az alkalmazás nevét, és kattintson a Hozzáadás gombra.
  4. A Kezelés menüben kattintson a Kiépítés gombra.
  5. Állítsa a kiépítési módot automatikusra.
  6. Állítsa az SCIM API-végpont URL-címét a korábban másolt fiók SCIM URL-címére.
  7. Állítsa be a titkos jogkivonatot a korábban létrehozott Azure Databricks SCIM-jogkivonatra.
  8. Kattintson a Kapcsolat tesztelése gombra, és várja meg azt az üzenetet, amely megerősíti, hogy a hitelesítő adatok jogosultak a kiépítés engedélyezésére.
  9. Kattintson a Mentés gombra.

3. lépés: Felhasználók és csoportok hozzárendelése az alkalmazáshoz

Az SCIM-alkalmazáshoz hozzárendelt felhasználók és csoportok ki lesznek építve az Azure Databricks-fiókban. Ha már rendelkezik Azure Databricks-munkaterületekkel, a Databricks azt javasolja, hogy a munkaterületeken lévő összes meglévő felhasználót és csoportot vegye fel az SCIM-alkalmazásba.

Feljegyzés

A Microsoft Entra ID nem támogatja az Azure Databricks szolgáltatásnevek automatikus kiépítését. Az Azure Databricks-fiókhoz a fiókban lévő szolgáltatásnevek kezelése után adhat hozzá egyszerű szolgáltatásneveket.

A Microsoft Entra ID nem támogatja a beágyazott csoportok Azure Databricksbe történő automatikus kiépítését. A Microsoft Entra-azonosító csak azokat a felhasználókat tudja olvasni és kiépíteni, amelyek a kifejezetten hozzárendelt csoport közvetlen tagjai. Kerülő megoldásként explicit módon rendelje hozzá (vagy más módon hatókörbe) azokat a csoportokat, amelyek tartalmazzák a kiépíteni kívánt felhasználókat. További információkért tekintse meg ezt a gyakori kérdéseket.

  1. Lépjen a Tulajdonságok kezelése elemre>.
  2. Adja meg a Nem értékre kötelező hozzárendelést. A Databricks ezt a lehetőséget javasolja, amely lehetővé teszi, hogy minden felhasználó bejelentkezjen az Azure Databricks-fiókba.
  3. Nyissa meg a Kiépítés kezelése > elemet.
  4. A Microsoft Entra ID-felhasználók és -csoportok Azure Databricksre való szinkronizálásához állítsa be a kiépítési állapot kapcsolót.
  5. Kattintson a Mentés gombra.
  6. Válassza a Felhasználók és csoportok kezelése > elemet.
  7. Kattintson a Felhasználó/csoport hozzáadása elemre, jelölje ki a felhasználókat és csoportokat, majd kattintson a Hozzárendelés gombra.
  8. Várjon néhány percet, és ellenőrizze, hogy a felhasználók és csoportok léteznek-e az Azure Databricks-fiókban.

A hozzáadott és hozzárendelt felhasználók és csoportok automatikusan ki lesznek építve az Azure Databricks-fiókba, amikor a Microsoft Entra ID ütemezi a következő szinkronizálást.

Feljegyzés

Ha eltávolít egy felhasználót a fiókszintű SCIM-alkalmazásból, a rendszer inaktiválja a felhasználót a fiókból és a munkaterületekről, függetlenül attól, hogy engedélyezve van-e az identitás-összevonás.

Üzembe helyezési tippek

  • Az Azure Databricks-munkaterületen a kiépítés engedélyezése előtt meglévő felhasználók és csoportok a következő viselkedést mutatják a szinkronizálás kiépítésekor:
    • Egyesítve lesznek, ha a Microsoft Entra-azonosítóban is léteznek
    • A rendszer figyelmen kívül hagyja, ha nem léteznek a Microsoft Entra-azonosítóban
  • A csoporttagság által duplikált egyénileg hozzárendelt felhasználói engedélyek akkor is megmaradnak, ha a csoporttagság el lett távolítva a felhasználó számára.
  • Közvetlenül az Azure Databricks-munkaterületről eltávolított felhasználók az Azure Databricks-munkaterület rendszergazdai beállításainak lapján:
    • Elveszíti a hozzáférést az Azure Databricks-munkaterülethez, de továbbra is hozzáférhet más Azure Databricks-munkaterületekhez.
    • A rendszer nem szinkronizálja újra a Microsoft Entra ID kiépítésével, még akkor sem, ha azok a vállalati alkalmazásban maradnak.
  • A kezdeti Microsoft Entra-azonosító szinkronizálása a kiépítés engedélyezése után azonnal aktiválódik. A későbbi szinkronizálások 20–40 percenként aktiválódnak az alkalmazás felhasználóinak és csoportjainak számától függően. Lásd a kiépítési összefoglaló jelentést a Microsoft Entra ID dokumentációjában.
  • Az Azure Databricks-munkaterület felhasználóinak felhasználónevét vagy e-mail-címét nem módosíthatja.
  • A admins csoport fenntartott csoport az Azure Databricksben, ezért nem távolítható el.
  • Az Azure Databricks Groups API-val vagy a Csoportok felhasználói felülettel lekérheti bármelyik Azure Databricks-munkaterületcsoport tagjainak listáját.
  • Az Azure Databricks SCIM Provisioning Connector alkalmazásból nem szinkronizálhat beágyazott csoportokat vagy Microsoft Entra ID-szolgáltatásneveket. A Databricks azt javasolja, hogy a vállalati alkalmazással szinkronizálja a felhasználókat és csoportokat, és kezelje a beágyazott csoportokat és szolgáltatásneveket az Azure Databricksben. Használhatja azonban a Databricks Terraform-szolgáltatót vagy az Azure Databricks SCIM API-t célzó egyéni szkripteket is a beágyazott csoportok vagy a Microsoft Entra ID szolgáltatásnevek szinkronizálásához.
  • A Microsoft Entra ID-ban lévő csoportnevek frissítései nem szinkronizálódnak az Azure Databricks szolgáltatással.

(Nem kötelező) SCIM-kiépítés automatizálása a Microsoft Graph használatával

A Microsoft Graph olyan hitelesítési és engedélyezési kódtárakat tartalmaz, amelyeket az alkalmazásba integrálva automatizálhatja a felhasználók és csoportok Azure Databricks-fiókba vagy -munkaterületekre való kiépítését a SCIM kiépítési összekötőalkalmazás konfigurálása helyett.

  1. Kövesse az alkalmazás Microsoft Graph-beli regisztrálásához szükséges utasításokat. Jegyezze fel az alkalmazásazonosítót és az alkalmazás bérlőazonosítóját
  2. Nyissa meg az alkalmazások Áttekintés lapját. Ezen az oldalon:
    1. Konfiguráljon egy ügyfélkulcsot az alkalmazáshoz, és jegyezze fel a titkos kódot.
    2. Adja meg az alkalmazásnak az alábbi engedélyeket:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Kérje meg a Microsoft Entra-azonosító rendszergazdáját, hogy adjon rendszergazdai hozzájárulást.
  4. Frissítse az alkalmazás kódját a Microsoft Graph támogatásának hozzáadásához.

Hibaelhárítás

A felhasználók és csoportok nem szinkronizálódnak

  • Ha az Azure Databricks SCIM Provisioning Connector alkalmazást használja:
    • A fiókkonzolon ellenőrizze, hogy a kiépítés beállításához használt Azure Databricks SCIM-jogkivonat továbbra is érvényes-e.
  • Ne kísérelje meg szinkronizálni a beágyazott csoportokat, amelyeket a Microsoft Entra ID automatikus kiépítése nem támogat. További információkért tekintse meg ezt a gyakori kérdéseket.

A Microsoft Entra ID szolgáltatásnevek nem szinkronizálódnak

  • Az Azure Databricks SCIM Provisioning Connector alkalmazás nem támogatja a szolgáltatásnevek szinkronizálását.

A kezdeti szinkronizálás után a felhasználók és csoportok szinkronizálása leáll

Ha az Azure Databricks SCIM Kiépítési összekötő alkalmazást használja: A kezdeti szinkronizálás után a Microsoft Entra-azonosító nem szinkronizálódik közvetlenül a felhasználói vagy csoporthozzárendelések módosítása után. A késés utánra szinkronizálást ütemez az alkalmazással a felhasználók és csoportok száma alapján. Azonnali szinkronizálás kéréséhez lépjen a vállalati alkalmazás kiépítésének kezelése > elemre, és válassza az Aktuális állapot törlése és a szinkronizálás újraindítása lehetőséget.

A Microsoft Entra ID kiépítési szolgáltatás IP-tartománya nem elérhető

A Microsoft Entra ID kiépítési szolgáltatás meghatározott IP-tartományokban működik. Ha korlátoznia kell a hálózati hozzáférést, engedélyeznie kell az IP-címekről AzureActiveDirectory érkező forgalmat ebben az IP-tartományfájlban. További információért lásd: IP-címtartományok.