Bagikan melalui

Menyinkronkan pengguna dan grup dari Microsoft Entra ID

  • Artikel

Artikel ini menjelaskan cara mengonfigurasi penyedia identitas (IdP) dan Azure Databricks Anda untuk memprovisikan pengguna dan grup ke Azure Databricks menggunakan SCIM, atau System for Cross-domain Identity Management, standar terbuka yang memungkinkan Anda mengotomatiskan provisi pengguna.

Tentang provisi SCIM di Azure Databricks

SCIM memungkinkan Anda menggunakan IdP untuk membuat pengguna di Azure Databricks, memberi mereka tingkat akses yang tepat, dan menghapus akses (mendeprovisinya) saat mereka meninggalkan organisasi Anda atau tidak lagi memerlukan akses ke Azure Databricks.

Anda dapat menggunakan konektor provisi SCIM di IdP Anda atau memanggil API Grup SCIM untuk mengelola provisi. Anda juga dapat menggunakan API ini untuk mengelola identitas di Azure Databricks secara langsung, tanpa IdP.

Provisi SCIM tingkat akun dan tingkat ruang kerja

Databricks merekomendasikan agar Anda menggunakan provisi SCIM tingkat akun untuk membuat, memperbarui, dan menghapus semua pengguna dari akun. Anda mengelola penugasan pengguna dan grup ke ruang kerja dalam Azure Databricks. Ruang kerja Anda harus diaktifkan agar federasi identitas dapat mengelola penetapan ruang kerja pengguna.

Diagram SCIM tingkat akun

Provisi SCIM tingkat ruang kerja adalah konfigurasi warisan yang ada di Pratinjau Umum. Jika Anda sudah menyiapkan provisi SCIM tingkat ruang kerja untuk ruang kerja, Databricks menyarankan agar Anda mengaktifkan ruang kerja untuk federasi identitas, menyiapkan provisi SCIM tingkat akun, dan menonaktifkan provisi SCIM tingkat ruang kerja. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun. Untuk informasi selengkapnya tentang provisi SCIM tingkat ruang kerja, lihat Menyediakan identitas ke ruang kerja Azure Databricks (warisan).

Persyaratan

Untuk memprovisi pengguna dan grup ke Azure Databricks menggunakan SCIM:

  • Akun Azure Databricks Anda harus memiliki paket Premium.
  • Anda harus menjadi admin akun Azure Databricks.

Anda dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup dalam satu akun. Setiap ruang kerja dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup.

Menyinkronkan pengguna dan grup ke akun Azure Databricks Anda

Anda dapat menyinkronkan identitas tingkat akun dari penyewa MICROSOFT Entra ID Anda ke Azure Databricks menggunakan konektor provisi SCIM.

Penting

Jika Anda sudah memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja, Anda harus menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.

Untuk instruksi lengkap, lihat Mengonfigurasi provisi SCIM menggunakan MICROSOFT Entra ID (Azure Active Directory). Setelah Mengonfigurasi provisi SCIM tingkat akun, Databricks menyarankan agar Anda mengizinkan semua pengguna di ID Microsoft Entra untuk mengakses akun Azure Databricks. Lihat Mengaktifkan semua pengguna ID Microsoft Entra untuk mengakses Azure Databricks.

Catatan

Saat Anda menghapus pengguna dari konektor SCIM tingkat akun, pengguna tersebut dinonaktifkan dari akun dan semua ruang kerja mereka, terlepas dari apakah federasi identitas telah diaktifkan atau tidak. Saat Anda menghapus grup dari konektor SCIM tingkat akun, semua pengguna dalam grup tersebut dinonaktifkan dari akun dan dari ruang kerja mana pun yang dapat mereka akses, (kecuali mereka adalah anggota grup lain atau telah secara langsung diberikan akses ke konektor SCIM tingkat akun).

Memutar token SCIM tingkat akun

Jika token SCIM tingkat akun disusupi atau jika Anda memiliki persyaratan bisnis untuk memutar token autentikasi secara berkala, Anda dapat memutar token SCIM.

  1. Sebagai admin akun Azure Databricks, masuk ke konsol akun.
  2. Di bilah samping, klik Pengaturan.
  3. Klik Provisi Pengguna.
  4. Klik Buat ulang token. Catat token baru. Token sebelumnya akan terus berfungsi selama 24 jam.
  5. Dalam waktu 24 jam, perbarui aplikasi SCIM Anda untuk menggunakan token SCIM baru.

Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun

Jika Anda mengaktifkan provisi SCIM tingkat akun dan Anda sudah menyiapkan provisi SCIM tingkat ruang kerja untuk beberapa ruang kerja, Databricks menyarankan agar Anda menonaktifkan provisi SCIM tingkat ruang kerja dan sebaliknya menyinkronkan pengguna dan grup ke tingkat akun.

  1. Buat grup di ID Microsoft Entra yang menyertakan semua pengguna dan grup yang saat ini Anda provisikan ke Azure Databricks menggunakan konektor SCIM tingkat ruang kerja Anda.

    Databricks merekomendasikan agar grup ini menyertakan semua pengguna di semua ruang kerja di akun Anda.

  2. Konfigurasikan konektor provisi SCIM baru untuk memprovisikan pengguna dan grup ke akun Anda, menggunakan instruksi di Menyinkronkan pengguna dan grup ke akun Azure Databricks Anda.

    Gunakan grup yang telah Anda buat di langkah 1. Jika Anda menambahkan pengguna yang berbagi nama pengguna (alamat email) dengan pengguna akun yang sudah ada, pengguna tersebut akan digabungkan. Grup yang ada di akun tidak terpengaruh.

  3. Konfirmasikan bahwa konektor provisi SCIM baru berhasil memprovisikan pengguna dan grup ke akun Anda.

  4. Matikan konektor SCIM tingkat ruang kerja lama yang memprovisi pengguna dan grup ke ruang kerja Anda.

    Jangan hapus pengguna dan grup dari konektor SCIM tingkat ruang kerja sebelum mematikannya. Mencabut akses dari konektor SCIM menonaktifkan pengguna di ruang kerja Azure Databricks. Untuk informasi selengkapnya, lihat Menonaktifkan pengguna di ruang kerja Azure Databricks Anda.

  5. Memigrasikan grup ruang kerja lokal ke grup akun.

    Jika Anda memiliki grup warisan di ruang kerja Anda, grup tersebut dikenal sebagai grup lokal ruang kerja. Anda tidak dapat mengelola grup ruang kerja-lokal menggunakan antarmuka tingkat akun. Azure Databricks merekomendasikan agar Anda mengonversikannya ke grup akun. Lihat Memigrasikan grup ruang kerja lokal ke grup akun