Menyinkronkan pengguna dan grup dari Microsoft Entra ID
Artikel ini menjelaskan cara mengonfigurasi penyedia identitas (IdP) dan Azure Databricks Anda untuk memprovisikan pengguna dan grup ke Azure Databricks menggunakan SCIM, atau System for Cross-domain Identity Management, standar terbuka yang memungkinkan Anda mengotomatiskan provisi pengguna.
Tentang provisi SCIM di Azure Databricks
SCIM memungkinkan Anda menggunakan penyedia identitas (IdP) untuk membuat pengguna di Azure Databricks, memberi mereka tingkat akses yang tepat, serta menghapus akses (membatalkan provisi) ketika mereka meninggalkan organisasi Anda atau tidak lagi memerlukan akses ke Databricks.
Anda dapat menggunakan konektor provisi SCIM di IdP Anda atau memanggil API Grup SCIM untuk mengelola provisi. Anda juga dapat menggunakan API ini untuk mengelola identitas di Azure Databricks secara langsung, tanpa IdP.
Provisi SCIM tingkat akun dan tingkat ruang kerja
Anda dapat mengonfigurasi satu konektor provisi SCIM dari ID Microsoft Entra ke akun Azure Databricks Anda, menggunakan provisi SCIM tingkat akun, atau mengonfigurasi konektor provisi SCIM terpisah ke setiap ruang kerja, menggunakan provisi SCIM tingkat ruang kerja.
- Provisi SCIM tingkat akun: Databricks menyarankan agar Anda menggunakan provisi SCIM tingkat akun untuk membuat, memperbarui, dan menghapus semua pengguna dari akun. Anda mengelola penugasan pengguna dan grup ke ruang kerja dalam Azure Databricks. Ruang kerja Anda harus diaktifkan agar federasi identitas dapat mengelola penetapan ruang kerja pengguna.
Provisi SCIM tingkat ruang kerja (warisan dan Pratinjau Publik): Untuk ruang kerja yang tidak diaktifkan untuk federasi identitas, Anda harus mengelola provisi SCIM tingkat akun dan tingkat ruang kerja secara paralel. Anda tidak memerlukan provisi SCIM tingkat ruang kerja untuk ruang kerja apa pun yang diaktifkan untuk federasi identitas.
Jika Anda sudah menyiapkan provisi SCIM tingkat ruang kerja untuk ruang kerja, Databricks menyarankan agar Anda mengaktifkan ruang kerja untuk federasi identitas, menyiapkan provisi SCIM tingkat akun, dan menonaktifkan provisi SCIM tingkat ruang kerja. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.
Persyaratan
Untuk memprovisi pengguna dan grup ke Azure Databricks menggunakan SCIM:
- Akun Azure Databricks Anda harus memiliki paket Premium.
- Untuk memprovisi pengguna ke akun Azure Databricks Anda menggunakan SCIM (termasuk SCIM REST API), Anda harus menjadi admin akun Azure Databricks.
- Untuk memprovisikan pengguna ke ruang kerja Azure Databricks menggunakan SCIM (termasuk REST API SCIM), Anda harus menjadi admin ruang kerja Azure Databricks.
Untuk informasi selengkapnya tentang hak istimewa admin, lihat Mengelola pengguna, perwakilan layanan, dan grup.
Anda dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup dalam satu akun. Setiap ruang kerja dapat memiliki maksimal 10.000 pengguna gabungan dan perwakilan layanan serta 5.000 grup.
Memprovisi identitas ke akun Azure Databricks Anda
Anda dapat menggunakan SCIM untuk memprovisikan pengguna dan grup dari ID Microsoft Entra ke akun Azure Databricks Anda menggunakan konektor provisi SCIM atau secara langsung menggunakan API SCIM.
Menambahkan pengguna dan grup ke akun Azure Databricks Anda menggunakan ID Microsoft Entra (sebelumnya Azure Active Directory)
Anda dapat menyinkronkan identitas tingkat akun dari penyewa MICROSOFT Entra ID Anda ke Azure Databricks menggunakan konektor provisi SCIM.
Penting
Jika Anda sudah memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja, Anda harus menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.
Untuk instruksi lengkapnya, lihat Memprovisikan identitas ke akun Azure Databricks Anda menggunakan ID Microsoft Entra.
Catatan
Saat Anda menghapus pengguna dari konektor SCIM tingkat akun, pengguna tersebut dinonaktifkan dari akun dan semua ruang kerja mereka, terlepas dari apakah federasi identitas telah diaktifkan atau tidak. Saat Anda menghapus grup dari konektor SCIM tingkat akun, semua pengguna dalam grup tersebut dinonaktifkan dari akun dan dari ruang kerja mana pun yang dapat mereka akses, (kecuali mereka adalah anggota grup lain atau telah secara langsung diberikan akses ke konektor SCIM tingkat akun).
Menambahkan pengguna, perwakilan layanan, dan grup ke akun Anda menggunakan API SCIM
Admin akun dapat menambahkan pengguna, perwakilan layanan, dan grup ke akun Azure Databricks menggunakan API SCIM Akun. Admin akun memanggil API di accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) dan dapat menggunakan token SCIM atau token ID Microsoft Entra untuk mengautentikasi.
Catatan
Token SCIM dibatasi untuk API /api/2.0/accounts/{account_id}/scim/v2/ SCIM Akun dan tidak dapat digunakan untuk mengautentikasi ke API REST Databricks lainnya.
Untuk mendapatkan token SCIM, lakukan hal berikut:
Sebagai admin akun, masuk ke konsol akun.
Di bilah samping, klik Pengaturan.
Klik Provisi Pengguna.
Jika provisi tidak diaktifkan, klik Siapkan provisi pengguna dan salin token.
Apabila provisi sudah diaktifkan, klik Regenerasi token dan salin token.
Untuk menggunakan token ID Microsoft Entra untuk mengautentikasi, lihat Autentikasi perwakilan layanan ID Microsoft Entra.
Admin ruang kerja dapat menambahkan pengguna dan perwakilan layanan menggunakan API yang sama. Admin ruang kerja memanggil API di domain {workspace-domain}/api/2.0/account/scim/v2/ruang kerja .
Memutar token SCIM tingkat akun
Jika token SCIM tingkat akun disusupi atau jika Anda memiliki persyaratan bisnis untuk memutar token autentikasi secara berkala, Anda dapat memutar token SCIM.
- Sebagai admin akun Azure Databricks, masuk ke konsol akun.
- Di bilah samping, klik Pengaturan.
- Klik Provisi Pengguna.
- Klik Buat ulang token. Catat token baru. Token sebelumnya akan terus berfungsi selama 24 jam.
- Dalam waktu 24 jam, perbarui aplikasi SCIM Anda untuk menggunakan token SCIM baru.
Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun
Jika Anda mengaktifkan provisi SCIM tingkat akun dan Anda sudah menyiapkan provisi SCIM tingkat ruang kerja untuk beberapa ruang kerja, Databricks menyarankan agar Anda menonaktifkan provisi SCIM tingkat ruang kerja dan sebaliknya menyinkronkan pengguna dan grup ke tingkat akun.
Buat grup di ID Microsoft Entra yang menyertakan semua pengguna dan grup yang saat ini Anda provisikan ke Azure Databricks menggunakan konektor SCIM tingkat ruang kerja Anda.
Databricks merekomendasikan agar grup ini menyertakan semua pengguna di semua ruang kerja di akun Anda.
Konfigurasikan konektor provisi SCIM baru untuk memprovisikan pengguna dan grup ke akun Anda, menggunakan instruksi pada Memprovisi identitas ke akun Azure Databricks Anda.
Gunakan grup yang telah Anda buat di langkah 1. Jika Anda menambahkan pengguna yang berbagi nama pengguna (alamat email) dengan pengguna akun yang sudah ada, pengguna tersebut akan digabungkan. Grup yang ada di akun tidak terpengaruh.
Konfirmasikan bahwa konektor provisi SCIM baru berhasil memprovisikan pengguna dan grup ke akun Anda.
Matikan konektor SCIM tingkat ruang kerja lama yang memprovisi pengguna dan grup ke ruang kerja Anda.
Jangan hapus pengguna dan grup dari konektor SCIM tingkat ruang kerja sebelum mematikannya. Mencabut akses dari konektor SCIM menonaktifkan pengguna di ruang kerja Azure Databricks. Untuk informasi selengkapnya, lihat Menonaktifkan pengguna di ruang kerja Azure Databricks Anda.
Memigrasikan grup ruang kerja lokal ke grup akun.
Jika Anda memiliki grup warisan di ruang kerja Anda, grup tersebut dikenal sebagai grup lokal ruang kerja. Anda tidak dapat mengelola grup ruang kerja-lokal menggunakan antarmuka tingkat akun. Azure Databricks merekomendasikan agar Anda mengonversikannya ke grup akun. Lihat Memigrasikan grup ruang kerja lokal ke grup akun
Memprovisikan identitas ke ruang kerja Azure Databricks (warisan)
Penting
Fitur ini ada di Pratinjau Publik.
Jika Anda ingin menggunakan konektor IdP untuk memprovisikan pengguna dan grup dan Anda memiliki ruang kerja yang tidak terfederasi identitas, Anda harus mengonfigurasi provisi SCIM di tingkat ruang kerja.
Catatan
SCIM tingkat ruang kerja tidak mengenali grup akun yang ditetapkan ke ruang kerja federasi identitas Anda dan panggilan API SCIM tingkat ruang kerja akan gagal jika melibatkan grup akun. Jika ruang kerja Anda diaktifkan untuk federasi identitas, Databricks menyarankan agar Anda menggunakan API SCIM tingkat akun alih-alih API SCIM tingkat ruang kerja dan Anda menyiapkan provisi SCIM tingkat akun dan menonaktifkan provisi SCIM tingkat ruang kerja. Untuk petunjuk terperinci, lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.
Menambahkan pengguna dan grup ke ruang kerja Anda menggunakan konektor provisi IdP
Ikuti instruksi dalam artikel khusus IdP yang sesuai:
Menambahkan pengguna, grup, dan perwakilan layanan ke ruang kerja Anda menggunakan SCIM API
Admin ruang kerja dapat menambahkan pengguna, grup, dan perwakilan layanan ke akun Azure Databricks menggunakan API SCIM tingkat ruang kerja. Lihat API Pengguna Ruang Kerja, API Grup Ruang Kerja, dan API Perwakilan Layanan Ruang Kerja
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk