Bagikan melalui

Mengonfigurasi provisi SCIM menggunakan MICROSOFT Entra ID (Azure Active Directory)

  • Artikel

Artikel ini menjelaskan cara menyiapkan provisi ke Azure Databricks menggunakan ID Microsoft Entra (sebelumnya Azure Active Directory).

Anda dapat menyiapkan provisi ke Azure Databricks menggunakan ID Microsoft Entra di tingkat akun Azure Databricks atau di tingkat ruang kerja Azure Databricks.

Databricks merekomendasikan agar Anda memprovisikan pengguna, perwakilan layanan, dan grup ke tingkat akun dan mengelola penugasan pengguna dan grup ke ruang kerja dalam Azure Databricks. Ruang kerja Anda harus diaktifkan untuk federasi identitas agar dapat mengelola penugasan pengguna ke ruang kerja. Apabila Anda memiliki ruang kerja yang tidak diaktifkan untuk federasi identitas, Anda harus terus memprovisikan pengguna, perwakilan layanan, dan grup secara langsung ke ruang kerja tersebut.

Catatan

Cara provisi dikonfigurasi terpisah sepenuhnya dari mengonfigurasi autentikasi dan akses bersyarat untuk ruang kerja atau akun Azure Databricks. Autentikasi untuk Azure Databricks ditangani secara otomatis oleh MICROSOFT Entra ID, menggunakan alur protokol OpenID Koneksi. Anda dapat mengonfigurasi akses bersyarat, yang memungkinkan Anda membuat aturan untuk memerlukan autentikasi multifaktor atau membatasi login ke jaringan lokal, di tingkat layanan.

Memprovisikan identitas ke akun Azure Databricks Anda menggunakan ID Microsoft Entra

Anda dapat menyinkronkan pengguna dan grup tingkat akun dari penyewa MICROSOFT Entra ID Anda ke Azure Databricks menggunakan konektor provisi SCIM.

Penting

Jika Anda sudah memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja, Anda harus menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.

Persyaratan

  • Akun Azure Databricks Anda harus memiliki paket Premium.
  • Anda harus memiliki peran Administrator Aplikasi Cloud di ID Microsoft Entra.
  • Akun ID Microsoft Entra Anda harus merupakan akun edisi Premium untuk memprovisikan grup. Provisi pengguna tersedia untuk edisi ID Microsoft Entra apa pun.
  • Anda harus menjadi admin akun Azure Databricks.

Catatan

Untuk mengaktifkan konsol akun dan menetapkan admin akun pertama Anda, lihat Menetapkan admin akun pertama Anda.

Langkah 1: Mengonfigurasi Azure Databricks

  1. Sebagai admin akun Azure Databricks, masuk ke konsol akun Azure Databricks.
  2. Klik Ikon Pengaturan PenggunaPengaturan.
  3. Klik Provisi Pengguna.
  4. Klik Siapkan provisi pengguna.

Salin token SCIM dan URL SCIM Akun. Anda akan menggunakannya untuk mengonfigurasi aplikasi ID Microsoft Entra Anda.

Catatan

Token SCIM dibatasi untuk API /api/2.0/accounts/{account_id}/scim/v2/ SCIM Akun dan tidak dapat digunakan untuk mengautentikasi ke API REST Databricks lainnya.

Langkah 2: Mengonfigurasi aplikasi perusahaan

Instruksi ini memberi tahu cara membuat aplikasi perusahaan di portal Azure dan menggunakan aplikasi tersebut untuk provisi. Apabila Anda memiliki aplikasi perusahaan yang sudah ada, Anda dapat memodifikasinya untuk mengotomatiskan provisi SCIM menggunakan Microsoft Graph. Ini menghilangkan kebutuhan akan aplikasi provisi terpisah di Portal Microsoft Azure.

Ikuti langkah-langkah ini untuk mengaktifkan ID Microsoft Entra untuk menyinkronkan pengguna dan grup ke akun Azure Databricks Anda. Konfigurasi ini terpisah dari konfigurasi apa pun yang telah Anda buat untuk menyinkronkan pengguna dan grup ke ruang kerja.

  1. Di portal Azure Anda, buka Microsoft Entra ID > Enterprise Applications.
  2. Klik + Aplikasi Baru di atas daftar aplikasi. Di bawah Tambahkan dari galeri, telusuri dan pilih Provisi SCIM Azure Databricks.
  3. Masukkan Nama untuk aplikasi dan klik Tambah.
  4. Di bawah menu Kelola, klik Provisi.
  5. Atur Mode Provisi ke Otomatis.
  6. Atur URL titik akhir SCIM API ke URL SCIM Akun yang Anda salin sebelumnya.
  7. Atur Token Rahasia ke token Azure Databricks SCIM yang Anda buat sebelumnya.
  8. Klik Uji Koneksi dan tunggu pesan yang mengonfirmasi bahwa kredensial diotorisasi untuk mengaktifkan provisi.
  9. Klik Simpan.

Langkah 3: Menetapkan pengguna dan grup ke aplikasi

Pengguna dan grup yang ditetapkan ke aplikasi SCIM akan diprovisikan ke akun Azure Databricks. Jika Anda memiliki ruang kerja Azure Databricks yang sudah ada, Databricks menyarankan agar Anda menambahkan semua pengguna dan grup yang ada di ruang kerja tersebut ke aplikasi SCIM.

Catatan

MICROSOFT Entra ID tidak mendukung provisi otomatis perwakilan layanan ke Azure Databricks. Anda dapat menambahkan perwakilan layanan akun Azure Databricks Anda setelah Mengelola perwakilan layanan di akun Anda.

MICROSOFT Entra ID tidak mendukung provisi otomatis grup berlapis ke Azure Databricks. ID Microsoft Entra hanya dapat membaca dan memprovisikan pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit. Penyelesaiannya, langsung tetapkan (atau cakup dalam) grup yang berisi pengguna yang perlu diprovisikan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

  1. Buka Kelola > Properti.
  2. Atur Penugasan yang diperlukan ke Tidak. Databricks merekomendasikan opsi ini, yang memungkinkan semua pengguna untuk masuk ke akun Azure Databricks.
  3. Buka Kelola > Provisi.
  4. Untuk mulai menyinkronkan pengguna dan grup ID Microsoft Entra ke Azure Databricks, atur tombol Status Provisi ke Aktif.
  5. Klik Simpan.
  6. Buka Mengelola > Pengguna dan grup.
  7. Klik Tambahkan pengguna/grup, pilih pengguna dan grup, dan klik tombol Tetapkan .
  8. Tunggu beberapa menit dan periksa apakah pengguna dan grup ada di akun Azure Databricks Anda.

Pengguna dan grup yang Anda tambahkan dan tetapkan akan secara otomatis disediakan ke akun Azure Databricks saat MICROSOFT Entra ID menjadwalkan sinkronisasi berikutnya.

Catatan

Jika Anda menghapus pengguna dari aplikasi SCIM tingkat akun, pengguna tersebut dinonaktifkan dari akun dan dari ruang kerja mereka, terlepas dari apakah federasi identitas telah diaktifkan atau tidak.

Memprovisikan identitas ke ruang kerja Azure Databricks Anda menggunakan ID Microsoft Entra (warisan)

Penting

Fitur ini ada di Pratinjau Publik.

Jika Anda memiliki ruang kerja yang tidak diaktifkan untuk federasi identitas, Anda harus memprovisikan pengguna, perwakilan layanan, dan grup langsung ke ruang kerja tersebut. Bagian ini menjelaskan cara untuk melakukannya.

Di contoh berikut, ganti <databricks-instance> dengan URL ruang kerja untuk penyebaran Azure Databricks Anda.

Persyaratan

  • Akun Azure Databricks Anda harus memiliki paket Premium.
  • Anda harus memiliki peran Administrator Aplikasi Cloud di ID Microsoft Entra.
  • Akun ID Microsoft Entra Anda harus merupakan akun edisi Premium untuk memprovisikan grup. Provisi pengguna tersedia untuk edisi ID Microsoft Entra apa pun.
  • Anda harus menjadi admin ruang kerja Azure Databricks.

Langkah 1: Membuat aplikasi perusahaan dan menyambungkannya ke SCIM API Azure Databricks

Untuk menyiapkan provisi langsung ke ruang kerja Azure Databricks menggunakan ID Microsoft Entra, Anda membuat aplikasi perusahaan untuk setiap ruang kerja Azure Databricks.

Instruksi ini memberi tahu cara membuat aplikasi perusahaan di portal Azure dan menggunakan aplikasi tersebut untuk provisi. Apabila Anda memiliki aplikasi perusahaan yang sudah ada, Anda dapat memodifikasinya untuk mengotomatiskan provisi SCIM menggunakan Microsoft Graph. Ini menghilangkan kebutuhan akan aplikasi provisi terpisah di Portal Microsoft Azure.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks Anda.

  2. Buat token akses pribadi dan salin token tersebut. Anda memberikan token ini ke ID Microsoft Entra dalam langkah berikutnya.

    Penting

    Hasilkan token ini sebagai admin ruang kerja Azure Databricks yang tidak dikelola oleh aplikasi perusahaan ID Microsoft Entra. Jika pengguna admin Azure Databricks yang memiliki token akses pribadi dideprovisi menggunakan ID Microsoft Entra, aplikasi provisi SCIM akan dinonaktifkan.

  3. Di portal Azure Anda, buka Microsoft Entra ID > Enterprise Applications.

  4. Klik + Aplikasi Baru di atas daftar aplikasi. Di bawah Tambahkan dari galeri, telusuri dan pilih Provisi SCIM Azure Databricks.

  5. Masukkan Nama untuk aplikasi dan klik Tambah. Gunakan nama yang akan membantu administrator menemukannya, seperti <workspace-name>-provisioning.

  6. Di bawah menu Kelola, klik Provisi.

  7. Atur Mode Provisi ke Otomatis.

  8. Masukkan URL titik akhir API SCIM. Tambahkan /api/2.0/preview/scim ke URL ruang kerja Anda:

    https://<databricks-instance>/api/2.0/preview/scim

    Ganti <databricks-instance> dengan URL ruang kerja penyebaran Azure Databricks Anda. Lihat Mendapatkan pengidentifikasi untuk objek ruang kerja.

  9. Atur Token Rahasia ke token akses pribadi Azure Databricks yang Anda buat di langkah 1.

  10. Klik Uji Koneksi dan tunggu pesan yang mengonfirmasi bahwa kredensial diotorisasi untuk mengaktifkan provisi.

  11. Secara opsional, masukkan email pemberitahuan untuk menerima pemberitahuan kesalahan kritis dengan provisi SCIM.

  12. Klik Simpan.

Langkah 2: Menetapkan pengguna dan grup ke aplikasi

Catatan

MICROSOFT Entra ID tidak mendukung provisi otomatis perwakilan layanan ke Azure Databricks. Anda dapat menambahkan perwakilan layanan ruang kerja Azure Databricks Anda setelah Mengelola perwakilan layanan di ruang kerja Anda.

MICROSOFT Entra ID tidak mendukung provisi otomatis grup berlapis ke Azure Databricks. ID Microsoft Entra hanya dapat membaca dan memprovisikan pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit. Penyelesaiannya, langsung tetapkan (atau cakup dalam) grup yang berisi pengguna yang perlu diprovisikan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

  1. Buka Kelola > Properti.
  2. Atur Penugasan yang diperlukan ke Ya. Databricks merekomendasikan opsi ini, yang hanya menyinkronkan pengguna dan grup yang ditetapkan ke aplikasi perusahaan.
  3. Buka Kelola > Provisi.
  4. Untuk mulai menyinkronkan pengguna dan grup ID Microsoft Entra ke Azure Databricks, atur tombol Status Provisi ke Aktif.
  5. Klik Simpan.
  6. Buka Mengelola > Pengguna dan grup.
  7. Klik Tambahkan pengguna/grup, pilih pengguna dan grup, dan klik tombol Tetapkan .
  8. Tunggu beberapa menit dan periksa apakah pengguna dan grup ada di akun Azure Databricks Anda.

Di masa mendatang, pengguna dan grup yang Anda tambahkan dan tetapkan disediakan secara otomatis saat MICROSOFT Entra ID menjadwalkan sinkronisasi berikutnya.

Penting

Jangan tetapkan admin ruang kerja Azure Databricks yang token akses pribadinya digunakan untuk mengonfigurasi aplikasi Konektor Provisi SCIM Azure Databricks.

(Opsional) Mengotomatiskan provisi SCIM menggunakan Microsoft Graph

Microsoft Graph menyertakan pustaka autentikasi dan otorisasi yang dapat Anda integrasikan ke dalam aplikasi Anda untuk mengotomatiskan provisi pengguna dan grup ke akun atau ruang kerja Azure Databricks Anda, alih-alih mengonfigurasi aplikasi konektor provisi SCIM.

  1. Ikuti petunjuk untuk mendaftarkan aplikasi dengan Microsoft Graph. Catat ID Aplikasi dan ID Penyewa untuk aplikasi
  2. Buka halaman Gambaran Umum aplikasi. Pada halaman tersebut:
    1. Konfigurasikan rahasia klien untuk aplikasi, dan catat rahasianya.
    2. Berikan aplikasi izin ini:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Minta administrator ID Microsoft Entra untuk memberikan persetujuan admin.
  4. Perbarui kode aplikasi Anda untuk menambahkan dukungan untuk Microsoft Graph.

Tips provisi

  • Pengguna dan grup yang ada di ruang kerja Azure Databricks sebelum mengaktifkan provisi menunjukkan perilaku berikut saat menyediakan sinkronisasi:
    • Digabungkan jika juga ada di ID Microsoft Entra
    • Diabaikan jika tidak ada di ID Microsoft Entra
  • Izin pengguna yang ditetapkan secara individual dan diduplikasi melalui keanggotaan dalam grup tetap ada setelah keanggotaan grup dihapus untuk pengguna.
  • Pengguna dihapus dari ruang kerja Azure Databricks secara langsung, menggunakan halaman pengaturan admin ruang kerja Azure Databricks:
    • Kehilangan akses ke ruang kerja Azure Databricks itu tetapi mungkin masih memiliki akses ke ruang kerja Azure Databricks lainnya.
    • Tidak akan disinkronkan lagi menggunakan provisi ID Microsoft Entra, meskipun tetap berada di aplikasi perusahaan.
  • Sinkronisasi ID Microsoft Entra awal dipicu segera setelah Anda mengaktifkan provisi. Sinkronisasi berikutnya dipicu setiap 20-40 menit, tergantung pada jumlah pengguna dan grup dalam aplikasi. Lihat Laporan ringkasan provisi dalam dokumentasi ID Microsoft Entra.
  • Anda tidak dapat memperbarui nama pengguna atau alamat email pengguna ruang kerja Azure Databricks.
  • Grup admins ini adalah grup yang dicadangkan di Azure Databricks dan tidak dapat dihapus.
  • Anda dapat menggunakan API Grup Azure Databricks atau Antarmuka Pengguna Grup untuk mendapatkan daftar anggota grup ruang kerja Azure Databricks apa pun.
  • Anda tidak dapat menyinkronkan grup berlapis atau perwakilan layanan ID Microsoft Entra dari aplikasi Koneksi or Provisi SCIM Azure Databricks. Databricks merekomendasikan agar Anda menggunakan aplikasi perusahaan untuk menyinkronkan pengguna dan grup dan mengelola grup berlapis dan perwakilan layanan dalam Azure Databricks. Namun, Anda juga dapat menggunakan penyedia Databricks Terraform atau skrip kustom yang menargetkan API SCIM Azure Databricks untuk menyinkronkan grup berlapis atau perwakilan layanan MICROSOFT Entra ID.

Pemecahan Masalah

Pengguna dan grup tidak disinkronkan

  • Jika Anda menggunakan aplikasi Koneksi or Provisi SCIM Azure Databricks:
    • Untuk provisi tingkat ruang kerja: Di halaman pengaturan admin Azure Databricks, verifikasi bahwa pengguna Azure Databricks yang token akses pribadinya digunakan oleh aplikasi Koneksi or Provisi SCIM Azure Databricks masih merupakan pengguna admin ruang kerja di Azure Databricks dan bahwa token masih valid.
    • Untuk provisi tingkat akun: Di konsol akun, verifikasi bahwa token SCIM Azure Databricks yang digunakan untuk menyiapkan provisi masih berlaku.
  • Jangan mencoba menyinkronkan grup berlapis, yang tidak didukung oleh provisi otomatis ID Microsoft Entra. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

Perwakilan layanan ID Microsoft Entra tidak disinkronkan

  • Aplikasi Koneksi or Provisi SCIM Azure Databricks tidak mendukung perwakilan layanan sinkronisasi.

Setelah sinkronisasi awal, pengguna dan grup berhenti menyinkronkan

Jika Anda menggunakan aplikasi Koneksi or Provisi SCIM Azure Databricks: Setelah sinkronisasi awal, ID Microsoft Entra tidak segera disinkronkan setelah Anda mengubah penetapan pengguna atau grup. Ini menjadwalkan sinkronisasi dengan aplikasi setelah penundaan, berdasarkan jumlah pengguna dan grup. Untuk meminta sinkronisasi segera, buka Kelola > Provisi untuk aplikasi perusahaan dan pilih Hapus status saat ini dan mulai ulang sinkronisasi.

Rentang IP layanan provisi ID Microsoft Entra tidak dapat diakses

Layanan provisi ID Microsoft Entra beroperasi di bawah rentang IP tertentu. Jika Anda perlu membatasi akses jaringan, Anda harus mengizinkan lalu lintas dari alamat IP untuk AzureActiveDirectory dalam file rentang IP ini. Untuk informasi lebih lengkap, lihat Rentang IP.