Bagikan melalui

Mengonfigurasi provisi SCIM menggunakan MICROSOFT Entra ID (Azure Active Directory)

  • Artikel

Artikel ini menjelaskan cara menyiapkan provisi ke akun Azure Databricks menggunakan ID Microsoft Entra.

Databricks merekomendasikan agar Anda memprovisikan pengguna, perwakilan layanan, dan grup ke tingkat akun dan mengelola penugasan pengguna dan grup ke ruang kerja dalam Azure Databricks. Ruang kerja Anda harus diaktifkan untuk federasi identitas agar dapat mengelola penugasan pengguna ke ruang kerja.

Catatan

Cara provisi dikonfigurasi terpisah sepenuhnya dari mengonfigurasi autentikasi dan akses bersyarat untuk ruang kerja atau akun Azure Databricks. Autentikasi untuk Azure Databricks ditangani secara otomatis oleh MICROSOFT Entra ID, menggunakan alur protokol OpenID Connect. Anda dapat mengonfigurasi akses bersyarat, yang memungkinkan Anda membuat aturan untuk memerlukan autentikasi multifaktor atau membatasi login ke jaringan lokal, di tingkat layanan.

Memprovisikan identitas ke akun Azure Databricks Anda menggunakan ID Microsoft Entra

Anda dapat menyinkronkan pengguna dan grup tingkat akun dari penyewa MICROSOFT Entra ID Anda ke Azure Databricks menggunakan konektor provisi SCIM.

Penting

Jika Anda sudah memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja, Anda harus menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.

Persyaratan

  • Akun Azure Databricks Anda harus memiliki paket Premium.
  • Anda harus memiliki peran Administrator Aplikasi Cloud di ID Microsoft Entra.
  • Akun ID Microsoft Entra Anda harus merupakan akun edisi Premium untuk memprovisikan grup. Provisi pengguna tersedia untuk edisi ID Microsoft Entra apa pun.
  • Anda harus menjadi admin akun Azure Databricks.

Catatan

Untuk mengaktifkan konsol akun dan menetapkan admin akun pertama Anda, lihat Menetapkan admin akun pertama Anda.

Langkah 1: Mengonfigurasi Azure Databricks

  1. Sebagai admin akun Azure Databricks, masuk ke konsol akun Azure Databricks.
  2. Klik Ikon Pengaturan Pengguna Pengaturan.
  3. Klik Provisi Pengguna.
  4. Klik Siapkan provisi pengguna.

Salin token SCIM dan URL SCIM Akun. Anda akan menggunakannya untuk mengonfigurasi aplikasi ID Microsoft Entra Anda.

Catatan

Token SCIM dibatasi untuk API /api/2.1/accounts/{account_id}/scim/v2/ SCIM Akun dan tidak dapat digunakan untuk mengautentikasi ke API REST Databricks lainnya.

Langkah 2: Mengonfigurasi aplikasi perusahaan

Instruksi ini memberi tahu cara membuat aplikasi perusahaan di portal Azure dan menggunakan aplikasi tersebut untuk provisi. Apabila Anda memiliki aplikasi perusahaan yang sudah ada, Anda dapat memodifikasinya untuk mengotomatiskan provisi SCIM menggunakan Microsoft Graph. Ini menghilangkan kebutuhan akan aplikasi provisi terpisah di Portal Microsoft Azure.

Ikuti langkah-langkah ini untuk mengaktifkan ID Microsoft Entra untuk menyinkronkan pengguna dan grup ke akun Azure Databricks Anda. Konfigurasi ini terpisah dari konfigurasi apa pun yang telah Anda buat untuk menyinkronkan pengguna dan grup ke ruang kerja.

  1. Di portal Azure Anda, buka Microsoft Entra ID > Enterprise Applications.
  2. Klik + Aplikasi Baru di atas daftar aplikasi. Di bawah Tambahkan dari galeri, telusuri dan pilih Provisi SCIM Azure Databricks.
  3. Masukkan Nama untuk aplikasi dan klik Tambah.
  4. Di bawah menu Kelola, klik Provisi.
  5. Atur Mode Provisi ke Otomatis.
  6. Atur URL titik akhir SCIM API ke URL SCIM Akun yang Anda salin sebelumnya.
  7. Atur Token Rahasia ke token Azure Databricks SCIM yang Anda buat sebelumnya.
  8. Klik Uji Koneksi dan tunggu pesan yang mengonfirmasi bahwa kredensial diotorisasi untuk mengaktifkan provisi.
  9. Klik Simpan.

Langkah 3: Menetapkan pengguna dan grup ke aplikasi

Pengguna dan grup yang ditetapkan ke aplikasi SCIM akan diprovisikan ke akun Azure Databricks. Jika Anda memiliki ruang kerja Azure Databricks yang sudah ada, Databricks menyarankan agar Anda menambahkan semua pengguna dan grup yang ada di ruang kerja tersebut ke aplikasi SCIM.

Catatan

MICROSOFT Entra ID tidak mendukung provisi otomatis perwakilan layanan ke Azure Databricks. Anda dapat menambahkan perwakilan layanan akun Azure Databricks Anda setelah Mengelola perwakilan layanan di akun Anda.

MICROSOFT Entra ID tidak mendukung provisi otomatis grup berlapis ke Azure Databricks. ID Microsoft Entra hanya dapat membaca dan memprovisikan pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit. Penyelesaiannya, langsung tetapkan (atau cakup dalam) grup yang berisi pengguna yang perlu diprovisikan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

  1. Buka Kelola > Properti.
  2. Atur Penugasan yang diperlukan ke Tidak. Databricks merekomendasikan opsi ini, yang memungkinkan semua pengguna untuk masuk ke akun Azure Databricks.
  3. Buka Kelola > Provisi.
  4. Untuk mulai menyinkronkan pengguna dan grup ID Microsoft Entra ke Azure Databricks, atur tombol Status Provisi ke Aktif.
  5. Klik Simpan.
  6. Buka Mengelola > Pengguna dan grup.
  7. Klik Tambahkan pengguna/grup, pilih pengguna dan grup, dan klik tombol Tetapkan .
  8. Tunggu beberapa menit dan periksa apakah pengguna dan grup ada di akun Azure Databricks Anda.

Pengguna dan grup yang Anda tambahkan dan tetapkan akan secara otomatis disediakan ke akun Azure Databricks saat MICROSOFT Entra ID menjadwalkan sinkronisasi berikutnya.

Catatan

Jika Anda menghapus pengguna dari aplikasi SCIM tingkat akun, pengguna tersebut dinonaktifkan dari akun dan dari ruang kerja mereka, terlepas dari apakah federasi identitas telah diaktifkan atau tidak.

Tips provisi

  • Pengguna dan grup yang ada di ruang kerja Azure Databricks sebelum mengaktifkan provisi menunjukkan perilaku berikut saat menyediakan sinkronisasi:
    • Digabungkan jika juga ada di ID Microsoft Entra
    • Diabaikan jika tidak ada di ID Microsoft Entra
  • Izin pengguna yang ditetapkan secara individual yang diduplikasi oleh keanggotaan dalam grup tetap ada bahkan setelah keanggotaan grup dihapus untuk pengguna.
  • Pengguna dihapus dari ruang kerja Azure Databricks secara langsung, menggunakan halaman pengaturan admin ruang kerja Azure Databricks:
    • Kehilangan akses ke ruang kerja Azure Databricks itu tetapi mungkin masih memiliki akses ke ruang kerja Azure Databricks lainnya.
    • Tidak akan disinkronkan lagi menggunakan provisi ID Microsoft Entra, meskipun tetap berada di aplikasi perusahaan.
  • Sinkronisasi ID Microsoft Entra awal dipicu segera setelah Anda mengaktifkan provisi. Sinkronisasi berikutnya dipicu setiap 20-40 menit, tergantung pada jumlah pengguna dan grup dalam aplikasi. Lihat Laporan ringkasan provisi dalam dokumentasi ID Microsoft Entra.
  • Anda tidak dapat memperbarui nama pengguna atau alamat email pengguna ruang kerja Azure Databricks.
  • Grup admins ini adalah grup yang dicadangkan di Azure Databricks dan tidak dapat dihapus.
  • Anda dapat menggunakan API Grup Azure Databricks atau Antarmuka Pengguna Grup untuk mendapatkan daftar anggota grup ruang kerja Azure Databricks apa pun.
  • Anda tidak dapat menyinkronkan grup berlapis atau perwakilan layanan ID Microsoft Entra dari aplikasi Konektor Provisi SCIM Azure Databricks. Databricks merekomendasikan penggunaan aplikasi perusahaan untuk menyinkronkan pengguna dan grup dan mengelola grup berlapis dan perwakilan layanan dalam Azure Databricks. Namun, Anda juga dapat menggunakan penyedia Databricks Terraform atau skrip kustom yang menargetkan API SCIM Azure Databricks untuk menyinkronkan grup berlapis atau perwakilan layanan ID Microsoft Entra.
  • Pembaruan untuk nama grup di ID Microsoft Entra tidak disinkronkan ke Azure Databricks.

(Opsional) Mengotomatiskan provisi SCIM menggunakan Microsoft Graph

Microsoft Graph menyertakan pustaka autentikasi dan otorisasi yang dapat Anda integrasikan ke dalam aplikasi Anda untuk mengotomatiskan provisi pengguna dan grup ke akun atau ruang kerja Azure Databricks Anda, alih-alih mengonfigurasi aplikasi konektor provisi SCIM.

  1. Ikuti petunjuk untuk mendaftarkan aplikasi dengan Microsoft Graph. Catat ID Aplikasi dan ID Penyewa untuk aplikasi
  2. Buka halaman Gambaran Umum aplikasi. Pada halaman tersebut:
    1. Konfigurasikan rahasia klien untuk aplikasi, dan catat rahasianya.
    2. Berikan aplikasi izin ini:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Minta administrator ID Microsoft Entra untuk memberikan persetujuan admin.
  4. Perbarui kode aplikasi Anda untuk menambahkan dukungan untuk Microsoft Graph.

Pemecahan Masalah

Pengguna dan grup tidak disinkronkan

  • Jika Anda menggunakan aplikasi Konektor Provisi SCIM Azure Databricks:
    • Di konsol akun, verifikasi bahwa token SCIM Azure Databricks yang digunakan untuk menyiapkan provisi masih valid.
  • Jangan mencoba menyinkronkan grup berlapis, yang tidak didukung oleh provisi otomatis ID Microsoft Entra. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

Perwakilan layanan ID Microsoft Entra tidak disinkronkan

  • Aplikasi Konektor Provisi SCIM Azure Databricks tidak mendukung sinkronisasi perwakilan layanan.

Setelah sinkronisasi awal, pengguna dan grup berhenti menyinkronkan

Jika Anda menggunakan aplikasi Konektor Provisi SCIM Azure Databricks: Setelah sinkronisasi awal, ID Microsoft Entra tidak segera disinkronkan setelah Anda mengubah penetapan pengguna atau grup. Ini menjadwalkan sinkronisasi dengan aplikasi setelah penundaan, berdasarkan jumlah pengguna dan grup. Untuk meminta sinkronisasi segera, buka Kelola > Provisi untuk aplikasi perusahaan dan pilih Hapus status saat ini dan mulai ulang sinkronisasi.

Rentang IP layanan provisi ID Microsoft Entra tidak dapat diakses

Layanan provisi ID Microsoft Entra beroperasi di bawah rentang IP tertentu. Jika Anda perlu membatasi akses jaringan, Anda harus mengizinkan lalu lintas dari alamat IP untuk AzureActiveDirectory dalam file rentang IP ini. Untuk informasi lebih lengkap, lihat Rentang IP.