Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina descrive come configurare il provider di identità (IdP) e Azure Databricks per effettuare il provisioning di utenti e gruppi in Azure Databricks usando SCIM o System for Cross-domain Identity Management, uno standard aperto che consente di automatizzare il provisioning utenti.
È anche possibile sincronizzare utenti e gruppi da Microsoft Entra ID usando la gestione automatica delle identità. La gestione automatica delle identità non richiede la configurazione di un'applicazione in Microsoft Entra ID. Supporta anche la sincronizzazione dei principal di servizio e dei gruppi annidati di Microsoft Entra ID su Azure Databricks, che non è supportato tramite il provisioning SCIM. La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025. Per altre informazioni, vedere Gestione automatica delle identità. Per eseguire la migrazione da SCIM a gestione automatica delle identità, vedere Eseguire la migrazione alla gestione automatica delle identità.
Nota
Il connettore di provisioning SCIM di Microsoft Entra ID non è disponibile nelle regioni di Azure China.
Informazioni sul provisioning SCIM in Azure Databricks
SCIM consente di usare un IdP per creare utenti in Azure Databricks, concedere loro il livello di accesso appropriato e rimuovere l'accesso (effettuarne il deprovisioning) quando lasciano l'organizzazione o non hanno più bisogno dell'accesso ad Azure Databricks.
È possibile usare un connettore di provisioning SCIM nel proprio IdP o richiamare l'API SCIM Groups per gestire il provisioning. È anche possibile usare queste API per gestire direttamente le identità in Azure Databricks, senza un IdP.
Provisioning SCIM a livello di account e a livello di spazio di lavoro
Databricks consiglia di usare provisioning SCIM a livello di account per creare, aggiornare ed eliminare tutti gli utenti dall'account. È possibile gestire l'assegnazione di utenti e gruppi alle aree di lavoro all'interno di Azure Databricks. Le aree di lavoro devono essere abilitate per la federazione delle identità per gestire le assegnazioni degli spazi di lavoro degli utenti.
Il provisioning SCIM a livello di area di lavoro è una configurazione legacy disponibile in anteprima pubblica. Se è già stato configurato il provisioning SCIM a livello di area di lavoro per un'area di lavoro, Databricks consiglia di abilitare l'area di lavoro per la federazione delle identità, configurare il provisioning SCIM a livello di account e disattivare il provisioner SCIM a livello di area di lavoro. Si veda Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro al livello di account. Per altre informazioni sul provisioning SCIM a livello di area di lavoro, vedere Effettuare il provisioning delle identità in un'area di lavoro di Azure Databricks (legacy).
Requisiti
Per effettuare il provisioning di utenti e gruppi in Azure Databricks usando SCIM:
- L'account Azure Databricks deve avere il piano Premium.
- È necessario essere un amministratore dell'account in Azure Databricks.
È possibile avere un massimo di 10.000 utenti combinati e entità servizio e 5000 gruppi in un account. Ogni area di lavoro può avere un massimo di 10.000 utenti e identità di servizio complessivamente e 5.000 gruppi.
Sincronizzare utenti e gruppi con l'account Azure Databricks
È possibile sincronizzare le identità a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.
Importante
Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Si veda Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro al livello di account.
Per istruzioni complete, vedere Configurare il provisioning SCIM usando Microsoft Entra ID (Azure Active Directory). Dopo aver configurato il provisioning SCIM a livello di account, Databricks consiglia di consentire a tutti gli utenti di Microsoft Entra ID di accedere all'account Azure Databricks.
Nota
Quando si rimuove un utente dal connettore SCIM a livello di account, tale utente viene disattivato dall'account e da tutte le aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. Quando si rimuove un gruppo dal connettore SCIM a livello di account, tutti gli utenti di tale gruppo vengono disattivati dall'account e da qualsiasi area di lavoro a cui hanno avuto accesso( a meno che non siano membri di un altro gruppo o siano stati concessi direttamente l'accesso al connettore SCIM a livello di account).
Ruotare il token SCIM a livello di account
Se il token SCIM a livello di account viene compromesso o se si hanno requisiti aziendali per ruotare periodicamente i token di autenticazione, è possibile ruotare il token SCIM.
- Come amministratore dell'account Azure Databricks, accedere alla console dell'account.
- Nella barra laterale fare clic su Sicurezza.
- Fare clic su Provisioning degli utenti.
- Fare clic su Rigenera token. Prendere nota del nuovo token. Il token precedente continuerà a funzionare per 24 ore.
- Entro 24 ore aggiornare l'applicazione SCIM per usare il nuovo token SCIM.
Eseguire la migrazione del provisioning SCIM dal livello workspace al livello account
Se si abilita il provisioning SCIM a livello di account ed è già stato configurato il provisioning SCIM a livello di area di lavoro per alcune aree di lavoro, Databricks consiglia di disattivare il provisioner SCIM a livello di area di lavoro e di sincronizzare utenti e gruppi a livello di account.
Creare un gruppo in Microsoft Entra ID che includa tutti gli utenti e i gruppi di cui si sta eseguendo il provisioning in Azure Databricks usando i connettori SCIM a livello di area di lavoro.
Databricks consiglia che questo gruppo includa tutti gli utenti in tutti gli spazi di lavoro del tuo account.
Configurare un nuovo connettore di provisioning SCIM per provisionare utenti e gruppi nella tua account, seguendo le istruzioni in Sincronizzare utenti e gruppi con l'account Azure Databricks.
Usare il gruppo o i gruppi creati nel passaggio 1. Se si aggiunge un utente che condivide un nome utente (indirizzo di posta elettronica) con un utente di account esistente, tali utenti vengono uniti. I gruppi esistenti nell'account non sono interessati.
Verifica che il nuovo connettore di provisioning SCIM esegua correttamente il provisioning di utenti e gruppi nel tuo account.
Disattiva i vecchi connettori SCIM a livello di workspace che eseguivano il provisioning di utenti e gruppi nei tuoi workspace.
Non rimuovere utenti e gruppi dai connettori SCIM a livello di area di lavoro prima di arrestarli. La revoca dell'accesso da un connettore SCIM disattiva l'utente nell'area di lavoro di Azure Databricks. Per altre informazioni, vedere Disattivare un utente.
Migrare i gruppi locali del workspace nei gruppi dell'account.
Se sono presenti gruppi legacy nelle aree di lavoro, sono noti come gruppi locali dell'area di lavoro. Non è possibile gestire gruppi locali dell'area di lavoro usando interfacce a livello di account. Databricks consiglia di convertirli in gruppi di account. Vedi Eseguire la migrazione dei gruppi locali dello spazio di lavoro ai gruppi dell'account