Configurare il provisioning SCIM usando Microsoft Entra ID (Azure Active Directory)
Questo articolo descrive come configurare il provisioning nell'account Azure Databricks usando Microsoft Entra ID.
Databricks consiglia di effettuare il provisioning di utenti, entità servizio e gruppi a livello di account e gestire l'assegnazione di utenti e gruppi alle aree di lavoro all'interno di Azure Databricks. Le aree di lavoro devono essere abilitate per la federazione delle identità per gestire l'assegnazione degli utenti alle aree di lavoro.
Nota
Il modo in cui viene configurato il provisioning è completamente separato dalla configurazione dell'autenticazione e dell'accesso condizionale per le aree di lavoro o gli account di Azure Databricks. L'autenticazione per Azure Databricks viene gestita automaticamente da Microsoft Entra ID, usando il flusso del protocollo OpenID Connect. È possibile configurare l'accesso condizionale, che consente di creare regole per richiedere l'autenticazione a più fattori o limitare gli accessi alle reti locali, a livello di servizio.
Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID
È possibile sincronizzare utenti e gruppi a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.
Importante
Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Vedere Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account.
Fabbisogno
- L'account Azure Databricks deve avere il piano Premium.
- È necessario avere il ruolo Amministratore applicazione cloud in Microsoft Entra ID.
- L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
- È necessario essere un amministratore dell'account Azure Databricks.
Nota
Per abilitare la console dell'account e stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account.
Passaggio 1: Configurare Azure Databricks
- Come amministratore dell'account Azure Databricks, accedere alla console dell'account Azure Databricks.
- Fare clic su Impostazioni.
- Fare clic su Provisioning utenti.
- Fare clic su Configura provisioning utenti.
Copiare il token SCIM e l'URL SCIM dell'account. Questi verranno usati per configurare l'applicazione Microsoft Entra ID.
Nota
Il token SCIM è limitato all'API /api/2.1/accounts/{account_id}/scim/v2/
SCIM dell'account e non può essere usato per eseguire l'autenticazione ad altre API REST di Databricks.
Passaggio 2: Configurare l'applicazione aziendale
Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning. Se si dispone di un'applicazione aziendale esistente, è possibile modificarla per automatizzare il provisioning SCIM usando Microsoft Graph. In questo modo viene rimossa la necessità di un'applicazione di provisioning separata nel portale di Azure.
Seguire questa procedura per abilitare Microsoft Entra ID per sincronizzare utenti e gruppi con l'account Azure Databricks. Questa configurazione è separata da tutte le configurazioni create per sincronizzare utenti e gruppi con le aree di lavoro.
- Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.
- Fare clic su + Nuova applicazione sopra l'elenco di applicazioni. In Aggiungi dalla raccolta cercare e selezionare Azure Databricks SCIM Provisioning Connector.
- Immettere un nome per l'applicazione e fare clic su Aggiungi.
- Scegliere Provisioning dal menu Gestisci.
- Impostare Modalità di provisioning su Automatico.
- Impostare l'URL dell'endpoint dell'API SCIM sull'URL SCIM dell'account copiato in precedenza.
- Impostare Token segreto sul token SCIM di Azure Databricks generato in precedenza.
- Fare clic su Test connessione e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.
- Fare clic su Salva.
Passaggio 3: Assegnare utenti e gruppi all'applicazione
Verrà eseguito il provisioning di utenti e gruppi assegnati all'applicazione SCIM nell'account Azure Databricks. Se sono presenti aree di lavoro di Azure Databricks, Databricks consiglia di aggiungere tutti gli utenti e i gruppi esistenti in tali aree di lavoro all'applicazione SCIM.
Nota
Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'account Azure Databricks seguendo le istruzioni per gestire le entità servizio nell'account.
Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.
- Passare a Gestisci > proprietà.
- Impostare Assegnazione obbligatoria? su No. Databricks consiglia questa opzione, che consente a tutti gli utenti di accedere all'account Azure Databricks.
- Passare a Gestisci > provisioning.
- Per avviare la sincronizzazione di utenti e gruppi di Microsoft Entra ID in Azure Databricks, impostare l'interruttore Stato provisioning su Sì.
- Fare clic su Salva.
- Passare a Gestisci > utenti e gruppi.
- Fare clic su Aggiungi utente/gruppo, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna .
- Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.
Verrà eseguito automaticamente il provisioning di utenti e gruppi aggiunti e assegnati all'account Azure Databricks quando Microsoft Entra ID pianifica la sincronizzazione successiva.
Nota
Se si rimuove un utente dall'applicazione SCIM a livello di account, tale utente viene disattivato dall'account e dalle rispettive aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità.
Suggerimenti per il provisioning
- Gli utenti e i gruppi esistenti nell'area di lavoro di Azure Databricks prima di abilitare il provisioning presentano il comportamento seguente al momento della sincronizzazione del provisioning:
- Vengono uniti se esistono anche in Microsoft Entra ID
- Vengono ignorati se non esistono in Microsoft Entra ID
- Le autorizzazioni utente assegnate singolarmente duplicate dall'appartenenza a un gruppo rimangono anche dopo la rimozione dell'appartenenza al gruppo per l'utente.
- Gli utenti rimossi direttamente da un'area di lavoro di Azure Databricks usando la pagina delle impostazioni di amministrazione dell'area di lavoro di Azure Databricks:
- Perdere l'accesso all'area di lavoro di Azure Databricks, ma può comunque avere accesso ad altre aree di lavoro di Azure Databricks.
- Non verrà sincronizzata di nuovo usando il provisioning di Microsoft Entra ID, anche se rimangono nell'applicazione aziendale.
- La sincronizzazione iniziale di Microsoft Entra ID viene attivata immediatamente dopo l'abilitazione del provisioning. Le sincronizzazioni successive vengono attivate ogni 20-40 minuti, a seconda del numero di utenti e gruppi nell'applicazione. Vedere Report di riepilogo del provisioning nella documentazione di Microsoft Entra ID.
- Non è possibile aggiornare il nome utente o l'indirizzo di posta elettronica di un utente dell'area di lavoro di Azure Databricks.
- Il
admins
gruppo è un gruppo riservato in Azure Databricks e non può essere rimosso. - È possibile usare l'API Gruppi di Azure Databricks o l'interfaccia utente dei gruppi per ottenere un elenco di membri di qualsiasi gruppo di aree di lavoro di Azure Databricks.
- Non è possibile sincronizzare gruppi annidati o entità servizio Microsoft Entra ID dall'applicazione Azure Databricks SCIM Provisioning Connector . Databricks consiglia di usare l'applicazione aziendale per sincronizzare utenti e gruppi e gestire gruppi annidati e entità servizio in Azure Databricks. Tuttavia, è anche possibile usare il provider Databricks Terraform o script personalizzati destinati all'API SCIM di Azure Databricks per sincronizzare i gruppi annidati o le entità servizio Microsoft Entra ID.
- Gli aggiornamenti ai nomi dei gruppi in Microsoft Entra ID non vengono sincronizzati in Azure Databricks.
(Facoltativo) Automatizzare il provisioning SCIM con Microsoft Graph
Microsoft Graph include librerie di autenticazione e autorizzazione che è possibile integrare nell'applicazione per automatizzare il provisioning di utenti e gruppi nell'account o nelle aree di lavoro di Azure Databricks, anziché configurare un'applicazione connettore di provisioning SCIM.
- Seguire le istruzioni per registrare un'applicazione con Microsoft Graph. Prendere nota dell'ID applicazione e dell'ID tenant per l'applicazione
- Passare alla pagina Panoramica delle applicazioni. In tale pagina:
- Configurare un segreto client per l'applicazione e prendere nota del segreto.
- Concedere all'applicazione queste autorizzazioni:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
- Chiedere a un amministratore di Microsoft Entra ID di concedere il consenso amministratore.
- Aggiornare il codice dell'applicazione per aggiungere il supporto per Microsoft Graph.
Risoluzione dei problemi
Gli utenti e i gruppi non vengono sincronizzati
- Se si usa l'applicazione SCIM Provisioning Connector di Azure Databricks:
- Nella console dell'account verificare che il token SCIM di Azure Databricks usato per configurare il provisioning sia ancora valido.
- Non tentare di sincronizzare i gruppi annidati, che non sono supportati dal provisioning automatico di Microsoft Entra ID. Per altre informazioni, vedere le domande frequenti.
Le entità servizio Microsoft Entra ID non vengono sincronizzate
- L'applicazione SCIM Provisioning Connector di Azure Databricks non supporta la sincronizzazione delle entità servizio.
Dopo la sincronizzazione iniziale, viene interrotta la sincronizzazione di utenti e gruppi
Se si usa l'applicazione Azure Databricks SCIM Provisioning Connector : dopo la sincronizzazione iniziale, Microsoft Entra ID non viene sincronizzato immediatamente dopo la modifica delle assegnazioni di utenti o gruppi. Consente di pianificare una sincronizzazione con l'applicazione dopo un ritardo, in base al numero di utenti e gruppi. Per richiedere una sincronizzazione immediata, passare a Gestisci provisioning per l'applicazione aziendale e selezionare Cancella stato corrente e riavvia la sincronizzazione>.
Intervallo IP del servizio di provisioning di Microsoft Entra ID non accessibile
Il servizio di provisioning microsoft Entra ID opera in intervalli IP specifici. Se è necessario limitare l'accesso alla rete, è necessario consentire il traffico dagli indirizzi IP per AzureActiveDirectory
in questo file di intervallo IP. Per altre informazioni, vedere Intervalli IP.