Configurare il provisioning SCIM utilizzando Microsoft Entra ID (in precedenza Azure Active Directory)

  • Articolo

Questo articolo descrive come configurare il provisioning in Azure Databricks usando Microsoft Entra ID (in precedenza Azure Active Directory).

È possibile configurare il provisioning in Azure Databricks usando Microsoft Entra ID a livello di account Azure Databricks o a livello di area di lavoro di Azure Databricks.

Databricks consiglia di effettuare il provisioning di utenti, entità servizio e gruppi a livello di account e gestire l'assegnazione di utenti e gruppi alle aree di lavoro all'interno di Azure Databricks. Le aree di lavoro devono essere abilitate per la federazione delle identità per gestire l'assegnazione degli utenti alle aree di lavoro. Se sono presenti aree di lavoro non abilitate per la federazione delle identità, è necessario continuare a effettuare il provisioning di utenti, entità servizio e gruppi direttamente in tali aree di lavoro.

Nota

Il modo in cui viene configurato il provisioning è completamente separato dalla configurazione dell'autenticazione e dell'accesso condizionale per le aree di lavoro o gli account di Azure Databricks. L'autenticazione per Azure Databricks viene gestita automaticamente da Microsoft Entra ID, usando il flusso del protocollo OpenID Connessione. È possibile configurare l'accesso condizionale, che consente di creare regole per richiedere l'autenticazione a più fattori o limitare gli accessi alle reti locali, a livello di servizio.

Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID

È possibile sincronizzare utenti e gruppi a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Vedere Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account.

Requisiti

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario avere il ruolo Applicazione cloud Amministrazione istrator in Microsoft Entra ID.
  • L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
  • È necessario essere un amministratore dell'account Azure Databricks.

Nota

Per abilitare la console dell'account e stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account.

Passaggio 1: Configurare Azure Databricks

  1. Come amministratore dell'account Azure Databricks, accedere alla console dell'account Azure Databricks.
  2. Fare clic su Icona di Impostazioni utenteImpostazioni.
  3. Fare clic su Provisioning utenti.
  4. Fare clic su Abilita provisioning utenti.

Copiare il token SCIM e l'URL SCIM dell'account. Questi verranno usati per configurare l'applicazione Microsoft Entra ID.

Nota

Il token SCIM è limitato all'API /api/2.0/accounts/{account_id}/scim/v2/ SCIM dell'account e non può essere usato per eseguire l'autenticazione ad altre API REST di Databricks.

Passaggio 2: Configurare l'applicazione aziendale

Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning. Se si dispone di un'applicazione aziendale esistente, è possibile modificarla per automatizzare il provisioning SCIM usando Microsoft Graph. In questo modo viene rimossa la necessità di un'applicazione di provisioning separata nel portale di Azure.

Seguire questa procedura per abilitare Microsoft Entra ID per sincronizzare utenti e gruppi con l'account Azure Databricks. Questa configurazione è separata da tutte le configurazioni create per sincronizzare utenti e gruppi con le aree di lavoro.

  1. Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.
  2. Fare clic su + Nuova applicazione sopra l'elenco di applicazioni. In Aggiungi dalla raccolta cercare e selezionare Azure Databricks SCIM Provisioning Connessione or.
  3. Immettere un nome per l'applicazione e fare clic su Aggiungi.
  4. Scegliere Provisioning dal menu Gestisci.
  5. Impostare Modalità di provisioning su Automatico.
  6. Impostare l'URL dell'endpoint dell'API SCIM sull'URL SCIM dell'account copiato in precedenza.
  7. Impostare Token segreto sul token SCIM di Azure Databricks generato in precedenza.
  8. Fare clic su Test Connessione ion e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.
  9. Fare clic su Salva.

Passaggio 3: Assegnare utenti e gruppi all'applicazione

Verrà eseguito il provisioning di utenti e gruppi assegnati all'applicazione SCIM nell'account Azure Databricks. Se sono presenti aree di lavoro di Azure Databricks, Databricks consiglia di aggiungere tutti gli utenti e i gruppi esistenti in tali aree di lavoro all'applicazione SCIM.

Nota

Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'account Azure Databricks seguendo le istruzioni per gestire le entità servizio nell'account.

Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.

  1. Passare a Gestisci > proprietà.
  2. Impostare Assegnazione obbligatoria su No. Databricks consiglia questa opzione, che consente a tutti gli utenti di accedere all'account Azure Databricks.
  3. Passare a Gestisci > provisioning.
  4. Per avviare la sincronizzazione di utenti e gruppi di Microsoft Entra ID in Azure Databricks, impostare l'interruttore Statoprovisioning su Sì.
  5. Fare clic su Salva.
  6. Passare a Gestisci > utenti e gruppi.
  7. Fare clic su Aggiungi utente/gruppo, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna .
  8. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.

Verrà eseguito automaticamente il provisioning di utenti e gruppi aggiunti e assegnati all'account Azure Databricks quando Microsoft Entra ID pianifica la sincronizzazione successiva.

Nota

Se si rimuove un utente dall'applicazione SCIM a livello di account, tale utente viene disattivato dall'account e dalle rispettive aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità.

Effettuare il provisioning delle identità nell'area di lavoro di Azure Databricks usando Microsoft Entra ID (legacy)

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Se sono presenti aree di lavoro non abilitate per la federazione delle identità, è consigliabile effettuare il provisioning di utenti, entità servizio e gruppi direttamente in tali aree di lavoro. Questa sezione descrive come eseguire questa operazione.

Negli esempi seguenti sostituire <databricks-instance> con l'URL dell'area di lavoro della distribuzione di Azure Databricks.

Requisiti

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario avere il ruolo Applicazione cloud Amministrazione istrator in Microsoft Entra ID.
  • L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
  • È necessario essere un amministratore dell'area di lavoro di Azure Databricks.

Passaggio 1: Creare l'applicazione aziendale e connetterla all'API SCIM di Azure Databricks

Per configurare il provisioning direttamente nelle aree di lavoro di Azure Databricks usando l'ID Microsoft Entra, creare un'applicazione aziendale per ogni area di lavoro di Azure Databricks.

Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning. Se si dispone di un'applicazione aziendale esistente, è possibile modificarla per automatizzare il provisioning SCIM usando Microsoft Graph. In questo modo viene rimossa la necessità di un'applicazione di provisioning separata nel portale di Azure.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Generare un token di accesso personale e copiarlo. Questo token viene fornito a Microsoft Entra ID in un passaggio successivo.

    Importante

    Generare questo token come amministratore dell'area di lavoro di Azure Databricks che non è gestito dall'applicazione aziendale Microsoft Entra ID. Se l'utente amministratore di Azure Databricks proprietario del token di accesso personale viene deprovisionato tramite Microsoft Entra ID, l'applicazione di provisioning SCIM verrà disabilitata.

  3. Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.

  4. Fare clic su + Nuova applicazione sopra l'elenco di applicazioni. In Aggiungi dalla raccolta cercare e selezionare Azure Databricks SCIM Provisioning Connessione or.

  5. Immettere un nome per l'applicazione e fare clic su Aggiungi. Usare un nome che consentirà agli amministratori di trovarlo, ad esempio <workspace-name>-provisioning.

  6. Scegliere Provisioning dal menu Gestisci.

  7. Impostare Modalità di provisioning su Automatico.

  8. Immettere l'URL dell'endpoint dell'API SCIM. Aggiungere /api/2.0/preview/scim all'URL dell'area di lavoro:

    https://<databricks-instance>/api/2.0/preview/scim

    Sostituire <databricks-instance> con l'URL dell'area di lavoro della distribuzione di Azure Databricks. Vedere Ottenere gli identificatori per gli oggetti dell'area di lavoro.

  9. Impostare Token segreto sul token di accesso personale di Azure Databricks generato nel passaggio 1.

  10. Fare clic su Test Connessione ion e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.

  11. Facoltativamente, immettere un messaggio di posta elettronica di notifica per ricevere notifiche di errori critici con il provisioning SCIM.

  12. Fare clic su Salva.

Passaggio 2: Assegnare utenti e gruppi all'applicazione

Nota

Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'area di lavoro di Azure Databricks seguendo Le entità servizio nell'area di lavoro.

Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.

  1. Passare a Gestisci > proprietà.
  2. Impostare Assegnazione obbligatoria su . Databricks consiglia questa opzione, che sincronizza solo utenti e gruppi assegnati all'applicazione aziendale.
  3. Passare a Gestisci > provisioning.
  4. Per avviare la sincronizzazione di utenti e gruppi di Microsoft Entra ID in Azure Databricks, impostare l'interruttore Statoprovisioning su Sì.
  5. Fare clic su Salva.
  6. Passare a Gestisci > utenti e gruppi.
  7. Fare clic su Aggiungi utente/gruppo, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna .
  8. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.

In futuro, viene effettuato automaticamente il provisioning di utenti e gruppi aggiunti e assegnati quando Microsoft Entra ID pianifica la sincronizzazione successiva.

Importante

Non assegnare l'amministratore dell'area di lavoro di Azure Databricks il cui token di accesso personale è stato usato per configurare l'applicazione di provisioning SCIM di Azure Databricks Connessione or.

(Facoltativo) Automatizzare il provisioning SCIM con Microsoft Graph

Microsoft Graph include librerie di autenticazione e autorizzazione che è possibile integrare nell'applicazione per automatizzare il provisioning di utenti e gruppi nell'account o nelle aree di lavoro di Azure Databricks, anziché configurare un'applicazione connettore di provisioning SCIM.

  1. Seguire le istruzioni per registrare un'applicazione con Microsoft Graph. Prendere nota dell'ID applicazione e dell'ID tenant per l'applicazione
  2. Passare alla pagina Panoramica delle applicazioni. In tale pagina:
    1. Configurare un segreto client per l'applicazione e prendere nota del segreto.
    2. Concedere all'applicazione queste autorizzazioni:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Chiedere a un amministratore di Microsoft Entra ID di concedere il consenso amministratore.
  4. Aggiornare il codice dell'applicazione per aggiungere il supporto per Microsoft Graph.

Suggerimenti per il provisioning

  • Gli utenti e i gruppi esistenti nell'area di lavoro di Azure Databricks prima di abilitare il provisioning presentano il comportamento seguente al momento della sincronizzazione del provisioning:
    • Vengono uniti se esistono anche in Microsoft Entra ID
    • Vengono ignorati se non esistono in Microsoft Entra ID
  • Le autorizzazioni utente assegnate singolarmente e vengono duplicate tramite l'appartenenza a un gruppo rimangono dopo la rimozione dell'appartenenza al gruppo per l'utente.
  • Gli utenti rimossi direttamente da un'area di lavoro di Azure Databricks usando la pagina delle impostazioni di amministrazione dell'area di lavoro di Azure Databricks:
    • Perdere l'accesso all'area di lavoro di Azure Databricks, ma può comunque avere accesso ad altre aree di lavoro di Azure Databricks.
    • Non verrà sincronizzata di nuovo usando il provisioning di Microsoft Entra ID, anche se rimangono nell'applicazione aziendale.
  • La sincronizzazione iniziale di Microsoft Entra ID viene attivata immediatamente dopo l'abilitazione del provisioning. Le sincronizzazioni successive vengono attivate ogni 20-40 minuti, a seconda del numero di utenti e gruppi nell'applicazione. Vedere Report di riepilogo del provisioning nella documentazione di Microsoft Entra ID.
  • Non è possibile aggiornare il nome utente o l'indirizzo di posta elettronica di un utente dell'area di lavoro di Azure Databricks.
  • Il admins gruppo è un gruppo riservato in Azure Databricks e non può essere rimosso.
  • È possibile usare l'API Gruppi di Azure Databricks o l'interfaccia utente dei gruppi per ottenere un elenco di membri di qualsiasi gruppo di aree di lavoro di Azure Databricks.
  • Non è possibile sincronizzare gruppi annidati o entità servizio Microsoft Entra ID dall'applicazione di provisioning scim di Azure Databricks Connessione or. Databricks consiglia di usare l'applicazione aziendale per sincronizzare utenti e gruppi e gestire gruppi annidati e entità servizio in Azure Databricks. Tuttavia, è anche possibile usare il provider Databricks Terraform o script personalizzati destinati all'API SCIM di Azure Databricks per sincronizzare i gruppi annidati o le entità servizio Microsoft Entra ID.

Risoluzione dei problemi

Gli utenti e i gruppi non vengono sincronizzati

  • Se si usa l'applicazione scim provisioning SCIM di Azure Databricks Connessione:
    • Per il provisioning a livello di area di lavoro: nella pagina delle impostazioni di amministrazione di Azure Databricks verificare che l'utente di Azure Databricks il cui token di accesso personale venga usato dall'applicazione Di provisioning SCIM di Azure Databricks Connessione or sia ancora un utente amministratore dell'area di lavoro in Azure Databricks e che il token sia ancora valido.
    • Per il provisioning a livello dell'account: nella console dell'account verificare che il token SCIM di Azure Databricks usato per configurare il provisioning sia ancora valido.
  • Non tentare di sincronizzare i gruppi annidati, che non sono supportati dal provisioning automatico di Microsoft Entra ID. Per altre informazioni, vedere le domande frequenti.

Le entità servizio Microsoft Entra ID non vengono sincronizzate

  • L'applicazione SCIM provisioning SCIM di Azure Databricks Connessione or non supporta la sincronizzazione delle entità servizio.

Dopo la sincronizzazione iniziale, viene interrotta la sincronizzazione di utenti e gruppi

Se si usa l'applicazione scim provisioning scim di Azure Databricks Connessione or: dopo la sincronizzazione iniziale, l'ID Microsoft Entra non viene sincronizzato immediatamente dopo la modifica delle assegnazioni di utenti o gruppi. Consente di pianificare una sincronizzazione con l'applicazione dopo un ritardo, in base al numero di utenti e gruppi. Per richiedere una sincronizzazione immediata, passare a Gestisci provisioning per l'applicazione aziendale e selezionare Cancella stato corrente e riavvia la sincronizzazione>.

Intervallo IP del servizio di provisioning di Microsoft Entra ID non accessibile

Il servizio di provisioning microsoft Entra ID opera in intervalli IP specifici. Se è necessario limitare l'accesso alla rete, è necessario consentire il traffico dagli indirizzi IP per AzureActiveDirectory in questo file di intervallo IP. Per altre informazioni, vedere Intervalli IP.