次の方法で共有

Microsoft Entra ID からユーザーとグループを同期する

  • [アーティクル]

この記事では、ユーザーのプロビジョニングを自動化できるオープン標準である SCIM (クロスドメイン ID 管理システム) を使用して、ユーザーとグループを Azure Databricks にプロビジョニングするように ID プロバイダー (IdP) と Azure Databricks を構成する方法について説明します。

Azure Databricks での SCIM プロビジョニングについて

SCIM では、IdP を使用して、Azure Databricks でユーザーを作成し、適切なレベルのアクセス権を付与することができます。また、ユーザーが組織を離れたり、Azure Databricks にアクセスする必要がなくなった場合、ユーザーのアクセス権を削除する (プロビジョニングを解除する) ことができます。

IdP で SCIM プロビジョニング コネクタを使用するか、SCIM Groups API を呼び出すことでプロビジョニングを管理できます。 これらの API を使用して、IdP を介さずに Azure Databricks で直接 ID を管理することもできます。

アカウント レベルとワークスペース レベルの SCIM プロビジョニング

Databricks では、アカウント レベルの SCIM プロビジョニングを使って、アカウントのすべてのユーザーを作成、更新、削除することをお勧めします。 Azure Databricks 内のワークスペースへのユーザーとグループの割り当てを管理します。 ユーザーのワークスペース割り当てを管理するには、ワークスペースで ID フェデレーションが有効である必要があります。

アカウント レベルの SCIM の図

ワークスペース レベルの SCIM プロビジョニング は、パブリック プレビュー段階のレガシ構成です。 ワークスペースに対してワークスペース レベルの SCIM プロビジョニングを既に設定している場合、Databricks では、ID フェデレーションのワークスペースを有効にし、アカウント レベルの SCIM プロビジョニングを設定し、ワークスペース レベルの SCIM プロビジョニングをオフにすることが推奨されます。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。 ワークスペース レベルの SCIM プロビジョニングの詳細は、 Azure Databricks ワークスペース (レガシ) への ID のプロビジョニングに関するページを参照してください。

要件

SCIM を使用してユーザーとグループを Azure Databricks にプロビジョニングするには、以下の要件があります。

  • Azure Databricks アカウントに Premium プランが必要です。
  • Azure Databricks のアカウント管理者である必要があります。

アカウントには、最大 10,000 個のユーザーとサービス プリンシパルの組み合わせ、および 5000 個のグループ含めることができます。 各ワークスペースには、最大 10,000 個のユーザーとサービス プリンシパルの組み合わせ、および 5000 個のグループを含めることができます。

Azure Databricks アカウントにユーザーとグループを同期する

SCIM プロビジョニング コネクタを使用して、アカウント レベルの ID を Microsoft Entra ID テナントから Azure Databricks に同期できます。

重要

ID をワークスペースに直接同期する SCIM コネクタが既にある場合、アカウント レベルの SCIM コネクタが有効になっているときには、これらの SCIM コネクタを無効にする必要があります。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

完全な手順は、「Microsoft Entra ID (Azure Active Directory) を使用した SCIM プロビジョニングの構成」を参照してください。 アカウント レベルの SCIM プロビジョニングを構成した後、Databricks では、Microsoft Entra ID のユーザーすべてに Azure Databricks アカウントへのアクセスを許可することをお勧めします。 すべての Microsoft Entra ID ユーザーが Azure Databricks にアクセスできるようにするを参照してください。

Note

アカウント レベルの SCIM コネクタからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとそのすべてのワークスペースで非アクティブ化されます。 アカウント レベルの SCIM コネクタからグループを削除すると、そのグループ内のすべてのユーザーはアカウントとアクセスできるワークスペースで非アクティブ化されます (ただし、それらのユーザーが別のグループのメンバーである場合や、アカウント レベルの SCIM コネクタへのアクセスが直接許可されている場合は除きます)。

アカウント レベルの SCIM トークンをローテーションする

アカウント レベルの SCIM トークンが侵害された場合、または認証トークンを定期的にローテーションするビジネス要件がある場合は、SCIM トークンをローテーションできます。

  1. Azure Databricks アカウント管理者として、アカウント コンソールにログインします。
  2. サイドバーで、[設定] をクリックします。
  3. [ユーザー プロビジョニング] をクリックします。
  4. [トークンの再生成] をクリックします。 新しいトークンをメモしておきます。 前のトークンは引き続き 24 時間機能します。
  5. 24 時間以内に、新しい SCIM トークンを使用するように SCIM アプリケーションを更新します。

ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する

アカウント レベルの SCIM プロビジョニングを有効にし、いくつかのワークスペースに対してワークスペース レベルの SCIM プロビジョニングを既に設定している場合、Databricks では、ワークスペース レベルの SCIM プロビジョナーをオフにして、代わりにユーザーとグループをアカウント レベルに同期することが推奨されます。

  1. ワークスペース レベルの SCIM コネクタを使用して Azure Databricks に現在プロビジョニングしているすべてのユーザーとグループを含むグループを、Microsoft Entra ID 内に作成します。

    Databricks では、アカウントのすべてのワークスペースのすべてのユーザーをこのグループに含めることを推奨しています。

  2. Azure Databricks アカウントに ユーザーとグループを同期する」の手順に従って、ユーザーとグループをアカウントにプロビジョニングするように新しい SCIM プロビジョニング コネクタを構成します。

    ステップ 1 で作成したグループを使用します。 既存のアカウント ユーザーとユーザー名 (メール アドレス) を共有しているユーザーを追加すると、それらのユーザーはマージされます。 アカウント内の既存のグループは影響を受けません。

  3. 新しい SCIM プロビジョニング コネクタがユーザーとグループをアカウントに正常にプロビジョニングしていることを確認します。

  4. ユーザーとグループをワークスペースにプロビジョニングしていた古いワークスペース レベルの SCIM コネクタをシャットダウンします。

    ワークスペースレベルの SCIM コネクタをシャットダウンする前に、そこからユーザーとグループを削除しないでください。 SCIM コネクタからのアクセスを取り消すと、Azure Databricks ワークスペース内のユーザーが非アクティブになります。 詳細については、「Azure Databricks ワークスペース内のユーザーを非アクティブ化する」を参照してください。

  5. ワークスペース ローカル グループをアカウント グループに移行します。

    ワークスペースにレガシ グループがある場合、それらはワークスペース ローカル グループと呼ばれます。 アカウント レベルのインターフェイスを使用してワークスペース ローカル グループを管理することはできません。 Databricks では、これらのグループをアカウント グループに変換することをお勧めします。 「ワークスペース ローカル グループをアカウント グループに移行する」をご覧ください。