Delen via

SCIM-inrichting configureren met behulp van Microsoft Entra ID (Azure Active Directory)

  • Artikel

In dit artikel wordt beschreven hoe u inrichting instelt voor Azure Databricks met behulp van Microsoft Entra ID (voorheen Azure Active Directory).

U kunt het inrichten voor Azure Databricks instellen met behulp van Microsoft Entra-id op het niveau van het Azure Databricks-account of op het niveau van de Azure Databricks-werkruimte.

Databricks raadt u aan gebruikers, service-principals en groepen in te richten op accountniveau en de toewijzing van gebruikers en groepen te beheren aan werkruimten binnen Azure Databricks. Uw werkruimten moeten zijn ingeschakeld voor identiteitsfederatie om de toewijzing van gebruikers aan werkruimten te beheren. Als u werkruimten hebt die niet zijn ingeschakeld voor identiteitsfederatie, moet u gebruikers, service-principals en groepen rechtstreeks inrichten voor deze werkruimten.

Notitie

De manier waarop inrichting wordt geconfigureerd, is volledig gescheiden van het configureren van verificatie en voorwaardelijke toegang voor Azure Databricks-werkruimten of -accounts. Verificatie voor Azure Databricks wordt automatisch verwerkt door Microsoft Entra ID met behulp van de OpenID Connect-protocolstroom. U kunt voorwaardelijke toegang configureren, waarmee u regels kunt maken om meervoudige verificatie te vereisen of aanmeldingen naar lokale netwerken te beperken, op serviceniveau.

Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id

U kunt gebruikers en groepen op accountniveau synchroniseren vanuit uw Microsoft Entra ID-tenant naar Azure Databricks met behulp van een SCIM-inrichtingsconnector.

Belangrijk

Als u al SCIM-connectors hebt die identiteiten rechtstreeks met uw werkruimten synchroniseren, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau.

Eisen

  • Uw Azure Databricks-account moet het Premium-abonnement hebben.
  • U moet de rol Cloudtoepassingsbeheerder hebben in Microsoft Entra ID.
  • Uw Microsoft Entra ID-account moet een Premium Edition-account zijn om groepen in te richten. Gebruikers inrichten is beschikbaar voor elke Microsoft Entra ID-editie.
  • U moet een Azure Databricks-accountbeheerder zijn.

Notitie

Zie Uw eerste accountbeheerder instellen als u de accountconsole wilt inschakelen en uw eerste accountbeheerder tot stand wilt brengen.

Stap 1: Azure Databricks configureren

  1. Meld u als azure Databricks-accountbeheerder aan bij de Azure Databricks-accountconsole.
  2. Klik op Pictogram Gebruikersinstellingen Instellingen.
  3. Klik op Gebruikersinrichting.
  4. Klik op Inrichting van gebruikers instellen.

Kopieer het SCIM-token en de SCIM-URL van het account. U gebruikt deze om uw Microsoft Entra ID-toepassing te configureren.

Notitie

Het SCIM-token is beperkt tot de SCIM-API /api/2.1/accounts/{account_id}/scim/v2/ van het account en kan niet worden gebruikt voor verificatie bij andere Databricks REST API's.

Stap 2: De bedrijfstoepassing configureren

In deze instructies wordt uitgelegd hoe u een bedrijfstoepassing maakt in Azure Portal en deze toepassing gebruikt voor het inrichten. Als u een bestaande bedrijfstoepassing hebt, kunt u deze wijzigen om SCIM-inrichting te automatiseren met Behulp van Microsoft Graph. Hierdoor is er geen afzonderlijke inrichtingstoepassing meer nodig in Azure Portal.

Volg deze stappen om Microsoft Entra ID in te schakelen voor het synchroniseren van gebruikers en groepen met uw Azure Databricks-account. Deze configuratie is gescheiden van alle configuraties die u hebt gemaakt om gebruikers en groepen te synchroniseren met werkruimten.

  1. Ga in uw Azure-portal naar Microsoft Entra ID > Enterprise-toepassingen.
  2. Klik op + Nieuwe toepassing boven de lijst met toepassingen. Zoek en selecteer azure Databricks SCIM Provisioning Connector onder Toevoegen uit de galerie.
  3. Voer een naam in voor de toepassing en klik op Toevoegen.
  4. Klik in het menu Beheren op Inrichten.
  5. Stel de inrichtingsmodus in op Automatisch.
  6. Stel de URL van het SCIM API-eindpunt in op de SCIM-URL van het account die u eerder hebt gekopieerd.
  7. Stel geheimtoken in op het Azure Databricks SCIM-token dat u eerder hebt gegenereerd.
  8. Klik op Verbinding testen en wacht op het bericht dat bevestigt dat de referenties zijn gemachtigd om inrichting in te schakelen.
  9. Klik op Opslaan.

Stap 3: Gebruikers en groepen toewijzen aan de toepassing

Gebruikers en groepen die zijn toegewezen aan de SCIM-toepassing, worden ingericht voor het Azure Databricks-account. Als u bestaande Azure Databricks-werkruimten hebt, raadt Databricks u aan alle bestaande gebruikers en groepen in deze werkruimten toe te voegen aan de SCIM-toepassing.

Notitie

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van service-principals voor Azure Databricks. U kunt service-principals toevoegen aan uw Azure Databricks-account na Service-principals beheren in uw account.

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van geneste groepen voor Azure Databricks. Microsoft Entra-id kan alleen gebruikers lezen en inrichten die direct lid zijn van de expliciet toegewezen groep. Als tijdelijke oplossing wijst u expliciet (of anderszins bereik in) de groepen toe die de gebruikers bevatten die moeten worden ingericht. Zie deze veelgestelde vragen voor meer informatie.

  1. Ga naar Eigenschappen beheren>.
  2. Stel de toewijzing in op Nee. Databricks raadt deze optie aan, zodat alle gebruikers zich kunnen aanmelden bij het Azure Databricks-account.
  3. Ga naar Inrichting beheren>.
  4. Als u microsoft Entra ID-gebruikers en -groepen wilt synchroniseren met Azure Databricks, stelt u de wisselknop Inrichtingsstatus in op Aan.
  5. Klik op Opslaan.
  6. Ga naar Gebruikers en groepen beheren>.
  7. Klik op Gebruiker/groep toevoegen, selecteer de gebruikers en groepen en klik op de knop Toewijzen .
  8. Wacht enkele minuten en controleer of de gebruikers en groepen aanwezig zijn in uw Azure Databricks-account.

Gebruikers en groepen die u toevoegt en toewijst, worden automatisch ingericht voor het Azure Databricks-account wanneer Microsoft Entra ID de volgende synchronisatie plant.

Notitie

Als u een gebruiker verwijdert uit de SCIM-toepassing op accountniveau, wordt die gebruiker gedeactiveerd vanuit het account en vanuit hun werkruimten, ongeacht of identiteitsfederatie is ingeschakeld.

Identiteiten inrichten voor uw Azure Databricks-werkruimte met behulp van Microsoft Entra ID (verouderd)

Belangrijk

Deze functie is beschikbaar als openbare preview.

Als u werkruimten hebt die niet zijn ingeschakeld voor identiteitsfederatie, moet u gebruikers, service-principals en groepen rechtstreeks inrichten voor deze werkruimten. In deze sectie wordt beschreven hoe u dit doet.

In de volgende voorbeelden vervangt u <databricks-instance> door de werkruimte-URL van uw Azure Databricks-implementatie.

Eisen

  • Uw Azure Databricks-account moet het Premium-abonnement hebben.
  • U moet de rol Cloudtoepassingsbeheerder hebben in Microsoft Entra ID.
  • Uw Microsoft Entra ID-account moet een Premium Edition-account zijn om groepen in te richten. Gebruikers inrichten is beschikbaar voor elke Microsoft Entra ID-editie.
  • U moet een Azure Databricks-werkruimtebeheerder zijn.

Stap 1: De bedrijfstoepassing maken en deze verbinden met de SCIM-API van Azure Databricks

Als u inrichting rechtstreeks wilt instellen voor Azure Databricks-werkruimten met behulp van Microsoft Entra ID, maakt u een bedrijfstoepassing voor elke Azure Databricks-werkruimte.

In deze instructies wordt uitgelegd hoe u een bedrijfstoepassing maakt in Azure Portal en deze toepassing gebruikt voor het inrichten. Als u een bestaande bedrijfstoepassing hebt, kunt u deze wijzigen om SCIM-inrichting te automatiseren met Behulp van Microsoft Graph. Hierdoor is er geen afzonderlijke inrichtingstoepassing meer nodig in Azure Portal.

  1. Meld u als werkruimtebeheerder aan bij uw Azure Databricks-werkruimte.

  2. Genereer een persoonlijk toegangstoken en kopieer het. In een volgende stap geeft u dit token op aan de Microsoft Entra-id.

    Belangrijk

    Genereer dit token als beheerder van een Azure Databricks-werkruimte die niet wordt beheerd door de Microsoft Entra ID-bedrijfstoepassing. Als de gebruiker van de Azure Databricks-beheerder die eigenaar is van het persoonlijke toegangstoken, ongedaan wordt gemaakt met behulp van Microsoft Entra ID, wordt de SCIM-inrichtingstoepassing uitgeschakeld.

  3. Ga in uw Azure-portal naar Microsoft Entra ID > Enterprise-toepassingen.

  4. Klik op + Nieuwe toepassing boven de lijst met toepassingen. Zoek en selecteer azure Databricks SCIM Provisioning Connector onder Toevoegen uit de galerie.

  5. Voer een naam in voor de toepassing en klik op Toevoegen. Gebruik een naam waarmee beheerders deze kunnen vinden, zoals <workspace-name>-provisioning.

  6. Klik in het menu Beheren op Inrichten.

  7. Stel Inrichtingsmodus in op Automatisch.

  8. Voer de URL van het SCIM API-eindpunt in. Toevoegen /api/2.0/preview/scim aan de URL van uw werkruimte:

    https://<databricks-instance>/api/2.0/preview/scim

    Vervang door <databricks-instance> de werkruimte-URL van uw Azure Databricks-implementatie. Zie Id's ophalen voor werkruimteobjecten.

  9. Stel geheimtoken in op het persoonlijke toegangstoken van Azure Databricks dat u in stap 1 hebt gegenereerd.

  10. Klik op Verbinding testen en wacht op het bericht dat bevestigt dat de referenties zijn gemachtigd om inrichting in te schakelen.

  11. Voer desgewenst een e-mailmelding in om meldingen te ontvangen van kritieke fouten met SCIM-inrichting.

  12. Klik op Opslaan.

Stap 2: Gebruikers en groepen toewijzen aan de toepassing

Notitie

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van service-principals voor Azure Databricks. U kunt service-principals toevoegen aan uw Azure Databricks-werkruimte na Service-principals beheren in uw werkruimte.

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van geneste groepen voor Azure Databricks. Microsoft Entra-id kan alleen gebruikers lezen en inrichten die direct lid zijn van de expliciet toegewezen groep. Als tijdelijke oplossing wijst u expliciet (of anderszins bereik in) de groepen toe die de gebruikers bevatten die moeten worden ingericht. Zie deze veelgestelde vragen voor meer informatie.

  1. Ga naar Eigenschappen beheren>.
  2. Stel de opdracht in op Ja. Databricks raadt deze optie aan, waarmee alleen gebruikers en groepen worden gesynchroniseerd die zijn toegewezen aan de bedrijfstoepassing.
  3. Ga naar Inrichting beheren>.
  4. Als u microsoft Entra ID-gebruikers en -groepen wilt synchroniseren met Azure Databricks, stelt u de wisselknop Inrichtingsstatus in op Aan.
  5. Klik op Opslaan.
  6. Ga naar Gebruikers en groepen beheren>.
  7. Klik op Gebruiker/groep toevoegen, selecteer de gebruikers en groepen en klik op de knop Toewijzen .
  8. Wacht enkele minuten en controleer of de gebruikers en groepen aanwezig zijn in uw Azure Databricks-account.

In de toekomst worden gebruikers en groepen die u toevoegt en toewijst, automatisch ingericht wanneer Microsoft Entra ID de volgende synchronisatie plant.

Belangrijk

Wijs de beheerder van de Azure Databricks-werkruimte waarvan het persoonlijke toegangstoken is gebruikt voor het configureren van de Azure Databricks SCIM Provisioning Connector-toepassing niet toe.

(Optioneel) SCIM-inrichting automatiseren met Microsoft Graph

Microsoft Graph bevat verificatie- en autorisatiebibliotheken die u in uw toepassing kunt integreren om het inrichten van gebruikers en groepen te automatiseren voor uw Azure Databricks-account of werkruimten, in plaats van een SCIM-inrichtingsconnectortoepassing te configureren.

  1. Volg de instructies voor het registreren van een toepassing bij Microsoft Graph. Noteer de toepassings-id en de tenant-id voor de toepassing
  2. Ga naar de overzichtspagina van de toepassing. Op die pagina:
    1. Configureer een clientgeheim voor de toepassing en noteer het geheim.
    2. Geef de toepassing de volgende machtigingen:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Vraag een Microsoft Entra ID-beheerder om beheerderstoestemming te verlenen.
  4. Werk de code van uw toepassing bij om ondersteuning voor Microsoft Graph toe te voegen.

Tips voor inrichting

  • Gebruikers en groepen die bestonden in de Azure Databricks-werkruimte voordat inrichting werd ingeschakeld, vertonen het volgende gedrag bij het inrichten van synchronisatie:
    • Worden samengevoegd als ze ook aanwezig zijn in Microsoft Entra-id
    • Worden genegeerd als ze niet bestaan in Microsoft Entra-id
  • Gebruikersmachtigingen die afzonderlijk worden toegewezen en worden gedupliceerd via lidmaatschap van een groep, blijven behouden nadat het groepslidmaatschap voor de gebruiker is verwijderd.
  • Gebruikers die rechtstreeks uit een Azure Databricks-werkruimte zijn verwijderd met behulp van de beheerpagina van de Azure Databricks-werkruimte:
    • Verlies de toegang tot die Azure Databricks-werkruimte, maar heeft mogelijk nog steeds toegang tot andere Azure Databricks-werkruimten.
    • Wordt niet opnieuw gesynchroniseerd met microsoft Entra ID-inrichting, zelfs als ze in de bedrijfstoepassing blijven.
  • De eerste Synchronisatie van Microsoft Entra-id's wordt onmiddellijk geactiveerd nadat u het inrichten hebt ingeschakeld. Volgende synchronisaties worden elke 20-40 minuten geactiveerd, afhankelijk van het aantal gebruikers en groepen in de toepassing. Zie het overzichtsrapport inrichting in de documentatie van Microsoft Entra ID.
  • U kunt de gebruikersnaam of het e-mailadres van een Azure Databricks-werkruimtegebruiker niet bijwerken.
  • De admins groep is een gereserveerde groep in Azure Databricks en kan niet worden verwijderd.
  • U kunt de Azure Databricks Groups-API of de gebruikersinterface van Groepen gebruiken om een lijst met leden van een Azure Databricks-werkruimtegroep op te halen.
  • U kunt geneste groepen of Microsoft Entra ID-service-principals niet synchroniseren vanuit de Azure Databricks SCIM Provisioning Connector-toepassing . Databricks raadt u aan de bedrijfstoepassing te gebruiken om gebruikers en groepen te synchroniseren en geneste groepen en service-principals in Azure Databricks te beheren. U kunt echter ook de Databricks Terraform-provider of aangepaste scripts gebruiken die gericht zijn op de SCIM-API van Azure Databricks om geneste groepen of Microsoft Entra ID-service-principals te synchroniseren.
  • Updates voor groepsnamen in Microsoft Entra-id worden niet gesynchroniseerd met Azure Databricks.

Probleemoplossing

Gebruikers en groepen worden niet gesynchroniseerd

  • Als u de azure Databricks SCIM Provisioning Connector-toepassing gebruikt:
    • Voor inrichting op werkruimteniveau: Controleer op de pagina met beheerdersinstellingen van Azure Databricks of de Azure Databricks-gebruiker waarvan het persoonlijke toegangstoken wordt gebruikt door de Azure Databricks SCIM Provisioning Connector-toepassing nog steeds een gebruiker met werkruimtebeheerders in Azure Databricks is en dat het token nog steeds geldig is.
    • Voor inrichting op accountniveau: controleer in de accountconsole of het SCIM-token van Azure Databricks dat is gebruikt voor het instellen van de inrichting, nog steeds geldig is.
  • Probeer geneste groepen niet te synchroniseren, die niet worden ondersteund door automatische inrichting van Microsoft Entra ID. Zie deze veelgestelde vragen voor meer informatie.

Service-principals voor Microsoft Entra ID worden niet gesynchroniseerd

  • De toepassing Azure Databricks SCIM Provisioning Connector biedt geen ondersteuning voor het synchroniseren van service-principals.

Na de eerste synchronisatie stoppen de gebruikers en groepen met synchroniseren

Als u de Azure Databricks SCIM Provisioning Connector-toepassing gebruikt: Na de eerste synchronisatie wordt Microsoft Entra-id niet onmiddellijk gesynchroniseerd nadat u gebruikers- of groepstoewijzingen hebt gewijzigd. Er wordt een synchronisatie met de toepassing gepland na een vertraging, op basis van het aantal gebruikers en groepen. Als u een onmiddellijke synchronisatie wilt aanvragen, gaat u naar Inrichting > beheren voor de bedrijfstoepassing en selecteert u Huidige status wissen en start u de synchronisatie opnieuw.

IP-bereik van Microsoft Entra ID-inrichtingsservice is niet toegankelijk

De Microsoft Entra ID-inrichtingsservice werkt onder specifieke IP-bereiken. Als u de netwerktoegang wilt beperken, moet u verkeer van de IP-adressen voor AzureActiveDirectory in dit IP-bereikbestand toestaan. Zie IP-bereiken voor meer informatie.