Delen via

SCIM-inrichting configureren met behulp van Microsoft Entra ID (Azure Active Directory)

  • Artikel

In dit artikel wordt beschreven hoe u inrichting instelt voor het Azure Databricks-account met behulp van Microsoft Entra-id.

Databricks raadt u aan gebruikers, service-principals en groepen in te richten op accountniveau en de toewijzing van gebruikers en groepen te beheren aan werkruimten binnen Azure Databricks. Uw werkruimten moeten zijn ingeschakeld voor identiteitsfederatie om de toewijzing van gebruikers aan werkruimten te beheren.

Notitie

De manier waarop inrichting wordt geconfigureerd, is volledig gescheiden van het configureren van verificatie en voorwaardelijke toegang voor Azure Databricks-werkruimten of -accounts. Verificatie voor Azure Databricks wordt automatisch verwerkt door Microsoft Entra ID met behulp van de OpenID Connect-protocolstroom. U kunt voorwaardelijke toegang configureren, waarmee u regels kunt maken om meervoudige verificatie te vereisen of aanmeldingen naar lokale netwerken te beperken, op serviceniveau.

Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id

U kunt gebruikers en groepen op accountniveau synchroniseren vanuit uw Microsoft Entra ID-tenant naar Azure Databricks met behulp van een SCIM-inrichtingsconnector.

Belangrijk

Als u al SCIM-connectors hebt die identiteiten rechtstreeks met uw werkruimten synchroniseren, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau.

Eisen

  • Uw Azure Databricks-account moet het Premium-abonnement hebben.
  • U moet de rol Cloudtoepassingsbeheerder hebben in Microsoft Entra ID.
  • Uw Microsoft Entra ID-account moet een Premium Edition-account zijn om groepen in te richten. Gebruikers inrichten is beschikbaar voor elke Microsoft Entra ID-editie.
  • U moet een Azure Databricks-accountbeheerder zijn.

Notitie

Zie Uw eerste accountbeheerder instellen als u de accountconsole wilt inschakelen en uw eerste accountbeheerder tot stand wilt brengen.

Stap 1: Azure Databricks configureren

  1. Meld u als azure Databricks-accountbeheerder aan bij de Azure Databricks-accountconsole.
  2. Klik op Pictogram Gebruikersinstellingen Instellingen.
  3. Klik op Gebruikersinrichting.
  4. Klik op Inrichting van gebruikers instellen.

Kopieer het SCIM-token en de SCIM-URL van het account. U gebruikt deze om uw Microsoft Entra ID-toepassing te configureren.

Notitie

Het SCIM-token is beperkt tot de SCIM-API /api/2.1/accounts/{account_id}/scim/v2/ van het account en kan niet worden gebruikt voor verificatie bij andere Databricks REST API's.

Stap 2: De bedrijfstoepassing configureren

In deze instructies wordt uitgelegd hoe u een bedrijfstoepassing maakt in Azure Portal en deze toepassing gebruikt voor het inrichten. Als u een bestaande bedrijfstoepassing hebt, kunt u deze wijzigen om SCIM-inrichting te automatiseren met Behulp van Microsoft Graph. Hierdoor is er geen afzonderlijke inrichtingstoepassing meer nodig in Azure Portal.

Volg deze stappen om Microsoft Entra ID in te schakelen voor het synchroniseren van gebruikers en groepen met uw Azure Databricks-account. Deze configuratie is gescheiden van alle configuraties die u hebt gemaakt om gebruikers en groepen te synchroniseren met werkruimten.

  1. Ga in uw Azure-portal naar Microsoft Entra ID > Enterprise-toepassingen.
  2. Klik op + Nieuwe toepassing boven de lijst met toepassingen. Zoek en selecteer azure Databricks SCIM Provisioning Connector onder Toevoegen uit de galerie.
  3. Voer een naam in voor de toepassing en klik op Toevoegen.
  4. Klik in het menu Beheren op Inrichten.
  5. Stel de inrichtingsmodus in op Automatisch.
  6. Stel de URL van het SCIM API-eindpunt in op de SCIM-URL van het account die u eerder hebt gekopieerd.
  7. Stel geheimtoken in op het Azure Databricks SCIM-token dat u eerder hebt gegenereerd.
  8. Klik op Verbinding testen en wacht op het bericht dat bevestigt dat de referenties zijn gemachtigd om inrichting in te schakelen.
  9. Klik op Opslaan.

Stap 3: Gebruikers en groepen toewijzen aan de toepassing

Gebruikers en groepen die zijn toegewezen aan de SCIM-toepassing, worden ingericht voor het Azure Databricks-account. Als u bestaande Azure Databricks-werkruimten hebt, raadt Databricks u aan alle bestaande gebruikers en groepen in deze werkruimten toe te voegen aan de SCIM-toepassing.

Notitie

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van service-principals voor Azure Databricks. U kunt service-principals toevoegen aan uw Azure Databricks-account na Service-principals beheren in uw account.

Microsoft Entra ID biedt geen ondersteuning voor het automatisch inrichten van geneste groepen voor Azure Databricks. Microsoft Entra-id kan alleen gebruikers lezen en inrichten die direct lid zijn van de expliciet toegewezen groep. Als tijdelijke oplossing wijst u expliciet (of anderszins bereik in) de groepen toe die de gebruikers bevatten die moeten worden ingericht. Zie deze veelgestelde vragen voor meer informatie.

  1. Ga naar Eigenschappen beheren>.
  2. Stel de toewijzing in op Nee. Databricks raadt deze optie aan, zodat alle gebruikers zich kunnen aanmelden bij het Azure Databricks-account.
  3. Ga naar Inrichting beheren>.
  4. Als u microsoft Entra ID-gebruikers en -groepen wilt synchroniseren met Azure Databricks, stelt u de wisselknop Inrichtingsstatus in op Aan.
  5. Klik op Opslaan.
  6. Ga naar Gebruikers en groepen beheren>.
  7. Klik op Gebruiker/groep toevoegen, selecteer de gebruikers en groepen en klik op de knop Toewijzen .
  8. Wacht enkele minuten en controleer of de gebruikers en groepen aanwezig zijn in uw Azure Databricks-account.

Gebruikers en groepen die u toevoegt en toewijst, worden automatisch ingericht voor het Azure Databricks-account wanneer Microsoft Entra ID de volgende synchronisatie plant.

Notitie

Als u een gebruiker verwijdert uit de SCIM-toepassing op accountniveau, wordt die gebruiker gedeactiveerd vanuit het account en vanuit hun werkruimten, ongeacht of identiteitsfederatie is ingeschakeld.

Tips voor inrichting

  • Gebruikers en groepen die bestonden in de Azure Databricks-werkruimte voordat inrichting werd ingeschakeld, vertonen het volgende gedrag bij het inrichten van synchronisatie:
    • Worden samengevoegd als ze ook aanwezig zijn in Microsoft Entra-id
    • Worden genegeerd als ze niet bestaan in Microsoft Entra-id
  • Afzonderlijk toegewezen gebruikersmachtigingen die worden gedupliceerd door lidmaatschap van een groep, blijven behouden, zelfs nadat het groepslidmaatschap voor de gebruiker is verwijderd.
  • Gebruikers die rechtstreeks uit een Azure Databricks-werkruimte zijn verwijderd met behulp van de beheerpagina van de Azure Databricks-werkruimte:
    • Verlies de toegang tot die Azure Databricks-werkruimte, maar heeft mogelijk nog steeds toegang tot andere Azure Databricks-werkruimten.
    • Wordt niet opnieuw gesynchroniseerd met microsoft Entra ID-inrichting, zelfs als ze in de bedrijfstoepassing blijven.
  • De eerste Synchronisatie van Microsoft Entra-id's wordt onmiddellijk geactiveerd nadat u het inrichten hebt ingeschakeld. Volgende synchronisaties worden elke 20-40 minuten geactiveerd, afhankelijk van het aantal gebruikers en groepen in de toepassing. Zie het overzichtsrapport inrichting in de documentatie van Microsoft Entra ID.
  • U kunt de gebruikersnaam of het e-mailadres van een Azure Databricks-werkruimtegebruiker niet bijwerken.
  • De admins groep is een gereserveerde groep in Azure Databricks en kan niet worden verwijderd.
  • U kunt de Azure Databricks Groups-API of de gebruikersinterface van Groepen gebruiken om een lijst met leden van een Azure Databricks-werkruimtegroep op te halen.
  • U kunt geneste groepen of Microsoft Entra ID-service-principals niet synchroniseren vanuit de Azure Databricks SCIM Provisioning Connector-toepassing . Databricks raadt het gebruik van de bedrijfstoepassing aan om gebruikers en groepen te synchroniseren en geneste groepen en service-principals in Azure Databricks te beheren. U kunt echter ook de Databricks Terraform-provider of aangepaste scripts gebruiken die gericht zijn op de SCIM-API van Azure Databricks om geneste groepen of Microsoft Entra ID-service-principals te synchroniseren.
  • Updates voor groepsnamen in Microsoft Entra-id worden niet gesynchroniseerd met Azure Databricks.

(Optioneel) SCIM-inrichting automatiseren met Microsoft Graph

Microsoft Graph bevat verificatie- en autorisatiebibliotheken die u in uw toepassing kunt integreren om het inrichten van gebruikers en groepen te automatiseren voor uw Azure Databricks-account of werkruimten, in plaats van een SCIM-inrichtingsconnectortoepassing te configureren.

  1. Volg de instructies voor het registreren van een toepassing bij Microsoft Graph. Noteer de toepassings-id en de tenant-id voor de toepassing
  2. Ga naar de overzichtspagina van de toepassing. Op die pagina:
    1. Configureer een clientgeheim voor de toepassing en noteer het geheim.
    2. Geef de toepassing de volgende machtigingen:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Vraag een Microsoft Entra ID-beheerder om beheerderstoestemming te verlenen.
  4. Werk de code van uw toepassing bij om ondersteuning voor Microsoft Graph toe te voegen.

Probleemoplossing

Gebruikers en groepen worden niet gesynchroniseerd

  • Als u de azure Databricks SCIM Provisioning Connector-toepassing gebruikt:
    • Controleer in de accountconsole of het Azure Databricks SCIM-token dat is gebruikt voor het instellen van inrichting nog steeds geldig is.
  • Probeer geneste groepen niet te synchroniseren, die niet worden ondersteund door automatische inrichting van Microsoft Entra ID. Zie deze veelgestelde vragen voor meer informatie.

Service-principals voor Microsoft Entra ID worden niet gesynchroniseerd

  • De toepassing Azure Databricks SCIM Provisioning Connector biedt geen ondersteuning voor het synchroniseren van service-principals.

Na de eerste synchronisatie stoppen de gebruikers en groepen met synchroniseren

Als u de Azure Databricks SCIM Provisioning Connector-toepassing gebruikt: Na de eerste synchronisatie wordt Microsoft Entra-id niet onmiddellijk gesynchroniseerd nadat u gebruikers- of groepstoewijzingen hebt gewijzigd. Er wordt een synchronisatie met de toepassing gepland na een vertraging, op basis van het aantal gebruikers en groepen. Als u een onmiddellijke synchronisatie wilt aanvragen, gaat u naar Inrichting > beheren voor de bedrijfstoepassing en selecteert u Huidige status wissen en start u de synchronisatie opnieuw.

IP-bereik van Microsoft Entra ID-inrichtingsservice is niet toegankelijk

De Microsoft Entra ID-inrichtingsservice werkt onder specifieke IP-bereiken. Als u de netwerktoegang wilt beperken, moet u verkeer van de IP-adressen voor AzureActiveDirectory in dit IP-bereikbestand toestaan. Zie IP-bereiken voor meer informatie.