Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie opisano, jak skonfigurować dostawcę tożsamości (IdP) oraz usługę Azure Databricks, aby aprowizować użytkowników i grupy do Azure Databricks za pomocą SCIM (System zarządzania tożsamościami między domenami), otwartego standardu umożliwiającego automatyzację aprowizacji użytkowników.
Można również synchronizować użytkowników i grupy z identyfikatora Entra firmy Microsoft przy użyciu automatycznego zarządzania tożsamościami. Automatyczne zarządzanie tożsamościami nie wymaga skonfigurowania aplikacji w usłudze Microsoft Entra ID. Obsługuje również synchronizowanie jednostek usługi Microsoft Entra ID i zagnieżdżonych grup z usługą Azure Databricks, która nie jest obsługiwana przy użyciu aprowizacji SCIM. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Automatyczne zarządzanie tożsamościami. Aby przeprowadzić migrację z programu SCIM do automatycznego zarządzania tożsamościami, zobacz Migrowanie do automatycznego zarządzania tożsamościami.
Uwaga
Łącznik obsługi administracyjnej SCIM dla usługi Microsoft Entra ID nie jest dostępny w regionach platformy Azure w Chinach.
Informacje o aprowizacji rozwiązania SCIM w usłudze Azure Databricks
SCIM umożliwia używanie dostawcy tożsamości (IdP) do tworzenia użytkowników w usłudze Azure Databricks, nadawania im odpowiedniego poziomu dostępu oraz odbierania dostępu (wycofywania aprowizacji), gdy opuszczają organizację lub nie potrzebują już dostępu do usługi Azure Databricks.
Aby zarządzać dostępem, możesz użyć łącznika SCIM w IdP lub wywołać interfejs API grup SCIM. Te interfejsy API umożliwiają również bezpośrednie zarządzanie tożsamościami w usłudze Azure Databricks bez dostawcy tożsamości.
Prowizjonowanie SCIM na poziomie konta i obszaru roboczego
Usługa Databricks zaleca używanie aprowizacji SCIM na poziomie konta do tworzenia, aktualizowania i usuwania wszystkich użytkowników z konta. Zarządzasz przypisywaniem użytkowników i grup do obszarów roboczych w usłudze Azure Databricks. Obszary robocze muszą być włączone do federacji tożsamości, aby zarządzać przypisaniami obszarów roboczych użytkowników.
Aprowizowanie SCIM na poziomie obszaru roboczego to starsza konfiguracja, która jest dostępna w publicznej wersji zapoznawczej. Jeśli masz już skonfigurowaną aprowizację SCIM na poziomie obszaru roboczego, usługa Databricks zaleca włączenie obszaru roboczego dla federacji tożsamości, skonfigurowanie aprowizacji SCIM na poziomie konta i wyłączenie aprowizacji SCIM na poziomie obszaru roboczego. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta. Aby uzyskać więcej informacji na temat aprowizacji SCIM na poziomie obszaru roboczego, zobacz Aprowizowanie tożsamości w obszarze roboczym usługi Azure Databricks (starsza wersja).
Wymagania
Aby provisionować użytkowników i grupy do usługi Azure Databricks za pomocą SCIM:
- Konto usługi Azure Databricks musi mieć plan Premium.
- Musisz być administratorem konta usługi Azure Databricks.
Na koncie można mieć maksymalnie 10 000 połączonych użytkowników i jednostek usługi oraz 5000 grup. Każdy obszar roboczy może mieć maksymalnie 10 000 połączonych użytkowników i jednostek usługi oraz 5000 grup.
Synchronizowanie użytkowników i grup z kontem usługi Azure Databricks
Tożsamości na poziomie konta można synchronizować z dzierżawy Microsoft Entra ID do Azure Databricks przy użyciu łącznika aprowizowania SCIM.
Ważne
Jeśli masz już łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.
Aby uzyskać pełne instrukcje, zobacz Configure SCIM provisioning using Microsoft Entra ID (Azure Active Directory) (Konfigurowanie aprowizacji SCIM przy użyciu identyfikatora Microsoft Entra ID (Azure Active Directory). Po skonfigurowaniu aprowizacji SCIM na poziomie konta usługa Databricks zaleca zezwolenie wszystkim użytkownikom w usłudze Microsoft Entra ID na dostęp do konta usługi Azure Databricks.
Uwaga
Gdy usuniesz użytkownika z łącznika SCIM na poziomie konta, ten użytkownik zostanie zdezaktywowany z konta i wszystkich ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona. Po usunięciu grupy z łącznika SCIM na poziomie konta wszyscy użytkownicy w tej grupie są dezaktywowane z konta i z wszystkich obszarów roboczych, do których mieli dostęp (chyba że są członkami innej grupy lub mają bezpośredni dostęp do łącznika SCIM na poziomie konta).
Obracanie tokenu SCIM na poziomie konta
Jeśli token SCIM na poziomie konta został naruszony lub jeśli masz wymagania biznesowe dotyczące okresowego obracania tokenów uwierzytelniania, możesz obrócić token SCIM.
- Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zabezpieczenia.
- Kliknij pozycję Aprowizowanie użytkowników.
- Kliknij pozycję Wygeneruj ponownie token. Zanotuj nowy token. Poprzedni token będzie nadal działać przez 24 godziny.
- W ciągu 24 godzin zaktualizuj aplikację SCIM, aby korzystała z nowego tokenu SCIM.
Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta
Jeśli włączasz prowizjonowanie SCIM na poziomie konta i masz już skonfigurowane prowizjonowanie SCIM na poziomie obszaru roboczego dla niektórych obszarów roboczych, Databricks zaleca wyłączenie prowizjonowania SCIM na poziomie obszaru roboczego i zamiast tego synchronizowanie użytkowników i grup na poziomie konta.
Utwórz grupę w usłudze Microsoft Entra ID, która obejmuje wszystkich użytkowników i wszystkie grupy, które są obecnie aprowizowane w usłudze Azure Databricks za pomocą łączników SCIM na poziomie obszaru roboczego.
Usługa Databricks zaleca, aby ta grupa zawierała wszystkich użytkowników we wszystkich obszarach roboczych na Twoim koncie.
Skonfiguruj nowy łącznik aprowizacji SCIM, aby aprowizować użytkowników i grupy na koncie, korzystając z instrukcji w temacie Synchronizowanie użytkowników i grup z kontem usługi Azure Databricks.
Użyj grupy lub grup utworzonych w kroku 1. Jeśli dodasz użytkownika, który używa tej samej nazwy użytkownika (adresu e-mail) co użytkownik istniejącego konta, zostaną one scalone. Nie ma to wpływu na istniejące grupy na koncie.
Upewnij się, że nowy łącznik aprowizacji SCIM pomyślnie aprowizuje użytkowników i grupy na Twoim koncie.
Wyłącz stare łączniki SCIM na poziomie przestrzeni roboczej, które służyły do aprowizowania użytkowników i grup do Twoich przestrzeni roboczych.
Nie usuwaj użytkowników i grup z łączników SCIM na poziomie obszaru roboczego przed ich zamknięciem. Odwołanie dostępu z łącznika SCIM dezaktywuje użytkownika w obszarze roboczym usługi Azure Databricks. Aby uzyskać więcej informacji, zobacz Dezaktywowanie użytkownika.
Migruj grupy lokalne obszaru roboczego do grup konta.
Jeśli masz starsze grupy w swoich obszarach roboczych, są one nazywane grupami lokalnymi w obrębie obszaru roboczego. Nie można zarządzać grupami lokalnymi obszaru roboczego przy użyciu interfejsów na poziomie konta. Usługa Databricks zaleca ich konwertowanie na grupy kont. Zobacz Migrowanie grup obszarów roboczych i lokalnych do grup kont