Udostępnij za pośrednictwem

Konfigurowanie aprowizacji SCIM przy użyciu identyfikatora Entra firmy Microsoft (Azure Active Directory)

  • Artykuł

W tym artykule opisano sposób konfigurowania aprowizacji w usłudze Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft (dawniej Azure Active Directory).

Aprowizowanie w usłudze Azure Databricks można skonfigurować przy użyciu identyfikatora Entra firmy Microsoft na poziomie konta usługi Azure Databricks lub na poziomie obszaru roboczego usługi Azure Databricks.

Usługa Databricks zaleca aprowizowania użytkowników, jednostek usługi i grup na poziomie konta oraz zarządzania przypisaniem użytkowników i grup do obszarów roboczych w usłudze Azure Databricks. Aby zarządzać przypisaniem użytkowników do obszarów roboczych, należy włączyć federację tożsamości. Jeśli masz jakiekolwiek obszary robocze, które nie są włączone dla federacji tożsamości, należy nadal aprowizować użytkowników, jednostki usługi i grupy bezpośrednio do tych obszarów roboczych.

Uwaga

Sposób konfigurowania aprowizacji jest całkowicie oddzielony od konfigurowania uwierzytelniania i dostępu warunkowego dla obszarów roboczych lub kont usługi Azure Databricks. Uwierzytelnianie dla usługi Azure Databricks jest obsługiwane automatycznie przez identyfikator Entra firmy Microsoft przy użyciu przepływu protokołu OpenID Connect. Możesz skonfigurować dostęp warunkowy, który umożliwia tworzenie reguł wymagających uwierzytelniania wieloskładnikowego lub ograniczenie logowania do sieci lokalnych na poziomie usługi.

Aprowizuj tożsamości na koncie usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft

Możesz zsynchronizować użytkowników i grupy na poziomie konta z dzierżawy identyfikatora Entra firmy Microsoft do usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM.

Ważne

Jeśli masz już łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.

Wymagania

  • Konto usługi Azure Databricks musi mieć plan Premium.
  • Musisz mieć rolę Administratora aplikacji w chmurze w identyfikatorze Entra firmy Microsoft.
  • Konto Microsoft Entra ID musi być kontem wersji Premium, aby aprowizować grupy. Aprowizowanie użytkowników jest dostępne dla dowolnej wersji Microsoft Entra ID.
  • Musisz być administratorem konta usługi Azure Databricks.

Uwaga

Aby włączyć konsolę konta i ustanowić pierwszego administratora konta, zobacz Ustanawianie pierwszego administratora konta.

Krok 1. Konfigurowanie usługi Azure Databricks

  1. Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta usługi Azure Databricks.
  2. Kliknij pozycję Ikona ustawień użytkownika Ustawienia.
  3. Kliknij pozycję Aprowizowanie użytkowników.
  4. Kliknij pozycję Skonfiguruj aprowizację użytkowników.

Skopiuj token SCIM i adres URL SCIM konta. Użyjesz ich do skonfigurowania aplikacji Microsoft Entra ID.

Uwaga

Token SCIM jest ograniczony do interfejsu API /api/2.1/accounts/{account_id}/scim/v2/ SCIM konta i nie może służyć do uwierzytelniania w innych interfejsach API REST usługi Databricks.

Krok 2. Konfigurowanie aplikacji dla przedsiębiorstw

Te instrukcje informują, jak utworzyć aplikację dla przedsiębiorstw w witrynie Azure Portal i użyć tej aplikacji do aprowizacji. Jeśli masz istniejącą aplikację dla przedsiębiorstw, możesz ją zmodyfikować, aby zautomatyzować aprowizację SCIM przy użyciu programu Microsoft Graph. Spowoduje to usunięcie potrzeby oddzielnej aplikacji aprowizacji w witrynie Azure Portal.

Wykonaj następujące kroki, aby umożliwić usłudze Microsoft Entra ID synchronizowanie użytkowników i grup z kontem usługi Azure Databricks. Ta konfiguracja jest oddzielona od wszystkich utworzonych konfiguracji w celu synchronizowania użytkowników i grup z obszarami roboczymi.

  1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID Enterprise Applications (Aplikacje dla przedsiębiorstw z identyfikatorem > entra firmy Microsoft).
  2. Kliknij pozycję + Nowa aplikacja nad listą aplikacji. W obszarze Dodaj z galerii wyszukaj i wybierz pozycję Azure Databricks SCIM Provisioning Connector.
  3. Wprowadź nazwę aplikacji i kliknij przycisk Dodaj.
  4. W menu Zarządzaj kliknij pozycję Aprowizowanie.
  5. Ustaw wartość Tryb aprowizacji na Wartość Automatyczna.
  6. Ustaw adres URL punktu końcowego interfejsu API SCIM na skopiowany wcześniej adres URL SCIM konta.
  7. Ustaw token tajny na wygenerowany wcześniej token SCIM usługi Azure Databricks.
  8. Kliknij pozycję Testuj połączenie i poczekaj na komunikat z potwierdzeniem, że poświadczenia są autoryzowane w celu włączenia aprowizacji.
  9. Kliknij przycisk Zapisz.

Krok 3. Przypisywanie użytkowników i grup do aplikacji

Użytkownicy i grupy przypisane do aplikacji SCIM zostaną aprowizowani na koncie usługi Azure Databricks. Jeśli masz istniejące obszary robocze usługi Azure Databricks, usługa Databricks zaleca dodanie wszystkich istniejących użytkowników i grup w tych obszarach roboczych do aplikacji SCIM.

Uwaga

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji jednostek usługi w usłudze Azure Databricks. Jednostki usługi można dodać na koncie usługi Azure Databricks, postępując zgodnie z instrukcjami Zarządzania jednostkami usługi na koncie.

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji zagnieżdżonych grup w usłudze Azure Databricks. Identyfikator Entra firmy Microsoft może odczytywać i aprowizować tylko użytkowników, którzy są bezpośrednimi członkami jawnie przypisanej grupy. Aby obejść ten problem, jawnie przypisz (lub w inny sposób zakres) grupy zawierające użytkowników, którzy muszą być aprowizowani. Aby uzyskać więcej informacji, zobacz często zadawane pytania.

  1. Przejdź do pozycji Zarządzaj właściwościami>.
  2. Ustaw opcję Przypisanie wymagane na Nie. Usługa Databricks zaleca tę opcję, która umożliwia wszystkim użytkownikom logowanie się do konta usługi Azure Databricks.
  3. Przejdź do obszaru Zarządzanie > aprowizowaniem.
  4. Aby rozpocząć synchronizowanie użytkowników i grup identyfikatorów entra firmy Microsoft z usługą Azure Databricks, ustaw przełącznik Stan aprowizacji na .
  5. Kliknij przycisk Zapisz.
  6. Przejdź do obszaru Zarządzanie użytkownikami i grupami>.
  7. Kliknij pozycję Dodaj użytkownika/grupę, wybierz użytkowników i grupy, a następnie kliknij przycisk Przypisz .
  8. Poczekaj kilka minut i sprawdź, czy użytkownicy i grupy istnieją na koncie usługi Azure Databricks.

Użytkownicy i grupy, które dodasz i przypiszesz, zostaną automatycznie aprowizowani na koncie usługi Azure Databricks, gdy identyfikator Entra firmy Microsoft planuje kolejną synchronizację.

Uwaga

Jeśli usuniesz użytkownika z aplikacji SCIM na poziomie konta, ten użytkownik zostanie zdezaktywowany z konta i z ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona.

Aprowizuj tożsamości w obszarze roboczym usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft (starsza wersja)

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Jeśli istnieją obszary robocze, które nie są włączone dla federacji tożsamości, należy aprowizować użytkowników, jednostki usługi i grupy bezpośrednio do tych obszarów roboczych. W tej sekcji opisano, jak to zrobić.

W poniższych przykładach zastąp wartość <databricks-instance> adresem URL obszaru roboczego używanego wdrożenia usługi Azure Databricks.

Wymagania

  • Konto usługi Azure Databricks musi mieć plan Premium.
  • Musisz mieć rolę Administratora aplikacji w chmurze w identyfikatorze Entra firmy Microsoft.
  • Konto Microsoft Entra ID musi być kontem wersji Premium, aby aprowizować grupy. Aprowizowanie użytkowników jest dostępne dla dowolnej wersji Microsoft Entra ID.
  • Musisz być administratorem obszaru roboczego usługi Azure Databricks.

Krok 1. Tworzenie aplikacji dla przedsiębiorstw i łączenie jej z interfejsem API SCIM usługi Azure Databricks

Aby skonfigurować aprowizację bezpośrednio w obszarach roboczych usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft, należy utworzyć aplikację dla przedsiębiorstw dla każdego obszaru roboczego usługi Azure Databricks.

Te instrukcje informują, jak utworzyć aplikację dla przedsiębiorstw w witrynie Azure Portal i użyć tej aplikacji do aprowizacji. Jeśli masz istniejącą aplikację dla przedsiębiorstw, możesz ją zmodyfikować, aby zautomatyzować aprowizację SCIM przy użyciu programu Microsoft Graph. Spowoduje to usunięcie potrzeby oddzielnej aplikacji aprowizacji w witrynie Azure Portal.

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

  2. Wygeneruj osobisty token dostępu i skopiuj go. Ten token należy podać do identyfikatora Entra firmy Microsoft w kolejnym kroku.

    Ważne

    Wygeneruj ten token jako administrator obszaru roboczego usługi Azure Databricks, który nie jest zarządzany przez aplikację przedsiębiorstwa Microsoft Entra ID. Jeśli administrator usługi Azure Databricks, który jest właścicielem osobistego tokenu dostępu, zostanie anulowany przy użyciu identyfikatora Entra firmy Microsoft, aplikacja aprowizacji SCIM zostanie wyłączona.

  3. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID Enterprise Applications (Aplikacje dla przedsiębiorstw z identyfikatorem > entra firmy Microsoft).

  4. Kliknij pozycję + Nowa aplikacja nad listą aplikacji. W obszarze Dodaj z galerii wyszukaj i wybierz pozycję Azure Databricks SCIM Provisioning Connector.

  5. Wprowadź nazwę aplikacji i kliknij przycisk Dodaj. Użyj nazwy, która pomoże administratorom go znaleźć, na przykład <workspace-name>-provisioning.

  6. W menu Zarządzaj kliknij pozycję Aprowizowanie.

  7. Ustaw wartość Tryb aprowizacji na Wartość Automatyczna.

  8. Wprowadź adres URL punktu końcowego interfejsu API SCIM. Dołącz /api/2.0/preview/scim do adresu URL obszaru roboczego:

    https://<databricks-instance>/api/2.0/preview/scim

    Zastąp ciąg <databricks-instance> adresem URL obszaru roboczego wdrożenia usługi Azure Databricks. Zobacz Pobieranie identyfikatorów dla obiektów obszaru roboczego.

  9. Ustaw token tajny na osobisty token dostępu usługi Azure Databricks wygenerowany w kroku 1.

  10. Kliknij pozycję Testuj połączenie i poczekaj na komunikat z potwierdzeniem, że poświadczenia są autoryzowane w celu włączenia aprowizacji.

  11. Opcjonalnie wprowadź wiadomość e-mail z powiadomieniem, aby otrzymywać powiadomienia o błędach krytycznych z aprowizowaniem SCIM.

  12. Kliknij przycisk Zapisz.

Krok 2. Przypisywanie użytkowników i grup do aplikacji

Uwaga

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji jednostek usługi w usłudze Azure Databricks. Jednostki usługi można dodać do obszaru roboczego usługi Azure Databricks, postępując zgodnie z instrukcjami Zarządzanie jednostkami usługi w obszarze roboczym.

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji zagnieżdżonych grup w usłudze Azure Databricks. Identyfikator Entra firmy Microsoft może odczytywać i aprowizować tylko użytkowników, którzy są bezpośrednimi członkami jawnie przypisanej grupy. Aby obejść ten problem, jawnie przypisz (lub w inny sposób zakres) grupy zawierające użytkowników, którzy muszą być aprowizowani. Aby uzyskać więcej informacji, zobacz często zadawane pytania.

  1. Przejdź do pozycji Zarządzaj właściwościami>.
  2. Ustaw wartość Wymagane przypisanie na Wartość Tak. Usługa Databricks zaleca tę opcję, która synchronizuje tylko użytkowników i grupy przypisane do aplikacji dla przedsiębiorstw.
  3. Przejdź do obszaru Zarządzanie > aprowizowaniem.
  4. Aby rozpocząć synchronizowanie użytkowników i grup identyfikatorów entra firmy Microsoft z usługą Azure Databricks, ustaw przełącznik Stan aprowizacji na .
  5. Kliknij przycisk Zapisz.
  6. Przejdź do obszaru Zarządzanie użytkownikami i grupami>.
  7. Kliknij pozycję Dodaj użytkownika/grupę, wybierz użytkowników i grupy, a następnie kliknij przycisk Przypisz .
  8. Poczekaj kilka minut i sprawdź, czy użytkownicy i grupy istnieją na koncie usługi Azure Databricks.

W przyszłości użytkownicy i grupy dodawane i przypisywane są automatycznie aprowizowani, gdy identyfikator Entra firmy Microsoft planuje kolejną synchronizację.

Ważne

Nie przypisuj administratora obszaru roboczego usługi Azure Databricks, którego osobisty token dostępu został użyty do skonfigurowania aplikacji łącznika aprowizacji usługi Azure Databricks SCIM.

(Opcjonalnie) Automatyzowanie aprowizacji SCIM przy użyciu programu Microsoft Graph

Program Microsoft Graph zawiera biblioteki uwierzytelniania i autoryzacji, które można zintegrować z aplikacją, aby zautomatyzować aprowizowanie użytkowników i grup na koncie lub obszarach roboczych usługi Azure Databricks, zamiast konfigurować aplikację łącznika aprowizacji SCIM.

  1. Postępuj zgodnie z instrukcjami dotyczącymi rejestrowania aplikacji w programie Microsoft Graph. Zanotuj identyfikator aplikacji i identyfikator dzierżawy dla aplikacji
  2. Przejdź do strony Przegląd aplikacji. Na tej stronie:
    1. Skonfiguruj wpis tajny klienta dla aplikacji i zanotuj wpis tajny.
    2. Przyznaj aplikacji następujące uprawnienia:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Poproś administratora entra firmy Microsoft o udzielenie zgody administratora.
  4. Zaktualizuj kod aplikacji, aby dodać obsługę programu Microsoft Graph.

Porady dotyczące aprowizacji

  • Użytkownicy i grupy, które istniały w obszarze roboczym usługi Azure Databricks przed włączeniem aprowizacji, wykazują następujące zachowanie podczas aprowizacji synchronizacji:
    • Są scalane, jeśli istnieją również w identyfikatorze Entra firmy Microsoft
    • Są ignorowane, jeśli nie istnieją w identyfikatorze Entra firmy Microsoft
  • Uprawnienia użytkownika przypisane indywidualnie i są duplikowane za pośrednictwem członkostwa w grupie pozostają po usunięciu członkostwa w grupie dla użytkownika.
  • Użytkownicy usunięci bezpośrednio z obszaru roboczego usługi Azure Databricks przy użyciu strony ustawień administratora obszaru roboczego usługi Azure Databricks:
    • Utracą dostęp do tego obszaru roboczego usługi Azure Databricks, ale nadal mogą mieć dostęp do innych obszarów roboczych usługi Azure Databricks.
    • Nie zostanie ponownie zsynchronizowana przy użyciu aprowizacji identyfikatora Entra firmy Microsoft, nawet jeśli pozostaną w aplikacji dla przedsiębiorstw.
  • Początkowa synchronizacja identyfikatora Entra firmy Microsoft jest wyzwalana natychmiast po włączeniu aprowizacji. Kolejne synchronizacje są wyzwalane co 20–40 minut, w zależności od liczby użytkowników i grup w aplikacji. Zobacz Raport podsumowania aprowizacji w dokumentacji identyfikatora entra firmy Microsoft.
  • Nie można zaktualizować nazwy użytkownika ani adresu e-mail użytkownika obszaru roboczego usługi Azure Databricks.
  • Grupa admins jest grupą zarezerwowaną w usłudze Azure Databricks i nie można jej usunąć.
  • Interfejs API grup usługi Azure Databricks lub interfejs użytkownika grup można uzyskać listę członków dowolnej grupy obszarów roboczych usługi Azure Databricks.
  • Nie można zsynchronizować zagnieżdżonych grup ani jednostek usługi Microsoft Entra ID z aplikacji Łącznik aprowizacji usługi Azure Databricks SCIM. Usługa Databricks zaleca używanie aplikacji dla przedsiębiorstw do synchronizowania użytkowników i grup oraz zarządzania zagnieżdżonych grup i jednostek usług w usłudze Azure Databricks. Można jednak również użyć dostawcy narzędzia Terraform usługi Databricks lub skryptów niestandardowych przeznaczonych dla interfejsu API SCIM usługi Azure Databricks, aby zsynchronizować zagnieżdżone grupy lub jednostki usługi Microsoft Entra ID.
  • Aktualizacje nazw grup w identyfikatorze Entra firmy Microsoft nie są synchronizowane z usługą Azure Databricks.

Rozwiązywanie problemów

Użytkownicy i grupy nie są synchronizowani

  • Jeśli używasz aplikacji łącznika aprowizacji SCIM usługi Azure Databricks:
    • W przypadku aprowizacji na poziomie obszaru roboczego: na stronie ustawień administratora usługi Azure Databricks sprawdź, czy użytkownik usługi Azure Databricks, którego osobisty token dostępu jest używany przez aplikację łącznika aprowizacji usługi Azure Databricks, jest nadal administratorem obszaru roboczego w usłudze Azure Databricks i że token jest nadal ważny.
    • W przypadku aprowizacji na poziomie konta: w konsoli konta sprawdź, czy token SCIM usługi Azure Databricks użyty do skonfigurowania aprowizacji jest nadal prawidłowy.
  • Nie należy próbować synchronizować zagnieżdżonych grup, które nie są obsługiwane przez automatyczną aprowizację identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz często zadawane pytania.

Jednostki usługi Microsoft Entra ID nie są synchronizowane

  • Aplikacja łącznika aprowizacji SCIM usługi Azure Databricks nie obsługuje synchronizowania jednostek usługi.

Po początkowej synchronizacji użytkownicy i grupy nie są już synchronizowane

Jeśli używasz aplikacji łącznika aprowizacji SCIM usługi Azure Databricks: po początkowej synchronizacji identyfikator Entra firmy Microsoft nie jest synchronizowany natychmiast po zmianie przypisań użytkowników lub grup. Planuje synchronizację z aplikacją po opóźnieniu na podstawie liczby użytkowników i grup. Aby zażądać natychmiastowej synchronizacji, przejdź do obszaru Zarządzanie > aprowizowaniem aplikacji dla przedsiębiorstw i wybierz pozycję Wyczyść bieżący stan i ponownie uruchom synchronizację.

Zakres adresów IP usługi aprowizacji usługi Microsoft Entra ID jest niedostępny

Usługa aprowizacji identyfikatorów Entra firmy Microsoft działa w określonych zakresach adresów IP. Jeśli musisz ograniczyć dostęp do sieci, musisz zezwolić na ruch z adresów IP dla AzureActiveDirectory tego pliku zakresu adresów IP. Aby uzyskać więcej informacji, zobacz Zakresy adresów IP.