Konfigurowanie aprowizacji SCIM przy użyciu identyfikatora Entra firmy Microsoft (Azure Active Directory)
W tym artykule opisano sposób konfigurowania aprowizacji na koncie usługi Azure Databricks przy użyciu identyfikatora Microsoft Entra.
Usługa Databricks zaleca aprowizowania użytkowników, jednostek usługi i grup na poziomie konta oraz zarządzania przypisaniem użytkowników i grup do obszarów roboczych w usłudze Azure Databricks. Aby zarządzać przypisaniem użytkowników do obszarów roboczych, należy włączyć federację tożsamości.
Uwaga
Sposób konfigurowania aprowizacji jest całkowicie oddzielony od konfigurowania uwierzytelniania i dostępu warunkowego dla obszarów roboczych lub kont usługi Azure Databricks. Uwierzytelnianie dla usługi Azure Databricks jest obsługiwane automatycznie przez identyfikator Entra firmy Microsoft przy użyciu przepływu protokołu OpenID Connect. Możesz skonfigurować dostęp warunkowy, który umożliwia tworzenie reguł wymagających uwierzytelniania wieloskładnikowego lub ograniczenie logowania do sieci lokalnych na poziomie usługi.
Aprowizuj tożsamości na koncie usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft
Możesz zsynchronizować użytkowników i grupy na poziomie konta z dzierżawy identyfikatora Entra firmy Microsoft do usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM.
Ważne
Jeśli masz już łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.
Wymagania
- Konto usługi Azure Databricks musi mieć plan Premium.
- Musisz mieć rolę Administratora aplikacji w chmurze w identyfikatorze Entra firmy Microsoft.
- Konto Microsoft Entra ID musi być kontem wersji Premium, aby aprowizować grupy. Aprowizowanie użytkowników jest dostępne dla dowolnej wersji Microsoft Entra ID.
- Musisz być administratorem konta usługi Azure Databricks.
Uwaga
Aby włączyć konsolę konta i ustanowić pierwszego administratora konta, zobacz Ustanawianie pierwszego administratora konta.
Krok 1. Konfigurowanie usługi Azure Databricks
- Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta usługi Azure Databricks.
- Kliknij pozycję Ustawienia.
- Kliknij pozycję Aprowizowanie użytkowników.
- Kliknij pozycję Skonfiguruj aprowizację użytkowników.
Skopiuj token SCIM i adres URL SCIM konta. Użyjesz ich do skonfigurowania aplikacji Microsoft Entra ID.
Uwaga
Token SCIM jest ograniczony do interfejsu API /api/2.1/accounts/{account_id}/scim/v2/
SCIM konta i nie może służyć do uwierzytelniania w innych interfejsach API REST usługi Databricks.
Krok 2. Konfigurowanie aplikacji dla przedsiębiorstw
Te instrukcje informują, jak utworzyć aplikację dla przedsiębiorstw w witrynie Azure Portal i użyć tej aplikacji do aprowizacji. Jeśli masz istniejącą aplikację dla przedsiębiorstw, możesz ją zmodyfikować, aby zautomatyzować aprowizację SCIM przy użyciu programu Microsoft Graph. Spowoduje to usunięcie potrzeby oddzielnej aplikacji aprowizacji w witrynie Azure Portal.
Wykonaj następujące kroki, aby umożliwić usłudze Microsoft Entra ID synchronizowanie użytkowników i grup z kontem usługi Azure Databricks. Ta konfiguracja jest oddzielona od wszystkich utworzonych konfiguracji w celu synchronizowania użytkowników i grup z obszarami roboczymi.
- W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID Enterprise Applications (Aplikacje dla przedsiębiorstw z identyfikatorem > entra firmy Microsoft).
- Kliknij pozycję + Nowa aplikacja nad listą aplikacji. W obszarze Dodaj z galerii wyszukaj i wybierz pozycję Azure Databricks SCIM Provisioning Connector.
- Wprowadź nazwę aplikacji i kliknij przycisk Dodaj.
- W menu Zarządzaj kliknij pozycję Aprowizowanie.
- Ustaw wartość Tryb aprowizacji na Wartość Automatyczna.
- Ustaw adres URL punktu końcowego interfejsu API SCIM na skopiowany wcześniej adres URL SCIM konta.
- Ustaw token tajny na wygenerowany wcześniej token SCIM usługi Azure Databricks.
- Kliknij pozycję Testuj połączenie i poczekaj na komunikat z potwierdzeniem, że poświadczenia są autoryzowane w celu włączenia aprowizacji.
- Kliknij przycisk Zapisz.
Krok 3. Przypisywanie użytkowników i grup do aplikacji
Użytkownicy i grupy przypisane do aplikacji SCIM zostaną aprowizowani na koncie usługi Azure Databricks. Jeśli masz istniejące obszary robocze usługi Azure Databricks, usługa Databricks zaleca dodanie wszystkich istniejących użytkowników i grup w tych obszarach roboczych do aplikacji SCIM.
Uwaga
Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji jednostek usługi w usłudze Azure Databricks. Jednostki usługi można dodać na koncie usługi Azure Databricks, postępując zgodnie z instrukcjami Zarządzania jednostkami usługi na koncie.
Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji zagnieżdżonych grup w usłudze Azure Databricks. Identyfikator Entra firmy Microsoft może odczytywać i aprowizować tylko użytkowników, którzy są bezpośrednimi członkami jawnie przypisanej grupy. Aby obejść ten problem, jawnie przypisz (lub w inny sposób zakres) grupy zawierające użytkowników, którzy muszą być aprowizowani. Aby uzyskać więcej informacji, zobacz często zadawane pytania.
- Przejdź do pozycji Zarządzaj właściwościami>.
- Ustaw opcję Przypisanie wymagane na Nie. Usługa Databricks zaleca tę opcję, która umożliwia wszystkim użytkownikom logowanie się do konta usługi Azure Databricks.
- Przejdź do obszaru Zarządzanie > aprowizowaniem.
- Aby rozpocząć synchronizowanie użytkowników i grup identyfikatorów entra firmy Microsoft z usługą Azure Databricks, ustaw przełącznik Stan aprowizacji na wł.
- Kliknij przycisk Zapisz.
- Przejdź do obszaru Zarządzanie użytkownikami i grupami>.
- Kliknij pozycję Dodaj użytkownika/grupę, wybierz użytkowników i grupy, a następnie kliknij przycisk Przypisz .
- Poczekaj kilka minut i sprawdź, czy użytkownicy i grupy istnieją na koncie usługi Azure Databricks.
Użytkownicy i grupy, które dodasz i przypiszesz, zostaną automatycznie aprowizowani na koncie usługi Azure Databricks, gdy identyfikator Entra firmy Microsoft planuje kolejną synchronizację.
Uwaga
Jeśli usuniesz użytkownika z aplikacji SCIM na poziomie konta, ten użytkownik zostanie zdezaktywowany z konta i z ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona.
Porady dotyczące aprowizacji
- Użytkownicy i grupy, które istniały w obszarze roboczym usługi Azure Databricks przed włączeniem aprowizacji, wykazują następujące zachowanie podczas aprowizacji synchronizacji:
- Są scalane, jeśli istnieją również w identyfikatorze Entra firmy Microsoft
- Są ignorowane, jeśli nie istnieją w identyfikatorze Entra firmy Microsoft
- Przypisane indywidualnie uprawnienia użytkownika, które są zduplikowane przez członkostwo w grupie, pozostają nawet po usunięciu członkostwa w grupie dla użytkownika.
- Użytkownicy usunięci bezpośrednio z obszaru roboczego usługi Azure Databricks przy użyciu strony ustawień administratora obszaru roboczego usługi Azure Databricks:
- Utracą dostęp do tego obszaru roboczego usługi Azure Databricks, ale nadal mogą mieć dostęp do innych obszarów roboczych usługi Azure Databricks.
- Nie zostanie ponownie zsynchronizowana przy użyciu aprowizacji identyfikatora Entra firmy Microsoft, nawet jeśli pozostaną w aplikacji dla przedsiębiorstw.
- Początkowa synchronizacja identyfikatora Entra firmy Microsoft jest wyzwalana natychmiast po włączeniu aprowizacji. Kolejne synchronizacje są wyzwalane co 20–40 minut, w zależności od liczby użytkowników i grup w aplikacji. Zobacz Raport podsumowania aprowizacji w dokumentacji identyfikatora entra firmy Microsoft.
- Nie można zaktualizować nazwy użytkownika ani adresu e-mail użytkownika obszaru roboczego usługi Azure Databricks.
- Grupa
admins
jest grupą zarezerwowaną w usłudze Azure Databricks i nie można jej usunąć. - Interfejs API grup usługi Azure Databricks lub interfejs użytkownika grup można uzyskać listę członków dowolnej grupy obszarów roboczych usługi Azure Databricks.
- Nie można zsynchronizować zagnieżdżonych grup ani jednostek usługi Microsoft Entra ID z aplikacji Łącznik aprowizacji usługi Azure Databricks SCIM. Usługa Databricks zaleca używanie aplikacji dla przedsiębiorstw do synchronizowania użytkowników i grup oraz zarządzania zagnieżdżonych grup i jednostek usług w usłudze Azure Databricks. Można jednak również użyć dostawcy narzędzia Terraform usługi Databricks lub skryptów niestandardowych przeznaczonych dla interfejsu API SCIM usługi Azure Databricks, aby zsynchronizować zagnieżdżone grupy lub jednostki usługi Microsoft Entra ID.
- Aktualizacje nazw grup w identyfikatorze Entra firmy Microsoft nie są synchronizowane z usługą Azure Databricks.
(Opcjonalnie) Automatyzowanie aprowizacji SCIM przy użyciu programu Microsoft Graph
Program Microsoft Graph zawiera biblioteki uwierzytelniania i autoryzacji, które można zintegrować z aplikacją, aby zautomatyzować aprowizowanie użytkowników i grup na koncie lub obszarach roboczych usługi Azure Databricks, zamiast konfigurować aplikację łącznika aprowizacji SCIM.
- Postępuj zgodnie z instrukcjami dotyczącymi rejestrowania aplikacji w programie Microsoft Graph. Zanotuj identyfikator aplikacji i identyfikator dzierżawy dla aplikacji
- Przejdź do strony Przegląd aplikacji. Na tej stronie:
- Skonfiguruj wpis tajny klienta dla aplikacji i zanotuj wpis tajny.
- Przyznaj aplikacji następujące uprawnienia:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
- Poproś administratora entra firmy Microsoft o udzielenie zgody administratora.
- Zaktualizuj kod aplikacji, aby dodać obsługę programu Microsoft Graph.
Rozwiązywanie problemów
Użytkownicy i grupy nie są synchronizowani
- Jeśli używasz aplikacji łącznika aprowizacji SCIM usługi Azure Databricks:
- W konsoli konta sprawdź, czy token SCIM usługi Azure Databricks, który został użyty do skonfigurowania aprowizacji, jest nadal prawidłowy.
- Nie należy próbować synchronizować zagnieżdżonych grup, które nie są obsługiwane przez automatyczną aprowizację identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz często zadawane pytania.
Jednostki usługi Microsoft Entra ID nie są synchronizowane
- Aplikacja łącznika aprowizacji SCIM usługi Azure Databricks nie obsługuje synchronizowania jednostek usługi.
Po początkowej synchronizacji użytkownicy i grupy nie są już synchronizowane
Jeśli używasz aplikacji łącznika aprowizacji SCIM usługi Azure Databricks: po początkowej synchronizacji identyfikator Entra firmy Microsoft nie jest synchronizowany natychmiast po zmianie przypisań użytkowników lub grup. Planuje synchronizację z aplikacją po opóźnieniu na podstawie liczby użytkowników i grup. Aby zażądać natychmiastowej synchronizacji, przejdź do obszaru Zarządzanie > aprowizowaniem aplikacji dla przedsiębiorstw i wybierz pozycję Wyczyść bieżący stan i ponownie uruchom synchronizację.
Zakres adresów IP usługi aprowizacji usługi Microsoft Entra ID jest niedostępny
Usługa aprowizacji identyfikatorów Entra firmy Microsoft działa w określonych zakresach adresów IP. Jeśli musisz ograniczyć dostęp do sieci, musisz zezwolić na ruch z adresów IP dla AzureActiveDirectory
tego pliku zakresu adresów IP. Aby uzyskać więcej informacji, zobacz Zakresy adresów IP.