Поделиться через

Синхронизация пользователей и групп из Microsoft Entra ID

  • Статья

В этой статье описывается, как настроить поставщика удостоверений (IdP) и Azure Databricks для подготовки пользователей и групп в Azure Databricks с помощью SCIM (системы для управления междоменных удостоверений) — открытого стандарта, позволяющего автоматизировать подготовку пользователей.

Сведения о подготовке SCIM в Azure Databricks

SCIM позволяет использовать поставщик удостоверений для создания пользователей в Azure Databricks, предоставления им соответствующего уровня доступа и удаления доступа (отмены их подготовки) при выходе из организации или больше не требуется доступ к Azure Databricks.

Соединитель подготовки SCIM можно использовать в idP или вызвать API групп SCIM для управления подготовкой. Эти API также можно использовать для управления удостоверениями в Azure Databricks напрямую без поставщика удостоверений.

Подготовка SCIM на уровне учетной записи и рабочей области

Databricks рекомендует использовать подготовку SCIM на уровне учетной записи для создания, обновления и удаления всех пользователей из учетной записи. Вы управляете назначением пользователей и групп рабочим областям в Azure Databricks. Рабочие области должны быть включены для федерации удостоверений для управления назначениями рабочих областей пользователей.

Схема SCIM на уровне учетной записи

Подготовка SCIM на уровне рабочей области — это устаревшая конфигурация, которая находится в общедоступной предварительной версии. Если у вас уже настроена подготовка SCIM на уровне рабочей области, Databricks рекомендует включить рабочую область для федерации удостоверений, настроить подготовку SCIM на уровне учетной записи и отключить средство подготовки SCIM на уровне рабочей области. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи. Дополнительные сведения о подготовке SCIM на уровне рабочей области см. в статье "Подготовка удостоверений" в рабочей области Azure Databricks (устаревшая версия).

Требования

Для подготовки пользователей и групп в Azure Databricks с использованием SCIM:

  • Учетная запись Azure Databricks должна иметь план Premium.
  • Вы должны быть администратором учетных записей в Azure Databricks.

Учетная запись может содержать максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп. В каждой рабочей области может быть максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп.

Синхронизация пользователей и групп с учетной записью Azure Databricks

Удостоверения уровня учетной записи можно синхронизировать с клиентом Идентификатора Microsoft Entra в Azure Databricks с помощью соединителя подготовки SCIM.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Полные инструкции см. в статье о настройке подготовки SCIM с помощью идентификатора Microsoft Entra (Azure Active Directory). После настройки подготовки SCIM на уровне учетной записи Databricks рекомендует разрешить всем пользователям в идентификаторе Microsoft Entra доступ к учетной записи Azure Databricks. См. раздел "Включить все пользователи идентификатора Microsoft Entra" для доступа к Azure Databricks.

Примечание.

При удалении пользователя из соединителя SCIM на уровне учетной записи этот пользователь деактивирован из учетной записи и всех рабочих областей независимо от того, включена ли федерация удостоверений. При удалении группы из соединителя SCIM уровня учетной записи все пользователи в этой группе деактивируются из учетной записи и из любых рабочих областей, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к соединителю SCIM уровня учетной записи).

Смена маркера SCIM на уровне учетной записи

Если маркер SCIM на уровне учетной записи скомпрометирован или у вас действуют бизнес-требования для периодической смены маркеров аутентификации, вы можете сменить маркер SCIM.

  1. Как администратор учетной записи Azure Databricks войдите в консоль учетной записи.
  2. На боковой панели нажмите кнопку "Параметры".
  3. Щелкните Подготовка пользователей.
  4. Щелкните Повторно создать маркер. Запишите новый маркер. Предыдущий маркер будет действовать еще 24 часа.
  5. В течение 24 часов обновите приложение SCIM в Azure AD, чтобы использовать новый маркер SCIM.

Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи

Если вы включаете подготовку SCIM на уровне учетной записи и уже настроили подготовку SCIM на уровне рабочей области для некоторых рабочих областей, Databricks рекомендует отключить средство подготовки SCIM на уровне рабочей области, а вместо этого синхронизировать пользователей и группу с уровнем учетной записи.

  1. Создайте группу в идентификаторе Microsoft Entra, которая включает всех пользователей и групп, которые вы в настоящее время подготавливаете в Azure Databricks с помощью соединителей SCIM на уровне рабочей области.

    Databricks рекомендует включить всех пользователей во все рабочие области в учетную запись.

  2. Настройте новый соединитель подготовки SCIM для подготовки пользователей и групп к учетной записи, используя инструкции в разделе "Синхронизация пользователей и групп" в учетной записи Azure Databricks.

    Используйте группы, созданные в шаге 1. При добавлении пользователя, который использует имя пользователя (адрес электронной почты) с существующим пользователем учетной записи, эти пользователи объединяются. Существующие группы в учетной записи не затрагиваются.

  3. Убедитесь, что новый соединитель подготовки SCIM успешно подготавливает пользователей и группы для вашей учетной записи.

  4. Завершите работу старых соединителей SCIM на уровне рабочей области, которые подготавливали пользователей и группы для рабочих областей.

    Не удаляйте пользователей и группы из соединителей SCIM на уровне рабочей области перед завершением работы. Отмена доступа из соединителя SCIM деактивирует пользователя в рабочей области Azure Databricks. Дополнительные сведения см. в разделе "Деактивация пользователя" в рабочей области Azure Databricks.

  5. Перенос локальных групп рабочей области в группы учетных записей.

    Если у вас есть устаревшие группы в рабочих областях, они называются локальными группами рабочей области. Нельзя управлять локальными группами рабочей области с помощью интерфейсов уровня учетной записи. Databricks рекомендует преобразовать их в группы учетных записей. См. статью о переносе локальных групп рабочей области в группы учетных записей