Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описано, как настроить поставщика удостоверений (IdP) и Azure Databricks для предоставления пользователям и группам доступа в Azure Databricks с помощью SCIM (System for Cross-domain Identity Management) — открытого стандарта, который позволяет автоматизировать подготовку пользователей.
Вы также можете синхронизировать пользователей и группы из Microsoft Entra ID с помощью автоматического управления идентификацией. Автоматическое управление удостоверениями не требует настройки приложения в Microsoft Entra ID. Она также поддерживает синхронизацию учетных записей служб Microsoft Entra ID и вложенных групп с Azure Databricks, что не поддерживается с помощью подготовки SCIM. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Дополнительные сведения см. в разделе "Автоматическое управление удостоверениями". Сведения о миграции из SCIM в автоматическое управление удостоверениями см. в статье "Миграция на автоматическое управление удостоверениями".
Примечание.
Соединитель SCIM для подготовки учетных записей Microsoft Entra ID недоступен в регионах Azure в Китае.
Сведения о подготовке SCIM в Azure Databricks
SCIM позволяет использовать поставщика удостоверений (IdP) для создания пользователей в Azure Databricks, предоставления им соответствующего уровня доступа и отзыва доступа (выведения их из системы), когда они покидают вашу организацию или им больше не нужен доступ к Azure Databricks.
Вы можете использовать коннектор подготовки учетных записей SCIM в своем IdP или обращаться к SCIM Groups API для управления подготовкой учетных записей. Эти API также можно использовать для управления учетными данными в Azure Databricks напрямую, без IdP.
Подготовка SCIM на уровне учетной записи и рабочей области
Databricks рекомендует использовать SCIM-подготовку на уровне учетной записи для создания, обновления и удаления всех пользователей в учетной записи. Вы управляете назначением пользователей и групп рабочим областям в Azure Databricks. Ваши рабочие области должны быть включены для федерации удостоверений, чтобы управлять назначениями рабочих областей пользователей.
Автоматическая подготовка пользователей SCIM на уровне рабочей области — это устаревшая конфигурация, доступная в рамках общедоступной предварительной версии. Если для рабочей области у вас уже настроена SCIM-подготовка, Databricks рекомендует включить для этой рабочей области федерацию удостоверений, настроить SCIM-подготовку на уровне учетной записи и отключить средство SCIM-подготовки на уровне рабочей области. См. раздел Перенос SCIM-подготовки пользователей с уровня рабочего пространства на уровень учетной записи. Дополнительные сведения о SCIM-подготовке удостоверений на уровне рабочей области см. в статье Подготовка удостоверений в рабочую область Azure Databricks (прежняя версия).
Требования
Чтобы настроить подготовку пользователей и групп в Azure Databricks с помощью SCIM:
- Учетная запись Azure Databricks должна иметь план Premium.
- Вы должны быть администратором учетных записей в Azure Databricks.
Учетная запись может содержать максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп. В каждой рабочей области может быть максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп.
Синхронизация пользователей и групп с учетной записью Azure Databricks
Вы можете синхронизировать объекты идентификации на уровне учетной записи из своего клиента Microsoft Entra ID в Azure Databricks с помощью SCIM-коннектора подготовки.
Внимание
Если у вас уже есть соединители SCIM, которые синхронизируют идентификационные данные непосредственно с рабочими пространствами, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См. раздел Перенос подготовки SCIM с уровня рабочей области на уровень учетной записи.
Полные инструкции см. в статье Настройка подготовки SCIM с помощью Microsoft Entra ID (Azure Active Directory). После настройки SCIM-подготовки на уровне учетной записи Databricks рекомендует предоставить всем пользователям в Microsoft Entra ID доступ к учетной записи Azure Databricks.
Примечание.
При удалении пользователя из соединителя SCIM на уровне учетной записи этот пользователь деактивирован из учетной записи и всех рабочих областей независимо от того, включена ли федерация удостоверений. При удалении группы из соединителя SCIM уровня учетной записи все пользователи в этой группе деактивируются из учетной записи и из любых рабочих областей, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к соединителю SCIM уровня учетной записи).
Изменить SCIM-токен на уровне учетной записи
Если маркер SCIM на уровне учетной записи скомпрометирован или у вас действуют бизнес-требования для периодической смены маркеров аутентификации, вы можете сменить маркер SCIM.
- Как администратор учетной записи Azure Databricks войдите в консоль учетной записи.
- На боковой панели нажмите кнопку "Безопасность".
- Щелкните "Подготовка пользователей".
- Щелкните Создать токен заново. Запишите новый токен. Предыдущий маркер будет действовать еще 24 часа.
- В течение 24 часов обновите приложение SCIM в Azure AD, чтобы использовать новый маркер SCIM.
Перенести подготовку SCIM с уровня рабочей области на уровень учетной записи
Если вы включаете подготовку SCIM на уровне учетной записи и уже настроили подготовку SCIM на уровне рабочей области для некоторых рабочих областей, Databricks рекомендует отключить средство подготовки SCIM на уровне рабочей области, а вместо этого синхронизировать пользователей и группу с уровнем учетной записи.
Создайте группу в Microsoft Entra ID, в которую входят все пользователи и все группы, которые вы в настоящее время синхронизируете с Azure Databricks с помощью SCIM-коннекторов на уровне рабочей области.
Databricks рекомендует, чтобы в эту группу входили все пользователи из всех рабочих пространств в вашей учетной записи.
Настройте новый коннектор подготовки SCIM для подготовки пользователей и групп в вашу учетную запись, следуя инструкциям в Синхронизация пользователей и групп с вашей учетной записью Azure Databricks.
Используйте группы, созданные в шаге 1. При добавлении пользователя, который использует имя пользователя (адрес электронной почты) с существующим пользователем учетной записи, эти пользователи объединяются. Существующие группы в учетной записи не затрагиваются.
Убедитесь, что новый SCIM-коннектор для подготовки успешно добавляет пользователей и группы в вашу учетную запись.
Отключите старые SCIM-коннекторы на уровне рабочей области, которые создавали пользователей и группы в ваших рабочих областях.
Не удаляйте пользователей и группы из соединителей SCIM на уровне рабочей области перед завершением работы. Отмена доступа из соединителя SCIM деактивирует пользователя в рабочей области Azure Databricks. Дополнительные сведения см. в разделе "Деактивация пользователя".
Перенесите локальные группы рабочей области в группы аккаунта.
Если в ваших рабочих областях есть устаревшие группы, они называются группами, локальными для рабочей области. Нельзя управлять локальными группами рабочей области с помощью интерфейсов уровня учетной записи. Databricks рекомендует преобразовать их в группы учетных записей. См. статью о переносе локальных групп рабочей области в группы учетных записей