Synkronisera användare och grupper från Azure Active Directory

Viktigt

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Den här artikeln beskriver hur du konfigurerar din identitetsprovider (IdP) och Azure Databricks för att etablera användare och grupper till Azure Databricks med hjälp av SCIM eller System for Cross-domain Identity Management, en öppen standard som gör att du kan automatisera användaretablering.

Om SCIM-etablering i Azure Databricks

MED SCIM kan du använda en identitetsprovider (IdP) för att skapa användare i Azure Databricks, ge dem rätt åtkomstnivå och ta bort åtkomst (avetablera dem) när de lämnar organisationen eller inte längre behöver åtkomst till Azure Databricks.

Du kan använda en SCIM-etableringsanslutning i din IdP eller anropa SCIM-API:erna för att hantera etablering. Du kan också använda dessa API:er för att hantera identiteter i Azure Databricks direkt, utan IdP.

SCIM-etablering på kontonivå och arbetsytenivå

Du kan antingen konfigurera en SCIM-etableringsanslutning från Azure Active Directory till ditt Azure Databricks-konto med scim-etablering på kontonivå eller konfigurera separata SCIM-etableringsanslutningsprogram till varje arbetsyta med scim-etablering på arbetsytenivå.

  • SCIM-etablering på kontonivå: Azure Databricks rekommenderar att du använder SCIM-etablering på kontonivå för att skapa, uppdatera och ta bort alla användare från kontot. Du hanterar tilldelningen av användare och grupper till arbetsytor i Databricks. Dina arbetsytor måste vara aktiverade för identitetsfederation för att kunna hantera tilldelningen av användare till arbetsytor.

SCIM-diagram på kontonivå

  • SCIM-etablering på arbetsytenivå: Om ingen av dina arbetsytor är aktiverad för identitetsfederation, eller om du har en blandning av arbetsytor, vissa är aktiverade för identitetsfederation och andra inte, måste du hantera SCIM-etablering på kontonivå och arbetsytenivå parallellt. I ett blandat scenario behöver du inte SCIM-etablering på arbetsytenivå för arbetsytor som är aktiverade för identitetsfederation.

    Om du redan har konfigurerat SCIM-etablering på arbetsytenivå för arbetsytor som du aktiverar för identitetsfederation bör du konfigurera SCIM-etablering på kontonivå och inaktivera SCIM-etablering på arbetsytenivå. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Krav

Så här etablerar du användare och grupper till Azure Databricks med SCIM:

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Om du vill etablera användare till ditt Azure Databricks-konto med SCIM (inklusive SCIM REST-API:er) måste du vara administratör för Azure Databricks-kontot.
  • Om du vill etablera användare till en Azure Databricks-arbetsyta med SCIM (inklusive SCIM REST API:er) måste du vara administratör för Azure Databricks-arbetsytan.

Mer information om administratörsbehörigheter finns i Hantera användare, tjänstens huvudnamn och grupper.

Du kan ha högst 10 000 kombinerade användare och tjänstens huvudnamn och 5 000 grupper i ett konto. Varje arbetsyta kan ha högst 10 000 kombinerade användare och tjänstens huvudnamn och 5 000 grupper.

Anteckning

När du använder SCIM-etablering kan användar- och gruppattribut som lagras i Azure Active Directory åsidosätta ändringar som du gör med hjälp av Azure Databricks-administratörskonsolen, kontokonsolen eller SCIM-API:et (grupper).

Om en användare till exempel har tilldelats behörigheten Tillåt klusterskapande i Azure Active Directory och du tar bort behörigheten med hjälp av Azure Databricks Admin Console, beviljas användaren den behörigheten igen nästa gång IdP synkroniseras med Azure Databricks, om IdP:t har konfigurerats för att etablera den behörigheten. Samma beteende gäller för grupper.

Etablera identiteter till ditt Azure Databricks-konto

Du kan använda SCIM för att etablera användare och grupper från Azure Active Directory till ditt Azure Databricks-konto med hjälp av en SCIM-etableringsanslutning eller direkt med SCIM-API:erna.

Lägga till användare och grupper i ditt Azure Databricks-konto med Azure Active Directory (Azure AD)

Du kan synkronisera identiteter på kontonivå från din Azure Active Directory-klientorganisation (Azure AD) till Azure Databricks med hjälp av en SCIM-etableringsanslutning.

Viktigt

Om du redan har SCIM-anslutningsappar som synkroniserar användare och grupper direkt till dina arbetsytor och dessa arbetsytor är aktiverade för identitetsfederation bör du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Om du har arbetsytor som inte är identitetsbaserade bör du fortsätta att använda eventuella SCIM-anslutningsappar som du har konfigurerat för dessa arbetsytor, som körs parallellt med SCIM-anslutningsappen på kontonivå.

Fullständiga anvisningar finns i Etablera identiteter till ditt Azure Databricks-konto med Azure Active Directory (Azure AD).

Lägga till användare, tjänstens huvudnamn och grupper i ditt konto med hjälp av SCIM-API:et

Kontoadministratörer kan lägga till användare, tjänstens huvudnamn och grupper till Azure Databricks-kontot med hjälp av SCIM-API:et för konton. Kontoadministratörer anropar API:et på accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) och använder en SCIM-token.

Hämta SCIM-token genom att göra följande:

  1. Logga in på Azure Databricks-kontokonsolen som kontoadministratör.

  2. Klicka på Användarinställningar Ikoninställningar.

  3. Klicka på Användaretablering.

    Om etablering inte är aktiverat klickar du på Aktivera användaretablering och kopierar token.

    Om etablering redan är aktiverat klickar du på Återskapa token och kopierar token.

Se SCIM API 2.0 (konton).

Rotera SCIM-token på kontonivå

Om SCIM-token på kontonivå komprometteras eller om du har affärskrav för att rotera autentiseringstoken med jämna mellanrum kan du rotera SCIM-token.

  1. Logga in på Azure Databricks-kontokonsolen som administratör för Azure Databricks-kontot.
  2. Klicka på Användarinställningar Ikoninställningar.
  3. Klicka på Användaretablering.
  4. Klicka på Återskapa token. Anteckna den nya token. Den tidigare token fortsätter att fungera i 24 timmar.
  5. Inom 24 timmar uppdaterar du SCIM-programmet så att det använder den nya SCIM-token.

Etablera identiteter till en Azure Databricks-arbetsyta

Om du vill använda en IdP-anslutningsapp för att etablera användare och grupper, och du har en arbetsyta som inte är identitetsbaserad, måste du konfigurera SCIM-etablering på arbetsytenivå.

Lägga till användare och grupper på din arbetsyta med hjälp av en IdP-etableringsanslutning

Följ anvisningarna i lämplig IdP-specifik artikel:

Lägga till användare, grupper och tjänstens huvudnamn på din arbetsyta med hjälp av SCIM-API:et

Arbetsyteadministratörer kan lägga till användare, grupper och tjänstens huvudnamn i Azure Databricks-kontot med hjälp av SCIM-API:er för arbetsytor. Se SCIM API 2.0.

Migrera SCIM-etablering på arbetsytenivå till kontonivå

Om du redan har konfigurerat SCIM-etablering på arbetsytenivå för arbetsytor som du aktiverar för identitetsfederation bör du konfigurera SCIM-etablering på kontonivå och inaktivera SCIM-etablering på arbetsytenivå.

  1. Skapa en grupp i Azure Active Directory som innehåller alla användare och grupper som du för närvarande etablerar till Azure Databricks med hjälp av SCIM-anslutningsappar på arbetsytenivå.

    Den här gruppen bör innehålla alla användare i alla arbetsytor i ditt konto.

  2. Konfigurera en ny SCIM-etableringsanslutning för att etablera användare och grupper till ditt konto med hjälp av anvisningarna i Etablera identiteter till ditt Azure Databricks-konto.

    Använd gruppen eller grupperna som du skapade i steg 1.

  3. Bekräfta att den nya SCIM-etableringsanslutningsappen etablerar användare och grupper till ditt konto.

  4. Stäng av de gamla SCIM-anslutningsapparna på arbetsytenivå som etablerade användare och grupper till dina arbetsytor.

    Stäng endast av SCIM-anslutningsappar som etablerar användare och grupper till arbetsytor som är aktiverade för identitetsfederation. Behåll etableringsanslutningsapparna i tjänst för alla arbetsytor som inte är aktiverade för identitetsfederation, men se till att alla identiteter som du lägger till med hjälp av anslutningsappen på arbetsytenivå också läggs till med hjälp av anslutningsappen på kontonivå. IdP-grupper kan hjälpa dig att hantera det här parallella etableringsscenariot.

  5. Migrera arbetsytelokala grupper till kontogrupper.

    Om du har befintliga grupper i dina identitetsanslutna arbetsytor kallas de för arbetsytelokala grupper och du kan inte hantera dem med hjälp av gränssnitt på kontonivå. Databricks rekommenderar att du konverterar dem till kontogrupper. Se Migrera arbetsytelokala grupper till kontogrupper

Viktigt

När du tar bort en användare från SCIM-anslutningsappen på kontonivå tas även användaren bort från kontot och alla deras arbetsytor, oavsett om identiteten är federerad eller inte. När du tar bort en grupp från SCIM-anslutningsappen på kontonivå tas alla användare i gruppen bort från kontot och förlorar åtkomst till alla arbetsytor som de har åtkomst till, såvida de inte är medlemmar i en annan grupp eller har beviljats direkt åtkomst till kontot eller arbetsytor. Du bör avstå från att ta bort användare och grupper om du inte vill att de ska förlora åtkomsten till alla arbetsytor i kontot. Tänk på följande konsekvenser av att ta bort användare:

  • Program eller skript som använder token som genereras av användaren kommer inte längre att kunna komma åt Databricks-API:et
  • Jobb som ägs av användaren misslyckas
  • Kluster som ägs av användaren stoppas
  • Frågor eller instrumentpaneler som skapats av användaren och delats med hjälp av autentiseringsuppgifterna Kör som ägare måste tilldelas till en ny ägare för att förhindra att delning misslyckas