Konfigurera SCIM-etablering med Microsoft Entra ID (tidigare Azure Active Directory)

  • Artikel

Den här artikeln beskriver hur du konfigurerar etablering till Azure Databricks med hjälp av Microsoft Entra-ID (tidigare Azure Active Directory).

Du kan konfigurera etablering till Azure Databricks med hjälp av Microsoft Entra-ID på Azure Databricks-kontonivå eller på Azure Databricks-arbetsytenivå.

Databricks rekommenderar att du etablerar användare, tjänstens huvudnamn och grupper på kontonivå och hanterar tilldelningen av användare och grupper till arbetsytor i Azure Databricks. Dina arbetsytor måste vara aktiverade för identitetsfederation för att kunna hantera tilldelningen av användare till arbetsytor. Om du har några arbetsytor som inte är aktiverade för identitetsfederation bör du fortsätta att etablera användare, tjänstens huvudnamn och grupper direkt till dessa arbetsytor.

Kommentar

Sättet som etablering konfigureras på är helt skilt från att konfigurera autentisering och villkorlig åtkomst för Azure Databricks-arbetsytor eller konton. Autentisering för Azure Databricks hanteras automatiskt av Microsoft Entra ID med hjälp av OpenID-Anslut protokollflödet. Du kan konfigurera villkorlig åtkomst, vilket gör att du kan skapa regler för att kräva multifaktorautentisering eller begränsa inloggningar till lokala nätverk på tjänstnivå.

Etablera identiteter till ditt Azure Databricks-konto med hjälp av Microsoft Entra-ID

Du kan synkronisera användare och grupper på kontonivå från din Microsoft Entra ID-klientorganisation till Azure Databricks med hjälp av en SCIM-etableringsanslutning.

Viktigt!

Om du redan har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor måste du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Krav

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Du måste ha rollen Molnprogramadministratör i Microsoft Entra-ID.
  • Ditt Microsoft Entra-ID-konto måste vara ett Premium Edition-konto för att etablera grupper. Etableringsanvändare är tillgängliga för alla Microsoft Entra ID-utgåva.
  • Du måste vara administratör för Azure Databricks-kontot.

Kommentar

Information om hur du aktiverar kontokonsolen och upprättar din första kontoadministratör finns i Upprätta din första kontoadministratör.

Steg 1: Konfigurera Azure Databricks

  1. Som Azure Databricks-kontoadministratör loggar du in på Azure Databricks-kontokonsolen.
  2. Klicka på Användarikon för InställningarInställningar.
  3. Klicka på Användaretablering.
  4. Klicka på Aktivera användaretablering.

Kopiera SCIM-token och KONTOTS SCIM-URL. Du använder dessa för att konfigurera ditt Microsoft Entra-ID-program.

Kommentar

SCIM-token är begränsad till KONTOTS SCIM-API /api/2.0/accounts/{account_id}/scim/v2/ och kan inte användas för att autentisera till andra Databricks REST-API:er.

Steg 2: Konfigurera företagsprogrammet

De här anvisningarna beskriver hur du skapar ett företagsprogram i Azure-portalen och använder det programmet för etablering. Om du har ett befintligt företagsprogram kan du ändra det för att automatisera SCIM-etableringen med hjälp av Microsoft Graph. Detta tar bort behovet av ett separat etableringsprogram i Azure-portalen.

Följ de här stegen för att göra det möjligt för Microsoft Entra-ID att synkronisera användare och grupper till ditt Azure Databricks-konto. Den här konfigurationen är separat från alla konfigurationer som du har skapat för att synkronisera användare och grupper till arbetsytor.

  1. Gå till Microsoft Entra ID > Enterprise-program i Azure-portalen.
  2. Klicka på + Nytt program ovanför programlistan. Under Lägg till från galleriet söker du efter och väljer Azure Databricks SCIM Provisioning Anslut or.
  3. Ange ett namn för programmet och klicka på Lägg till.
  4. Under menyn Hantera klickar du på Etablering.
  5. Ange Etableringsläge till Automatiskt.
  6. Ange SCIM API-slutpunktens URL till den SCIM-URL för kontot som du kopierade tidigare.
  7. Ange hemlig token till den Azure Databricks SCIM-token som du genererade tidigare.
  8. Klicka på Testa Anslut ion och vänta på meddelandet som bekräftar att autentiseringsuppgifterna har behörighet att aktivera etablering.
  9. Klicka på Spara.

Steg 3: Tilldela användare och grupper till programmet

Användare och grupper som tilldelats SCIM-programmet etableras till Azure Databricks-kontot. Om du har befintliga Azure Databricks-arbetsytor rekommenderar Databricks att du lägger till alla befintliga användare och grupper på dessa arbetsytor i SCIM-programmet.

Kommentar

Microsoft Entra-ID stöder inte automatisk etablering av tjänstens huvudnamn till Azure Databricks. Du kan lägga till tjänstens huvudnamn ditt Azure Databricks-konto genom att följa Hantera tjänstens huvudnamn i ditt konto.

Microsoft Entra-ID stöder inte automatisk etablering av kapslade grupper till Azure Databricks. Microsoft Entra-ID kan bara läsa och etablera användare som är omedelbart medlemmar i den uttryckligen tilldelade gruppen. Som en lösning tilldelar du uttryckligen (eller på annat sätt omfång i) de grupper som innehåller de användare som behöver etableras. Mer information finns i vanliga frågor och svar.

  1. Gå till Hantera > egenskaper.
  2. Ange Tilldelning som krävs till Nej. Databricks rekommenderar det här alternativet, som gör att alla användare kan logga in på Azure Databricks-kontot.
  3. Gå till Hantera > etablering.
  4. Om du vill börja synkronisera Microsoft Entra ID-användare och grupper till Azure Databricks ställer du in växlingsknappen Etableringsstatus.
  5. Klicka på Spara.
  6. Gå till Hantera > användare och grupper.
  7. Klicka på Lägg till användare/grupp, välj användare och grupper och klicka på knappen Tilldela .
  8. Vänta några minuter och kontrollera att användare och grupper finns i ditt Azure Databricks-konto.

Användare och grupper som du lägger till och tilldelar etableras automatiskt till Azure Databricks-kontot när Microsoft Entra ID schemalägger nästa synkronisering.

Kommentar

Om du tar bort en användare från SCIM-programmet på kontonivå inaktiveras användaren från kontot och från deras arbetsytor, oavsett om identitetsfederation har aktiverats eller inte.

Etablera identiteter till din Azure Databricks-arbetsyta med microsoft entra-ID (äldre)

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Om du har några arbetsytor som inte är aktiverade för identitetsfederation bör du etablera användare, tjänstens huvudnamn och grupper direkt till dessa arbetsytor. I det här avsnittet beskrivs hur du gör detta.

I följande exempl ersätter du <databricks-instance> med URL för arbetsyta för din Azure Databricks-distribution.

Krav

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Du måste ha rollen Molnprogramadministratör i Microsoft Entra-ID.
  • Ditt Microsoft Entra-ID-konto måste vara ett Premium Edition-konto för att etablera grupper. Etableringsanvändare är tillgängliga för alla Microsoft Entra ID-utgåva.
  • Du måste vara administratör för Azure Databricks-arbetsytan.

Steg 1: Skapa företagsprogrammet och anslut det till Azure Databricks SCIM-API:et

Om du vill konfigurera etablering direkt till Azure Databricks-arbetsytor med hjälp av Microsoft Entra-ID skapar du ett företagsprogram för varje Azure Databricks-arbetsyta.

De här anvisningarna beskriver hur du skapar ett företagsprogram i Azure-portalen och använder det programmet för etablering. Om du har ett befintligt företagsprogram kan du ändra det för att automatisera SCIM-etableringen med hjälp av Microsoft Graph. Detta tar bort behovet av ett separat etableringsprogram i Azure-portalen.

  1. Som arbetsyteadministratör loggar du in på din Azure Databricks-arbetsyta.

  2. Generera en personlig åtkomsttoken och kopiera den. Du anger den här token till Microsoft Entra-ID i ett efterföljande steg.

    Viktigt!

    Generera den här token som en Azure Databricks-arbetsyteadministratör som inte hanteras av Microsoft Entra ID Enterprise-programmet. Om azure Databricks-administratörsanvändaren som äger den personliga åtkomsttoken avetableras med hjälp av Microsoft Entra-ID inaktiveras SCIM-etableringsprogrammet.

  3. Gå till Microsoft Entra ID > Enterprise-program i Azure-portalen.

  4. Klicka på + Nytt program ovanför programlistan. Under Lägg till från galleriet söker du efter och väljer Azure Databricks SCIM Provisioning Anslut or.

  5. Ange ett namn för programmet och klicka på Lägg till. Använd ett namn som hjälper administratörer att hitta det, till exempel <workspace-name>-provisioning.

  6. Under menyn Hantera klickar du på Etablering.

  7. Ange Etableringsläge till Automatiskt.

  8. Ange URL:en för SCIM API-slutpunkten. /api/2.0/preview/scim Lägg till i din arbetsyte-URL:

    https://<databricks-instance>/api/2.0/preview/scim

    Ersätt <databricks-instance> med arbetsytans URL för din Azure Databricks-distribution. Se Hämta identifierare för arbetsyteobjekt.

  9. Ange hemlig token till den personliga åtkomsttoken för Azure Databricks som du genererade i steg 1.

  10. Klicka på Testa Anslut ion och vänta på meddelandet som bekräftar att autentiseringsuppgifterna har behörighet att aktivera etablering.

  11. Du kan också ange ett e-postmeddelande för att ta emot meddelanden om kritiska fel med SCIM-etablering.

  12. Klicka på Spara.

Steg 2: Tilldela användare och grupper till programmet

Kommentar

Microsoft Entra-ID stöder inte automatisk etablering av tjänstens huvudnamn till Azure Databricks. Du kan lägga till tjänstens huvudnamn på din Azure Databricks-arbetsyta genom att följa Hantera tjänstens huvudnamn på din arbetsyta.

Microsoft Entra-ID stöder inte automatisk etablering av kapslade grupper till Azure Databricks. Microsoft Entra-ID kan bara läsa och etablera användare som är omedelbart medlemmar i den uttryckligen tilldelade gruppen. Som en lösning tilldelar du uttryckligen (eller på annat sätt omfång i) de grupper som innehåller de användare som behöver etableras. Mer information finns i vanliga frågor och svar.

  1. Gå till Hantera > egenskaper.
  2. Ställ in Tilldelning som krävsJa. Databricks rekommenderar det här alternativet, som endast synkroniserar användare och grupper som tilldelats till företagsprogrammet.
  3. Gå till Hantera > etablering.
  4. Om du vill börja synkronisera Microsoft Entra ID-användare och grupper till Azure Databricks ställer du in växlingsknappen Etableringsstatus.
  5. Klicka på Spara.
  6. Gå till Hantera > användare och grupper.
  7. Klicka på Lägg till användare/grupp, välj användare och grupper och klicka på knappen Tilldela .
  8. Vänta några minuter och kontrollera att användare och grupper finns i ditt Azure Databricks-konto.

I framtiden etableras användare och grupper som du lägger till och tilldelar automatiskt när Microsoft Entra ID schemalägger nästa synkronisering.

Viktigt!

Tilldela inte den Azure Databricks-arbetsyteadministratör vars personliga åtkomsttoken användes för att konfigurera Azure Databricks SCIM-etablering Anslut eller-programmet.

(Valfritt) Automatisera SCIM-etablering med Microsoft Graph

Microsoft Graph innehåller autentiserings- och auktoriseringsbibliotek som du kan integrera i ditt program för att automatisera etableringen av användare och grupper till ditt Azure Databricks-konto eller dina arbetsytor, i stället för att konfigurera ett SCIM-etableringsanslutningsprogram.

  1. Följ anvisningarna för att registrera ett program med Microsoft Graph. Anteckna program-ID:t och klientorganisations-ID:t för programmet
  2. Gå till programmets översiktssida. På den sidan:
    1. Konfigurera en klienthemlighet för programmet och anteckna hemligheten.
    2. Bevilja programmet följande behörigheter:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Be en Microsoft Entra-ID-administratör att bevilja administratörsmedgivande.
  4. Uppdatera programmets kod för att lägga till stöd för Microsoft Graph.

Etableringstips

  • Användare och grupper som fanns på Azure Databricks-arbetsytan innan etableringen aktiverades uppvisar följande beteende vid etableringssynkronisering:
    • Slås samman om de också finns i Microsoft Entra-ID
    • Ignoreras om de inte finns i Microsoft Entra-ID
  • Användarbehörigheter som tilldelas individuellt och dupliceras via medlemskap i en grupp finns kvar efter att gruppmedlemskapet har tagits bort för användaren.
  • Användare som tagits bort från en Azure Databricks-arbetsyta direkt med hjälp av administratörsinställningarna för Azure Databricks-arbetsytan:
    • Förlora åtkomsten till den Azure Databricks-arbetsytan men kan fortfarande ha åtkomst till andra Azure Databricks-arbetsytor.
    • Kommer inte att synkroniseras igen med microsoft entra-ID-etablering, även om de finns kvar i företagsprogrammet.
  • Den första Microsoft Entra ID-synkroniseringen utlöses omedelbart efter att du har aktiverat etablering. Efterföljande synkroniseringar utlöses var 20–40:e minut, beroende på antalet användare och grupper i programmet. Se Sammanfattningsrapport för etablering i Microsoft Entra ID-dokumentationen.
  • Du kan inte uppdatera användarnamnet eller e-postadressen för en Azure Databricks-arbetsyteanvändare.
  • Gruppen admins är en reserverad grupp i Azure Databricks och kan inte tas bort.
  • Du kan använda AZURE Databricks Groups API eller användargränssnittet grupper för att hämta en lista över medlemmar i valfri Azure Databricks-arbetsytegrupp.
  • Du kan inte synkronisera kapslade grupper eller Microsoft Entra ID-tjänstens huvudnamn från Azure Databricks SCIM Provisioning Anslut eller-programmet. Databricks rekommenderar att du använder företagsprogrammet för att synkronisera användare och grupper och hantera kapslade grupper och tjänstens huvudnamn i Azure Databricks. Du kan dock också använda Databricks Terraform-providern eller anpassade skript som riktar sig mot Azure Databricks SCIM-API:et för att synkronisera kapslade grupper eller Microsoft Entra ID-tjänstens huvudnamn.

Felsökning

Användare och grupper synkroniseras inte

  • Om du använder Azure Databricks SCIM Provisioning Anslut eller-programmet:
    • För etablering på arbetsytenivå: På sidan För administratörsinställningar för Azure Databricks kontrollerar du att Azure Databricks-användaren vars personliga åtkomsttoken används av Azure Databricks SCIM Provisioning Anslut eller-programmet fortfarande är en administratörsanvändare för arbetsytan i Azure Databricks och att token fortfarande är giltig.
    • För etablering på kontonivå: Kontrollera att Azure Databricks SCIM-token som användes för att konfigurera etablering fortfarande är giltig i kontokonsolen.
  • Försök inte synkronisera kapslade grupper som inte stöds av automatisk etablering av Microsoft Entra ID. Mer information finns i vanliga frågor och svar.

Tjänstens huvudnamn för Microsoft Entra-ID synkroniseras inte

  • Azure Databricks SCIM Provisioning Anslut eller-programmet stöder inte synkronisering av tjänstens huvudnamn.

Efter den initiala synkroniseringen slutar användare och grupper att synkronisera

Om du använder Azure Databricks SCIM Provisioning Anslut eller-programmet: Efter den första synkroniseringen synkroniseras inte Microsoft Entra-ID direkt efter att du har ändrat användar- eller grupptilldelningar. Azure Active Directory schemalägger en synkronisering med programmet efter en fördröjning, beroende på antalet användare och grupper. Om du vill begära en omedelbar synkronisering går du till Hantera > etablering för företagsprogrammet och väljer Rensa aktuellt tillstånd och starta om synkroniseringen.

Microsoft Entra ID-etableringstjänstens IP-intervall är inte tillgängligt

Microsoft Entra ID-etableringstjänsten fungerar under specifika IP-intervall. Om du behöver begränsa nätverksåtkomsten måste du tillåta trafik från IP-adresserna för AzureActiveDirectory i den här IP-intervallfilen. Mer information finns i IP-intervall.