共用方式為

從 Microsoft Entra ID 同步使用者和群組

  • 發行項

本文說明如何設定您的識別提供者 (IdP) 和 Azure Databricks,以使用 SCIM 或 System for Cross-domain Identity Management 將使用者和群組布建至 Azure Databricks,這是一個開放標準,可讓您將使用者布建自動化。

關於 Azure Databricks 中的 SCIM 布建

SCIM 可讓您使用IdP在 Azure Databricks 中建立使用者、提供適當的存取層級,並在他們離開組織或不再需要存取 Azure Databricks 時移除存取權(取消布建)。

您可以在IdP中使用SCIM布建連接器,或叫 用SCIM群組 API 來管理布建。 您也可以使用這些 API 直接在 Azure Databricks 中管理身分識別,而不需要 IdP。

帳戶層級和工作區層級 SCIM 布建

Databricks 建議您使用 帳戶層級 SCIM 布建 來建立、更新和刪除帳戶中的所有使用者。 您可以管理將使用者和群組指派給 Azure Databricks 內的工作區。 您必須 啟用工作區,才能讓身分識別同盟 管理使用者的工作區指派。

帳戶層級 SCIM 圖表

工作區層級 SCIM 布建 是公開預覽版的舊版設定。 如果您已經為工作區設定工作區層級 SCIM 布建,Databricks 建議您啟用身分識別同盟的工作區、設定帳戶層級 SCIM 布建,以及關閉工作區層級 SCIM 布建器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級。 如需工作區層級 SCIM 布建的詳細資訊,請參閱將身分識別布建至 Azure Databricks 工作區(舊版)。

需求

若要使用 SCIM 將使用者和群組布建至 Azure Databricks:

  • 您的 Azure Databricks 帳戶必須具有 進階方案
  • 您必須是 Azure Databricks 帳戶管理員。

帳戶中最多可以有10,000個合併的用戶和服務主體和服務主體和5000個群組。 每個工作區最多可以有10,000個合併的用戶和服務主體和5000個群組。

將使用者和群組同步至您的 Azure Databricks 帳戶

您可以使用 SCIM 布建連接器,將帳戶層級身分識別從Microsoft Entra ID 租使用者同步至 Azure Databricks。

重要

如果您已經有將身分識別直接同步至工作區的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級

如需完整的指示,請參閱 使用 Microsoft Entra ID (Azure Active Directory) 設定 SCIM 布建。 設定帳戶層級 SCIM 布建之後,Databricks 建議您允許Microsoft Entra ID 中的所有使用者存取 Azure Databricks 帳戶。 請參閱 啟用所有Microsoft Entra ID 使用者以存取 Azure Databricks

注意

當您從帳戶層級 SCIM 連接器移除使用者時,該使用者會從帳戶和其所有工作區中停用,而不論是否已啟用身分識別同盟。 當您從帳戶層級 SCIM 連接器移除群組時,該群組中的所有用戶都會從帳戶和他們有權存取的任何工作區停用(除非他們是另一個群組的成員,或已直接獲得帳戶層級 SCIM 連接器的存取權)。

輪替帳戶層級 SCIM 令牌

如果帳戶層級 SCIM 令牌遭到入侵,或您有定期輪替驗證令牌的商務需求,您可以輪替 SCIM 令牌。

  1. 身為 Azure Databricks 帳戶管理員,登入帳戶主控台。
  2. 在提要欄位中,按兩下 [ 設定]。
  3. 按兩下 [ 使用者布建]。
  4. 按兩下 [ 重新產生令牌]。 記下新的令牌。 先前的令牌會繼續運作 24 小時。
  5. 在 24 小時內,更新 SCIM 應用程式以使用新的 SCIM 令牌。

將工作區層級 SCIM 布建移轉至帳戶層級

如果您要啟用帳戶層級 SCIM 布建,而且您已經為某些工作區設定工作區層級 SCIM 布建,Databricks 建議您關閉工作區層級 SCIM 布建工具,而改為將使用者和群組同步至帳戶層級。

  1. 在 Microsoft Entra 識別符中建立群組,其中包含您目前使用工作區層級 SCIM 連接器布建至 Azure Databricks 的所有使用者和群組。

    Databricks 建議此群組包含您帳戶中所有工作區中的所有使用者。

  2. 使用將使用者和群組同步至 Azure Databricks 帳戶中的指示,設定新的 SCIM 布建連接器,將使用者和群組布建至您的帳戶。

    使用您在步驟 1 中建立的群組或群組。 如果您新增與現有帳戶使用者共用使用者名稱(電子郵件位址)的使用者,則會合併這些使用者。 帳戶中的現有群組不會受到影響。

  3. 確認新的 SCIM 佈建連接器已成功將使用者和群組布建至您的帳戶。

  4. 關閉將使用者和群組布建至工作區的舊工作區層級 SCIM 連接器。

    在關閉使用者之前,請勿從工作區層級 SCIM 連接器中移除使用者和群組。 撤銷 SCIM 連接器的存取權會停用 Azure Databricks 工作區中的使用者。 如需詳細資訊,請參閱 停用 Azure Databricks 工作區中的使用者。

  5. 將工作區本地組移轉至帳戶群組。

    如果您的工作區中有舊版群組,這些群組稱為 工作區本地組。 您無法使用帳戶層級介面來管理工作區本地組。 Databricks 建議您將它們轉換成帳戶群組。 請參閱 將工作區本地組移轉至帳戶群組