從 Microsoft Entra ID 同步使用者和群組

本文說明如何設定您的識別提供者 （IdP） 和 Azure Databricks，以使用 SCIM 或 System for Cross-domain Identity Management 將使用者和群組布建至 Azure Databricks，這是一個開放標準，可讓您將使用者布建自動化。

關於 Azure Databricks 中的 SCIM 布建

SCIM 可讓您使用識別提供者 （IdP） 在 Azure Databricks 中建立使用者、給予他們適當的存取層級，並在他們離開您的組織或不再需要存取 Azure Databricks 時移除存取權（取消布建）。

您可以在IdP中使用SCIM布建連接器，或叫 用SCIM群組 API 來管理布建。 您也可以使用這些 API 直接在 Azure Databricks 中管理身分識別，而不需要 IdP。

帳戶層級和工作區層級 SCIM 布建

您可以使用帳戶層級 SCIM 布建，將一個 SCIM 布建連接器從 Microsoft Entra ID 設定至 Azure Databricks 帳戶，或使用工作區層級 SCIM 布建，將個別的 SCIM 布建連接器設定至每個工作區。

• 帳戶層級 SCIM 布建： Databricks 建議您使用帳戶層級 SCIM 布建來建立、更新和刪除帳戶中的所有使用者。 您可以管理將使用者和群組指派給 Azure Databricks 內的工作區。 您必須 啟用工作區，才能讓身分識別同盟 管理使用者的工作區指派。

• 工作區層級 SCIM 布建（舊版和公開預覽）： 針對未啟用 身分識別同盟的工作區，您必須平行管理帳戶層級和工作區層級 SCIM 布建。 您不需要針對已啟用身分識別同盟的任何工作區布建工作區層級 SCIM。

  如果您已經為工作區設定工作區層級 SCIM 布建，Databricks 建議您啟用身分識別同盟的工作區、設定帳戶層級 SCIM 布建，以及關閉工作區層級 SCIM 布建器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級。

需求

若要使用 SCIM 將使用者和群組布建至 Azure Databricks：

• 您的 Azure Databricks 帳戶必須具有 進階版 方案。
• 若要使用 SCIM 將使用者布建至 Azure Databricks 帳戶（包括 SCIM REST API），您必須是 Azure Databricks 帳戶管理員。
• 若要使用 SCIM 將使用者布建至 Azure Databricks 工作區（包括 SCIM REST API），您必須是 Azure Databricks 工作區管理員。

如需系統管理員許可權的詳細資訊，請參閱 管理用戶、服務主體和群組。

帳戶中最多可以有10,000個合併的用戶和服務主體和服務主體和5000個群組。 每個工作區最多可以有10,000個合併的用戶和服務主體和5000個群組。

將身分識別布建至 Azure Databricks 帳戶

您可以使用 SCIM，透過 SCIM 布建連接器，或使用 SCIM API，將使用者和群組從 Microsoft Entra ID 布建至 Azure Databricks 帳戶。

使用 Microsoft Entra ID 將使用者和群組新增至您的 Azure Databricks 帳戶（先前稱為 Azure Active Directory）

您可以使用 SCIM 布建連接器，將帳戶層級身分識別從 Microsoft Entra ID 租使用者同步至 Azure Databricks。

重要

如果您已經有將身分識別直接同步至工作區的 SCIM 連接器，則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級。

如需完整的指示，請參閱 使用 Microsoft Entra ID 將身分識別布建至您的 Azure Databricks 帳戶。

注意

當您從帳戶層級 SCIM 連接器移除使用者時，該使用者會從帳戶和其所有工作區中停用，而不論是否已啟用身分識別同盟。 當您從帳戶層級 SCIM 連接器移除群組時，該群組中的所有用戶都會從帳戶和他們有權存取的任何工作區停用（除非他們是另一個群組的成員，或已直接獲得帳戶層級 SCIM 連接器的存取權）。

使用 SCIM API 將使用者、服務主體和群組新增至您的帳戶

帳戶管理員可以使用帳戶 SCIM API，將使用者、服務主體和群組新增至 Azure Databricks 帳戶。 帳戶管理員會在 accounts.azuredatabricks.net （{account_domain}/api/2.0/accounts/{account_id}/scim/v2/） 上呼叫 API，並使用 SCIM 令牌或 Microsoft Entra ID 令牌進行驗證。

注意

SCIM 令牌僅限於帳戶 SCIM API /api/2.0/accounts/{account_id}/scim/v2/ ，無法用來向其他 Databricks REST API 進行驗證。

若要取得 SCIM 令牌，請執行下列動作：

1. 身為帳戶管理員，登入 帳戶控制台。

2. 在提要欄位中，按兩下 [設定]。

3. 按兩下 [ 使用者布建]。

   如果未啟用布建，請按兩下 [ 啟用使用者布建 ] 並複製令牌。

   如果布建已啟用，請按兩下 [ 重新產生令牌 ] 並複製令牌。

若要使用 Microsoft Entra ID 令牌進行驗證，請參閱 Microsoft Entra ID 服務主體驗證。

工作區管理員可以使用相同的 API 來新增用戶和服務主體。 工作區系統管理員會在工作區網域 {workspace-domain}/api/2.0/account/scim/v2/上呼叫 API。

輪替帳戶層級 SCIM 令牌

如果帳戶層級 SCIM 令牌遭到入侵，或您有定期輪替驗證令牌的商務需求，您可以輪替 SCIM 令牌。

1. 身為 Azure Databricks 帳戶管理員，登入帳戶主控台。
2. 在提要欄位中，按兩下 [設定]。
3. 按兩下 [ 使用者布建]。
4. 按兩下 [ 重新產生令牌]。 記下新的令牌。 先前的令牌會繼續運作 24 小時。
5. 在 24 小時內，更新 SCIM 應用程式以使用新的 SCIM 令牌。

將工作區層級 SCIM 布建移轉至帳戶層級

如果您要啟用帳戶層級 SCIM 布建，而且您已經為某些工作區設定工作區層級 SCIM 布建，Databricks 建議您關閉工作區層級 SCIM 布建工具，而改為將使用者和群組同步至帳戶層級。

1. 在 Microsoft Entra 識別符中建立群組，其中包含您目前使用工作區層級 SCIM 連接器布建至 Azure Databricks 的所有使用者和群組。

   Databricks 建議此群組包含您帳戶中所有工作區中的所有使用者。

2. 使用將身分識別布建至 Azure Databricks 帳戶中的指示，設定新的 SCIM 布建連接器，將使用者和群組布建至您的帳戶。

   使用您在步驟 1 中建立的群組或群組。 如果您新增與現有帳戶使用者共用使用者名稱（電子郵件位址）的使用者，則會合併這些使用者。 帳戶中的現有群組不會受到影響。

3. 確認新的 SCIM 佈建連接器已成功將使用者和群組布建至您的帳戶。

4. 關閉將使用者和群組布建至工作區的舊工作區層級 SCIM 連接器。

   在關閉使用者之前，請勿從工作區層級 SCIM 連接器中移除使用者和群組。 撤銷 SCIM 連接器的存取權會停用 Azure Databricks 工作區中的使用者。 如需詳細資訊，請參閱 停用 Azure Databricks 工作區中的使用者。

5. 將工作區本地組移轉至帳戶群組。

   如果您的工作區中有舊版群組，這些群組稱為 工作區本地組。 您無法使用帳戶層級介面來管理工作區本地組。 Databricks 建議您將它們轉換成帳戶群組。 請參閱 將工作區本地組移轉至帳戶群組

將身分識別布建至 Azure Databricks 工作區（舊版）

重要

這項功能處於公開預覽狀態。

如果您想要使用 IdP 連接器來佈建使用者和群組，而且您有非身分識別同盟的工作區，您必須在工作區層級設定 SCIM 布建。

注意

工作區層級 SCIM 無法辨識指派給身分識別同盟工作區的帳戶群組，如果工作區層級 SCIM API 呼叫涉及帳戶群組，將會失敗。 如果您的工作區已啟用身分識別同盟，Databricks 建議您使用帳戶層級 SCIM API，而不是工作區層級 SCIM API，並設定帳戶層級 SCIM 布建，並關閉工作區層級 SCIM 布建器。 如需詳細指示，請參閱 將工作區層級 SCIM 布建移轉至帳戶層級。

使用 IdP 佈建連接器將使用者和群組新增至工作區

請遵循適當 IdP 特定文章中的指示：

• 使用 Microsoft Entra ID 設定 SCIM 布建（Azure Active Directory）

使用 SCIM API 將使用者、群組和服務主體新增至工作區

工作區管理員可以使用工作區層級 SCIM API，將使用者、群組和服務主體新增至 Azure Databricks 帳戶。 請參閱工作區使用者 API、工作區群組 API 和工作區服務主體 API