Sdílet prostřednictvím

Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory)

  • Článek

Tento článek popisuje, jak nastavit zřizování pro účet Azure Databricks pomocí ID Microsoft Entra.

Uživatele a skupiny můžete také synchronizovat z ID Microsoft Entra pomocí automatické správy identit (Public Preview). Automatická správa identit nevyžaduje, abyste nakonfigurovali aplikaci v Microsoft Entra ID. Podporuje také synchronizaci služebních účtů a vnořených skupin Microsoft Entra ID do Azure Databricks, což není podporováno při zřizování pomocí SCIM. Další informace naleznete v tématu Synchronizace uživatelů a skupin automaticky z Microsoft Entra ID.

Poznámka:

Způsob konfigurace zřizování je zcela oddělený od konfigurace ověřování a podmíněného přístupu pro pracovní prostory nebo účty Azure Databricks. Ověřování pro Azure Databricks se zpracovává automaticky pomocí ID Microsoft Entra pomocí toku protokolu OpenID Connect. Můžete nakonfigurovat podmíněný přístup, který umožňuje vytvářet pravidla pro vyžadování vícefaktorového ověřování nebo omezení přihlášení k místním sítím na úrovni služby.

Zřízení identit pro účet Azure Databricks pomocí ID Microsoft Entra

Uživatele a skupiny na úrovni účtu můžete synchronizovat z tenanta Microsoft Entra ID do Azure Databricks pomocí zřizovacího konektoru SCIM.

Důležité

Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Požadavky

  • Váš účet Azure Databricks musí mít plán Premium.
  • V Microsoft Entra ID musíte mít roli Správce cloudových aplikací.
  • Abyste mohli zřídit skupiny, musíte mít účet Microsoft Entra ID edice Premium. Zřizování uživatelů je k dispozici pro libovolnou edici Microsoft Entra ID.
  • Musíte být správcem účtu Azure Databricks.

Poznámka:

Pokud chcete povolit konzolu účtu a vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.

Krok 1: Konfigurace Azure Databricks

  1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu Azure Databricks.
  2. Klikněte na Ikona nastavení uživateleNastavení.
  3. Klikněte na Zřizování uživatelů.
  4. Klikněte na Nastavit zřizování uživatelů.

Zkopírujte token SCIM a adresu URL SCIM účtu. Použijete je ke konfiguraci aplikace Microsoft Entra ID.

Poznámka:

Token SCIM je omezen na rozhraní API /api/2.1/accounts/{account_id}/scim/v2/ SCIM účtu a nelze ho použít k ověření v jiných rozhraních DATABricks REST API.

Krok 2: Konfigurace podnikové aplikace

Tyto pokyny vám řeknou, jak vytvořit podnikovou aplikaci na webu Azure Portal a jak ji použít ke zřizování. Pokud máte existující podnikovou aplikaci, můžete ji upravit tak, aby automatizovala zřizování SCIM pomocí Microsoft Graphu. Tím se odebere potřeba samostatné aplikace zřizování na webu Azure Portal.

Postupujte podle těchto kroků k povolení synchronizace uživatelů a skupin s vaším účtem Azure Databricks pomocí Microsoft Entra ID. Tato konfigurace je oddělená od všech konfigurací, které jste vytvořili pro synchronizaci uživatelů a skupin s pracovními prostory.

  1. Na webu Azure Portal přejděte do > Microsoft Entra ID.
  2. Klikněte na + Nová aplikace nad seznamem aplikací. V části Přidat v galerii vyhledejte a vyberte Azure Databricks SCIM konektor pro zřizování.
  3. Zadejte název aplikace a klikněte na Přidat.
  4. V nabídce Spravovat klikněte na Zřizování.
  5. Nastavte režim zřizování na automatický.
  6. Nastavte adresu URL koncového bodu rozhraní API SCIM na adresu URL SCIM účtu, kterou jste si zkopírovali dříve.
  7. Nastavte tajné heslo na token SCIM Azure Databricks, který jste již dříve vytvořili.
  8. Klikněte na Testovací připojení a počkejte na zprávu potvrzující, že přihlašovací údaje jsou autorizovány pro zřizování.
  9. Klikněte na Uložit.

Krok 3: Přiřazení uživatelů a skupin k aplikaci

Uživatelé a skupiny přiřazené k aplikaci SCIM se zřídí pro účet Azure Databricks. Pokud máte existující pracovní prostory Azure Databricks, databricks doporučuje přidat do aplikace SCIM všechny stávající uživatele a skupiny v těchto pracovních prostorech.

Poznámka:

Id Microsoft Entra nepodporuje automatické zřizování instančních objektů do Azure Databricks. Instanční objekty můžete přidat do účtu Azure Databricks podle pokynů ke správě instančních objektů ve vašem účtu.

Microsoft Entra ID nepodporuje automatické zřizování vnořených skupin do Azure Databricks. Id Microsoft Entra může číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Jako alternativní řešení explicitně přiřaďte skupiny, které obsahují uživatele, kteří je potřebují zřídit (nebo v jiném rozsahu). Další informace najdete v těchto nejčastějších dotazech.

  1. Přejděte na Spravovat > vlastnosti.
  2. Nastavte požadované přiřazení na Bez. Databricks doporučuje tuto možnost, která umožňuje všem uživatelům přihlásit se k účtu Azure Databricks.
  3. Přejděte do správy > zřizování.
  4. Pokud chcete začít synchronizovat uživatele a skupiny Microsoft Entra ID do Azure Databricks, nastavte přepínač stavu zřizování na Zapnuto.
  5. Klikněte na Uložit.
  6. Přejděte na Spravovat > uživatele a skupiny.
  7. Klikněte na Přidat uživatele/skupinu, vyberte uživatele a skupiny a klikněte na tlačítko Přiřadit.
  8. Počkejte několik minut a zkontrolujte, jestli ve vašem účtu Azure Databricks existují uživatelé a skupiny.

Uživatelé a skupiny, které přidáte a přiřadíte, budou automaticky nasazeni do účtu Azure Databricks, když Microsoft Entra ID naplánuje další synchronizaci.

Poznámka:

Pokud odeberete uživatele z aplikace SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne.

Tipy pro zřizování

  • Uživatelé a skupiny, které existovaly v účtu Azure Databricks před povolením zřizování, vykazují při zřizování synchronizaci následující chování:
    • Uživatelé a skupiny se sloučí, pokud existují také v MICROSOFT Entra ID.
    • Uživatelé a skupiny se ignorují, pokud v ID Microsoft Entra neexistují. Uživatelé, kteří neexistují v Microsoft Entra ID, se nemůžou přihlásit k Azure Databricks.
  • Individuální přiřazená uživatelská oprávnění, která jsou duplikována členstvím ve skupině, zůstávají i po odebrání členství ve skupině pro uživatele.
  • Přímé odebrání uživatelů z účtu Azure Databricks pomocí konzoly účtu má následující účinky:
    • Odebraný uživatel ztratí přístup k danému účtu Azure Databricks a všem pracovním prostorům v účtu.
    • Odebraný uživatel se znovu nesynchronizuje pomocí zřizování Microsoft Entra ID, i když zůstane v podnikové aplikaci.
  • Počáteční synchronizace ID Microsoft Entra se aktivuje okamžitě po povolení nasazení. Následné synchronizace se aktivují každých 20 až 40 minut v závislosti na počtu uživatelů a skupin v aplikaci. Viz souhrnná sestava zřizování v dokumentaci k Microsoft Entra ID.
  • Nemůžete aktualizovat e-mailovou adresu uživatele Azure Databricks.
  • Nemůžete synchronizovat vnořené skupiny ani služební principy Microsoft Entra ID z aplikace Azure Databricks SCIM Provisioning Connector. Databricks doporučuje používat podnikovou aplikaci k synchronizaci uživatelů a skupin a správě vnořených skupin a instančních objektů v rámci Azure Databricks. Můžete ale také použít poskytovatele Databricks Terraform nebo vlastní skripty, které cílí na rozhraní API SCIM Azure Databricks, k synchronizaci vnořených skupin nebo instančních objektů služby Microsoft Entra ID.
  • Aktualizace názvů skupin v ID Microsoft Entra se nesynchronizují do Azure Databricks.
  • Parametry userName a emails.value se musí shodovat. Neshoda může vést k tomu, že Azure Databricks odmítne žádosti o vytvoření uživatele z aplikace Microsoft Entra ID SCIM. V případech, jako jsou externí uživatelé nebo e-maily s aliasy, možná budete muset změnit výchozí mapování SCIM podnikové aplikace tak, aby se místo toho používalo userPrincipalNamemail.

(Volitelné) Automatizace zřizování SCIM pomocí Microsoft Graphu

Microsoft Graph zahrnuje knihovny ověřování a autorizace, které můžete integrovat do aplikace, abyste mohli automatizovat zřizování uživatelů a skupin pro váš účet nebo pracovní prostory Azure Databricks místo konfigurace aplikace konektoru pro zřizování SCIM.

  1. Postupujte podle pokynů pro registraci aplikace v Microsoft Graphu. Poznamenejte si ID aplikace a ID tenanta pro aplikaci.
  2. Přejděte na stránku Přehled aplikací. Na této stránce:
    1. Nakonfigurujte tajný klíč klienta pro aplikaci a poznamenejte si ho.
    2. Udělte aplikaci tato oprávnění:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Požádejte správce Microsoft Entra ID, aby udělení souhlasu správce.
  4. Aktualizujte kód aplikace tak, aby přidání podpory pro Microsoft Graph.

Řešení problému

Uživatelé a skupiny se nesynchronizují

  • Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector :
    • V konzole účtu ověřte, že token Azure Databricks SCIM použitý k nastavení zřizování je stále platný.
  • Nepokoušejte se synchronizovat vnořené skupiny, které nejsou podporovány automatickým zřizováním ID Microsoft Entra. Další informace najdete v těchto nejčastějších dotazech.

Služební principály Microsoft Entra ID nejsou synchronizované

  • Aplikace konektoru Azure Databricks SCIM Provisioning Connector nepodporuje synchronizaci instančních objektů.

Po počáteční synchronizaci se uživatelé a skupiny přestanou synchronizovat.

Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector: Po počáteční synchronizaci se identita Microsoft Entra nesynchronizuje hned po změně přiřazení uživatele nebo skupiny. Naplánuje synchronizaci s aplikací po prodlevě na základě počtu uživatelů a skupin. Pokud chcete požádat o okamžitou synchronizaci, přejděte na Spravovat > zajištění pro podnikové aplikace a vyberte Vymazat aktuální stav a restartovat synchronizaci.

Rozsah IP adres služby zřizování Microsoft Entra ID není přístupný

Služba zřizování Microsoft Entra ID funguje v rámci konkrétních rozsahů IP adres. Pokud potřebujete omezit přístup k síti, musíte povolit provoz z IP adres pro AzureActiveDirectory v rozsahech IP adres a značkách služeb Azure – soubor veřejného cloudu. Stáhnout z webu Microsoftu pro stahování . Další informace najdete v části Rozsahy IP adres.