Sdílet prostřednictvím

Konfigurace zřizování SCIM pomocí Microsoft Entra ID (Azure Active Directory)

  • Článek

Tento článek popisuje, jak set zřizování účtu Azure Databricks pomocí ID Microsoft Entra.

Databricks doporučuje zřídit uživatele, instanční objekty a skupiny na úrovni účtu a spravovat přiřazení uživatelů a skupin k pracovním prostorům v Rámci Azure Databricks. Aby bylo možné spravovat přiřazení uživatelů k pracovním prostorům, musí být vaše pracovní prostory povolené pro federaci identit.

Poznámka:

Způsob konfigurace zřizování je zcela oddělený od konfigurace ověřování a podmíněného přístupu pro pracovní prostory nebo účty Azure Databricks. Ověřování pro Azure Databricks se zpracovává automaticky pomocí ID Microsoft Entra pomocí toku protokolu OpenID Connect. Můžete nakonfigurovat podmíněný přístup, který umožňuje vytvářet pravidla pro vyžadování vícefaktorového ověřování nebo omezení přihlášení k místním sítím na úrovni služby.

Zřízení identit pro účet Azure Databricks pomocí ID Microsoft Entra

Pomocí konektoru pro zřizování SCIM můžete sync uživatele a skupiny na úrovni účtu z tenanta Microsoft Entra ID do Azure Databricks.

Důležité

Pokud už máte konektory SCIM, které sync identity přímo do vašich pracovních prostorů, musíte tyto konektory SCIM zakázat, jakmile je povolen konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.

Požadavky

  • Váš účet Azure Databricks musí mít plán Premium.
  • V Microsoft Entra ID musíte mít roli Správce cloudových aplikací.
  • Abyste mohli zřídit skupiny, musíte mít účet Microsoft Entra ID edice Premium. Zřizování uživatelů je k dispozici pro libovolnou edici Microsoft Entra ID.
  • Musíte být správcem účtu Azure Databricks.

Poznámka:

Pokud chcete povolit konzolu účtu a vytvořit svého prvního správce účtu, přečtěte si téma Vytvoření prvního správce účtu.

Krok 1: Konfigurace Azure Databricks

  1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu Azure Databricks.
  2. Klikněte na Ikona nastavení uživateleNastavení.
  3. Klikněte na Zřizování uživatelů.
  4. Klikněte na Set pro vytvoření uživatelského zajištění.

Zkopírujte token SCIM a adresu URL SCIM účtu. Použijete je ke konfiguraci aplikace Microsoft Entra ID.

Poznámka:

Token SCIM je omezen na rozhraní API /api/2.1/accounts/{account_id}/scim/v2/ SCIM účtu a nelze ho použít k ověření v jiných rozhraních DATABricks REST API.

Krok 2: Konfigurace podnikové aplikace

Tyto pokyny vám řeknou, jak vytvořit podnikovou aplikaci na webu Azure Portal a jak ji použít ke zřizování. Pokud máte existující podnikovou aplikaci, můžete ji upravit tak, aby automatizovala zřizování SCIM pomocí Microsoft Graphu. Tím se odebere potřeba samostatné aplikace zřizování na webu Azure Portal.

Následujícím postupem povolíte ID Microsoft Entra, aby sync uživatele a skupiny k vašemu účtu Azure Databricks. Tato konfigurace je oddělená od všech konfigurací, které jste vytvořili pro sync uživatele a skupiny do pracovních prostorů.

  1. Na webu Azure Portal přejděte do > Microsoft Entra ID.
  2. Klikněte na + Nová aplikace nad aplikací list. V části Přidat z galerie vyhledejte konektor azure Databricks SCIM Provisioning Connector a select.
  3. Zadejte název aplikace a klikněte na Přidat.
  4. V nabídce Spravovat klikněte na Zřizování.
  5. Set režim zřizování automaticky.
  6. Set adresu URL koncového bodu rozhraní API SCIM přiřaďte k URL účtu SCIM, kterou jste si zkopírovali dříve.
  7. Set tajný token k tokenu SCIM Azure Databricks, který jste vygenerovali dříve.
  8. Klikněte na Testovací připojení a počkejte na zprávu, která potvrdí, že credentials má oprávnění povolit zřizování.
  9. Klikněte na Uložit.

Krok 3: Přiřazení uživatelů a skupin k aplikaci

Uživatelé a skupiny přiřazené k aplikaci SCIM se zřídí pro účet Azure Databricks. Pokud máte existující pracovní prostory Azure Databricks, databricks doporučuje přidat do aplikace SCIM všechny stávající uživatele a skupiny v těchto pracovních prostorech.

Poznámka:

Id Microsoft Entra nepodporuje automatické zřizování instančních objektů do Azure Databricks. Instanční objekty můžete přidat do účtu Azure Databricks podle pokynů ke správě instančních objektů ve vašem účtu.

Microsoft Entra ID nepodporuje automatické zřizování vnořených skupin do Azure Databricks. Id Microsoft Entra může číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Jako alternativní řešení explicitně přiřaďte skupiny, které obsahují uživatele, kteří je potřebují zřídit (nebo v jiném rozsahu). Další informace najdete v těchto nejčastějších dotazech.

  1. Přejděte na Spravovat > vlastnosti.
  2. Set přiřazení je vyžadováno na Ne. Databricks doporučuje tuto možnost, která umožňuje všem uživatelům přihlásit se k účtu Azure Databricks.
  3. Přejděte do správy > zřizování.
  4. Pokud chcete začít synchronizovat uživatele a skupiny Microsoft Entra ID do Azure Databricks, přepněte stav zřizování na Zapnuto.
  5. Klikněte na Uložit.
  6. Přejděte na Spravovat > uživatele a skupiny.
  7. Klikněte na Přidatuživatele nebo skupiny, select uživatele a skupiny a klikněte na tlačítko Přiřadit.
  8. Počkejte několik minut a zkontrolujte, jestli ve vašem účtu Azure Databricks existují uživatelé a skupiny.

Uživatelé a skupiny, které přidáte a přiřadíte, budou automaticky nastaveni pro účet Azure Databricks, když Microsoft Entra ID naplánuje další sync.

Poznámka:

Pokud remove uživatele z aplikace SCIM na úrovni účtu, tento uživatel se deaktivuje z účtu a ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne.

Tipy pro zřizování

  • Uživatelé a skupiny, které existovaly v účtu Azure Databricks před povolením zřizování, vykazují při zřizování syncnásledující chování:
    • Uživatelé a skupiny se sloučí, pokud existují také v MICROSOFT Entra ID.
    • Uživatelé a skupiny se ignorují, pokud v ID Microsoft Entra neexistují. Uživatelé, kteří neexistují v Microsoft Entra ID, se nemůžou přihlásit k Azure Databricks.
  • Individuální přiřazená uživatelská oprávnění, která jsou duplikována členstvím ve skupině, zůstávají i po odebrání členství ve skupině pro uživatele.
  • Přímé odebrání uživatelů z účtu Azure Databricks pomocí konzoly účtu má následující účinky:
    • Odebraný uživatel ztratí přístup k danému účtu Azure Databricks a všem pracovním prostorům v účtu.
    • Odebraný uživatel se znovu nesynchronizuje pomocí zřizování Microsoft Entra ID, i když zůstane v podnikové aplikaci.
  • Počáteční ID Microsoft Entra sync se aktivuje okamžitě po povolení zřizování. Následné synchronizace se aktivují každých 20 až 40 minut v závislosti na počtu uživatelů a skupin v aplikaci. Viz souhrnná sestava zřizování v dokumentaci k Microsoft Entra ID.
  • Nemůžete provést operaci update s e-mailovou adresou uživatele Azure Databricks.
  • Z aplikace konektoru pro zřizování SCIM Azure Databricks není možné sync vnořené skupiny ani instanční objekty Microsoft Entra ID. Databricks doporučuje používat podnikovou aplikaci k sync uživatelům a skupinám a správě vnořených skupin a instančních objektů v rámci Azure Databricks. Můžete ale také použít poskytovatele Databricks Terraform nebo vlastní skripty, které cílí na rozhraní API SCIM Azure Databricks, sync vnořené skupiny nebo instanční objekty Microsoft Entra ID.
  • Aktualizace názvů skupin v ID Microsoft Entra se sync do Azure Databricks.
  • parameters userName a emails.value se musí shodovat. Neshoda může vést k tomu, že Azure Databricks odmítne žádosti o vytvoření uživatele z aplikace Microsoft Entra ID SCIM. V případech, jako jsou externí uživatelé nebo e-maily s aliasy, možná budete muset změnit výchozí mapování SCIM podnikové aplikace tak, aby se místo toho používalo userPrincipalNamemail.

(Volitelné) Automatizace zřizování SCIM pomocí Microsoft Graphu

Microsoft Graph zahrnuje knihovny ověřování a autorizace, které můžete integrovat do aplikace, abyste mohli automatizovat zřizování uživatelů a skupin pro váš účet nebo pracovní prostory Azure Databricks místo konfigurace aplikace konektoru pro zřizování SCIM.

  1. Postupujte podle pokynů pro registraci aplikace v Microsoft Graphu. Poznamenejte si ID aplikace a ID tenanta pro aplikaci.
  2. Přejděte na stránku Přehled aplikací. Na této stránce:
    1. Nakonfigurujte tajný klíč klienta pro aplikaci a poznamenejte si ho.
    2. Grant aplikace tato oprávnění:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Požádejte administrátora Microsoft Entra ID, aby grant udělil souhlas administrátora.
  4. Update Kódu vaší aplikace upravte, aby přidal podporu pro Microsoft Graph.

Řešení problému

Uživatelé a skupiny sync ne-

  • Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector :
    • V konzole účtu ověřte, že token Azure Databricks SCIM použitý k set zřizování je stále platný.
  • Nepokoušejte se o sync vnořené skupiny, které nejsou podporovány automatickým zřizováním v rámci Microsoft Entra ID. Další informace najdete v těchto nejčastějších dotazech.

Služební principály služby Microsoft Entra ID sync

  • Aplikace konektoru Azure Databricks SCIM Provisioning Connector nepodporuje synchronizaci instančních objektů.

Po počátečním syncpřestanou uživatelé a skupiny synchronizovat

Pokud používáte aplikaci Azure Databricks SCIM Provisioning Connector: Po počátečním syncse ID Microsoft Entra sync hned po změně přiřazení uživatelů nebo skupin. Naplánuje sync s aplikací po zpoždění na základě počtu uživatelů a skupin. Pokud chcete požádat o okamžité sync, přejděte na Spravovat > zřizování pro podnikovou aplikaci a selectVymazat aktuální stav a restartovat synchronizační.

Rozsah IP adres služby zřizování Microsoft Entra ID není přístupný

Služba zřizování Microsoft Entra ID funguje v rámci konkrétních rozsahů IP adres. Pokud potřebujete omezit přístup k síti, musíte povolit provoz z IP adres pro AzureActiveDirectory v rozsahech IP adres a značkách služeb Azure – soubor veřejného cloudu. Stáhnout z webu Microsoftu pro stahování . Další informace najdete v části Rozsahy IP adres.