Automatická synchronizace uživatelů a skupin z Microsoft Entra ID
Důležitý
Tato funkce je ve verzi Public Preview. Pokud se chcete připojit k této verzi Preview, obraťte se na tým účtu Azure Databricks.
Tento článek popisuje, jak nakonfigurovat Azure Databricks tak, aby synchronizoval uživatele, instanční objekty a skupiny z ID Microsoft Entra pomocí automatické správy identit.
Jak se uživatelé a skupiny synchronizují automaticky z ID Microsoft Entra?
Do Azure Databricks můžete přidávat uživatele, instanční objekty a skupiny z Microsoft Entra ID bez konfigurace aplikace v Microsoft Entra ID pomocí automatické správy identit. Pokud je povolená automatická správa identit, můžete přímo vyhledávat v federovaných pracovních prostorech identit pro uživatele, instanční objekty a skupiny Microsoft Entra ID a přidávat je do vašeho pracovního prostoru. Databricks používá jako zdroj záznamu ID Microsoft Entra, takže všechny změny členství ve skupinách se v Azure Databricks respektují.
Uživatelé odebraní z Microsoft Entra ID se zobrazují jako Deactivated v Azure Databricks. Deaktivovaní uživatelé se nemůžou přihlásit k Azure Databricks ani se ověřit v rozhraních API Azure Databricks. Jako osvědčený bezpečnostní postup doporučujeme odvolat tyto osobní přístupové tokeny pro dané uživatele.
Uživatelé můžou také sdílet řídicí panely s libovolným uživatelem, instančním objektem nebo skupinou v Microsoft Entra ID. Tito uživatelé se při přihlášení automaticky přidají do účtu Azure Databricks. Nejsou přidáni jako členové do pracovního prostoru, ve kterém je řídicí panel. Členové Microsoft Entra ID, kteří nemají přístup k pracovnímu prostoru, mají udělený přístup k verzi řídicího panelu pouze pro zobrazení, která je publikována s vloženými přihlašovacími údaji. Další informace o sdílení řídicího panelu najdete v tématu Sdílení řídicího panelu.
Automatická správa identit není podporována v federovaných pracovních prostorech bez identity. Další informace o federaci identit najdete v tématu Povolení federace identit.
Automatická správa identit vs. zřizování SCIM
Pokud je povolená automatická správa identit, synchronizují se všichni uživatelé, skupiny a členství ve skupinách z Microsoft Entra ID do Azure Databricks, takže zřizování SCIM není nutné. Pokud necháte podnikovou aplikaci SCIM spuštěnou paralelně, bude aplikace SCIM nadále spravovat uživatele a skupiny nakonfigurované v podnikové aplikaci Microsoft Entra ID. Nespravuje identity Microsoft Entra ID, které nebyly přidány pomocí provisioningu SCIM.
Databricks doporučuje používat automatickou správu identit. Následující tabulka porovnává funkce automatické správy identit s funkcemi zřizování SCIM.
| Funkce | Automatická správa identit | Zřizování SCIM |
|---|---|---|
| Synchronizace uživatelů | ✓ | ✓ |
| Synchronizovat skupiny | ✓ | ✓ (Pouze přímí členové) |
| Synchronizace vnořených skupin | ✓ | |
| Synchronizace servisních identit | ✓ | |
| Konfigurace a správa aplikace Microsoft Entra ID | ✓ | |
| Vyžaduje verzi Microsoft Entra ID Premium. | ✓ | |
| Vyžaduje roli správce cloudových aplikací Microsoft Entra ID. | ✓ | |
| Vyžaduje federaci identit. | ✓ |
Poznámka
Ve verzi Public Preview nejsou vnořené skupiny uvedené v uživatelském rozhraní Azure Databricks. Viz omezení uživatelského rozhraní automatické správy identit během veřejné verze Preview.
Povolení automatické správy identit
Pokud chcete povolit automatickou správu identit, obraťte se na tým účtů Azure Databricks. Po té, co je váš účet povolen, chcete-li přidat a odebrat uživatele, služební principály a skupiny z ID Microsoft Entra, postupujte podle pokynů uvedených níže:
- Spravovat uživatele ve vašem účtu
- Správa principálů služby ve vašem účtu
- Přidání skupin do účtu pomocí konzoly účtu
Pokud je povolená automatická správa identit, můžou ji správci účtu zakázat pomocí stránky Previews.
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Náhledy.
- Přepněte automatickou správu identit na Vypnuto.
Když je tato možnost zakázaná, uživatelé, instanční objekty a skupiny dříve zřízené, zůstanou v Azure Databricks, ale už se nesynchronizují s ID Microsoft Entra. Tyto uživatele můžete odebrat nebo deaktivovat v konzole účtu.
Auditování přihlášení uživatelů
Dotazem na tabulku system.access.audit můžete auditovat, kteří uživatelé se přihlásili k pracovnímu prostoru. Například:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Další informace o tabulce system.access.audit naleznete v tématu Referenční informace o systémové tabulce protokolu auditu.
omezení uživatelského rozhraní automatické správy identit během verze Public Preview
Stránky podrobností uživatelů nejsou v uživatelském rozhraní pracovního prostoru Azure Databricks k dispozici, dokud se uživatel nepřihlásí.
Když se uživatel přidá do pracovního prostoru pomocí automatické správy identit, zobrazí se zdrojový sloupec jako Databricks místo "Externí", dokud se nehlásí.
Uživatelé, služební principály a skupiny a jejich stránky s podrobnostmi nejsou dostupné v uživatelském rozhraní pracovního prostoru Azure Databricks, pokud jsou k pracovnímu prostoru nepřímo přiřazeny prostřednictvím členství ve skupině.
Pokud se uživatel, instanční objekt nebo skupina přidá do Azure Databricks pomocí automatické správy identit a také jiným způsobem, například prostřednictvím zřizování SCIM, mohou být uvedeni dvakrát, přičemž jeden záznam může být zobrazen jako neaktivní. Uživatel není neaktivní a může se přihlásit k Azure Databricks.
Poznámka
V takovém případě můžete sloučit duplicitní uživatele, instanční objekty a skupiny tím, že v Azure Databricks poskytnete jejich externí ID. Pomocí rozhraní Account Users, Account Service Principalsnebo Account Groups API aktualizujte hlavní subjekt tak, abyste přidali jejich objektové ID Microsoft Entra ID do pole
externalId.Stránky s podrobnostmi dětské skupiny nejsou k dispozici v uživatelském rozhraní pracovního prostoru Azure Databricks.
Uživatele, instanční objekty a skupiny Microsoft Entra ID nelze přidat přímo do konzoly účtu pomocí uživatelského rozhraní konzoly účtu. Identity ID Microsoft Entra přidané do pracovních prostorů Azure Databricks se ale automaticky přidají do účtu.