Automatisches Synchronisieren von Benutzern und Gruppen aus der Microsoft Entra-ID
Wichtig
Dieses Feature befindet sich in der Public Preview. Wenden Sie sich an Ihr Azure Databricks-Kontoteam, um dieser Vorschau beizutreten.
In diesem Artikel wird beschrieben, wie Sie Azure Databricks so konfigurieren, dass Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID mithilfe der automatischen Identitätsverwaltung synchronisiert werden.
Wie werden Benutzer und Gruppen automatisch von microsoft Entra ID synchronisiert?
Sie können Benutzer, Dienstprinzipale und Gruppen aus Microsoft Entra-ID in Azure Databricks hinzufügen, ohne eine Anwendung in microsoft Entra ID mithilfe der automatischen Identitätsverwaltung zu konfigurieren. Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie direkt in Identitätsverbundarbeitsbereichen nach Microsoft Entra-ID-Benutzern, Dienstprinzipalen und Gruppen suchen und sie zu Ihrem Arbeitsbereich hinzufügen. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass alle Änderungen an Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden.
Benutzer, die aus dem Microsoft Entra-ID-Status entfernt wurden, werden in Azure Databricks als Deactivated angezeigt. Deaktivierte Benutzer können sich nicht bei Azure Databricks anmelden oder sich bei Azure Databricks-APIs authentifizieren. Als bewährte Methode für die Sicherheit empfehlen wir, persönliche Zugriffstoken für diese Benutzer zurückzuweisen.
hinzufügen
Benutzer können Dashboards auch für jeden Benutzer, Dienstprinzipal oder jede Gruppe in der Microsoft Entra-ID freigeben. Diese Benutzer werden bei der Anmeldung automatisch zum Azure Databricks-Konto hinzugefügt. Sie werden nicht als Mitglieder zum Arbeitsbereich hinzugefügt, in dem sich das Dashboard befindet. Mitgliedern der Microsoft Entra-ID, die keinen Zugriff auf den Arbeitsbereich haben, erhalten Zugriff auf eine schreibgeschützte Kopie eines Dashboards, das mit eingebetteten Anmeldeinformationen veröffentlicht wurde. Weitere Informationen zur Dashboardfreigabe finden Sie unter Freigeben eines Dashboards.
Die automatische Identitätsverwaltung wird in Nicht-Identitätsverbundarbeitsbereichen nicht unterstützt. Weitere Informationen zum Identitätsverbund finden Sie unter Aktivieren des Identitätsverbunds.
Automatische Identitätsverwaltung im Vergleich zur SCIM-Bereitstellung
Wenn die automatische Identitätsverwaltung aktiviert ist, werden alle Benutzer, Gruppen und Gruppenmitgliedschaften von Microsoft Entra ID mit Azure Databricks synchronisiert, sodass die SCIM-Bereitstellung nicht erforderlich ist. Wenn die SCIM-Unternehmensanwendung parallel ausgeführt wird, verwaltet die SCIM-Anwendung weiterhin Benutzer und Gruppen, die in der Microsoft Entra ID-Unternehmensanwendung konfiguriert sind. Es verwaltet keine Microsoft Entra-ID-Identitäten, die nicht mithilfe von SCIM-Provisoning hinzugefügt wurden.
Databricks empfiehlt die Verwendung der automatischen Identitätsverwaltung. In der folgenden Tabelle werden die Features der automatischen Identitätsverwaltung mit den Features der SCIM-Bereitstellung verglichen.
| Funktionen | Automatische Identitätsverwaltung | SCIM-Bereitstellung |
|---|---|---|
| Synchronisieren von Benutzern | ✓ | ✓ |
| Synchronisieren von Gruppen | ✓ | ✓ (Nur direkte Mitglieder) |
| Verschachtelte Gruppen synchronisieren | ✓ | |
| Synchronisieren von Dienstprinzipalen | ✓ | |
| Konfigurieren und Verwalten der Microsoft Entra ID-Anwendung | ✓ | |
| Erfordert Microsoft Entra ID Premium Edition | ✓ | |
| Erfordert die Rolle "Microsoft Entra ID-Cloudanwendungsadministrator" | ✓ | |
| Erfordert einen Identitätsverbund | ✓ |
Anmerkung
Während der öffentlichen Vorschau werden geschachtelte Gruppen nicht in der Azure Databricks-Benutzeroberfläche aufgeführt. Weitere Informationen finden Sie unter Einschränkungen der Benutzeroberfläche für die automatische Identitätsverwaltung während der öffentlichen Vorschau.
Aktivieren der automatischen Identitätsverwaltung
Um die automatische Identitätsverwaltung zu aktivieren, wenden Sie sich an Ihr Azure Databricks-Kontoteam. Nachdem Ihr Konto aktiviert ist, führen Sie die folgenden Anweisungen aus, um Benutzer, Dienstprinzipale und Gruppen aus der Microsoft Entra-ID hinzuzufügen und zu entfernen:
- Verwalten von Benutzern in Ihrem Konto
- Verwalten von Dienstprinzipalen in Ihrem Konto
- Hinzufügen von Gruppen zu Ihrem Konto mithilfe der Kontokonsole
Wenn die automatische Identitätsverwaltung aktiviert ist, können Kontoadministratoren sie mithilfe der Vorschauseite deaktivieren.
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie in der Seitenleiste auf Vorschauen.
- Schalten Sie Automatische Identitätsverwaltung auf Aus um.
Wenn deaktiviert, verbleiben Benutzer, Dienstprinzipale und zuvor bereitgestellte Gruppen in Azure Databricks, aber nicht mehr mit Microsoft Entra-ID synchronisiert. Sie können diese Benutzer in der Kontokonsole entfernen oder deaktivieren.
Überwachen von Benutzeranmeldungen
Sie können die system.access.audit Tabelle abfragen, um zu überwachen, welche Benutzer sich beim Arbeitsbereich angemeldet haben. Zum Beispiel:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Weitere Informationen zur system.access.audit-Tabelle finden Sie im Tabellenverweis zum Überwachungsprotokollsystem.
Einschränkungen der Benutzeroberfläche für die automatische Identitätsverwaltung während der öffentlichen Vorschau
Benutzerdetailseiten sind in der Benutzeroberfläche des Azure Databricks-Arbeitsbereichs nicht verfügbar, bis sich der Benutzer anmeldet.
Wenn eine benutzende Person einem Arbeitsbereich mithilfe der automatischen Identitätsverwaltung hinzugefügt wird, wird die Quellspalte des Arbeitsbereichs als „Databricks“ anstelle von „Extern“ angezeigt, bis sich die Person anmeldet.
Benutzer, Dienstprinzipale und Gruppendetailseiten sind in der Benutzeroberfläche des Azure Databricks-Arbeitsbereichs nicht verfügbar, wenn sie dem Arbeitsbereich indirekt über die Gruppenmitgliedschaft zugewiesen werden.
Wenn eine benutzende Person, ein Dienstprinzipal oder eine Gruppe mithilfe der automatischen Identitätsverwaltung zu Azure Databricks hinzugefügt und auch zu Azure Databricks oder einer anderen Methode, wie z. B. SCIM-Bereitstellung, hinzugefügt wird, werden sie möglicherweise zweimal aufgeführt, wobei eine der Auflistungen inaktiv erscheint. Der Benutzer ist nicht inaktiv und kann sich in Azure Databricks anmelden.
Anmerkung
In diesem Fall können Sie doppelte Benutzer, Dienstprinzipale und Gruppen zusammenführen, indem Sie ihre externe ID in Azure Databricks bereitstellen. Verwenden Sie die APIs Kontobenutzende-, Kontodienstprinzipal oder Kontogruppen, um den Prinzipal zu aktualisieren, um die Microsoft Entra ID „objectId“ im
externalId-Feld hinzuzufügen.Detailsseiten für untergeordnete Gruppen sind in der Benutzeroberfläche des Azure Databricks-Arbeitsbereichs nicht verfügbar.
Sie können Microsoft Entra ID-Benutzer, Dienstprinzipale und Gruppen nicht direkt über die Kontokonsolen-UI zur Kontokonsole hinzufügen. Microsoft Entra-ID-Identitäten, die Azure Databricks-Arbeitsbereichen hinzugefügt werden, werden dem Konto jedoch automatisch hinzugefügt.