Freigeben über

Konfigurieren der SCIM-Bereitstellung auf Arbeitsbereichsebene mit Microsoft Entra ID (Vorversion)

  • Artikel

Wichtig

Diese Dokumentation wurde eingestellt und wird unter Umständen nicht aktualisiert. Die SCIM-Bereitstellung auf Arbeitsbereichsebene ist Vorversion. Databricks empfiehlt, die SCIM-Bereitstellung auf Kontoebene zu verwenden, siehe Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID.

Wichtig

Dieses Feature befindet sich in der Public Preview.

Wenn Sie über Arbeitsbereiche verfügen, die nicht für den Identitätsverbund aktiviert sind, sollten Sie Benutzer, Dienstprinzipale und Gruppen direkt für diese Arbeitsbereiche bereitstellen. In diesem Abschnitt wird die Vorgehensweise beschrieben.

Ersetzen Sie in den folgenden Beispielen <databricks-instance> durch die Arbeitsbereichs-URL Ihrer Azure Databricks-Bereitstellung.

Anforderungen

  • Ihr Azure Databricks-Konto muss im Premium-Plan enthalten sein.
  • Sie müssen über die Rolle „Cloud-Anwendungsadministrator*in“ in Microsoft Entra ID verfügen.
  • Ihr Microsoft Entra ID-Konto muss ein Premium Edition-Konto sein, um Gruppen bereitzustellen. Die Bereitstellung von Benutzer*innen ist für jede Microsoft Entra ID-Edition verfügbar.
  • Sie müssen ein Azure Databricks-Arbeitsbereichsadministrator sein.

Schritt 1: Erstellen einer Unternehmensanwendung und Herstellen einer Verbindung mit der SCIM-API von Azure Databricks

Um die Bereitstellung direkt für Azure Databricks-Arbeitsbereiche mithilfe von Microsoft Entra ID einzurichten, erstellen Sie eine Unternehmensanwendung für jeden Azure Databricks-Arbeitsbereich.

In dieser Anleitung erfahren Sie, wie Sie eine Unternehmensanwendung im Azure-Portal erstellen und diese Anwendung für die Bereitstellung verwenden.

  1. Melden Sie sich als Arbeitsbereichsadministrator bei Ihrem Azure Databricks-Arbeitsbereich an.

  2. Generieren Sie ein persönliches Zugriffstoken, und kopieren Sie es. Sie stellen dieses Token in einem nachfolgenden Schritt für Microsoft Entra ID zur Verfügung.

    Wichtig

    Generieren Sie dieses Token als Azure Databricks-Arbeitsbereichsadministrator*in, der bzw. die nicht von der Microsoft Entra ID-Unternehmensanwendung verwaltet wird. Wenn die Bereitstellung von Azure Databricks- Administratorbenutzer*innen, die das persönliche Zugriffstoken besitzen, mithilfe von Microsoft Entra ID aufgehoben wird, wird die SCIM-Bereitstellungsanwendung deaktiviert.

  3. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen.

  4. Klicken Sie oberhalb der Anwendungsliste auf + Neue Anwendung. Suchen Sie unter Aus Katalog hinzufügen nach dem SCIM-Bereitstellungsconnector für Azure Databricks, und wählen Sie ihn aus.

  5. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf Hinzufügen. Verwenden Sie einen Namen, den Administratoren leicht finden können, z. B. <workspace-name>-provisioning.

  6. Klicken Sie im Menü Verwalten auf Bereitstellung.

  7. Legen Sie Bereitstellungsmodus auf Automatisch fest.

  8. Geben Sie die URL des SCIM-API-Endpunkts ein. Fügen Sie /api/2.0/preview/scim Ihrer Arbeitsbereichs-URL an:

    https://<databricks-instance>/api/2.0/preview/scim

    Ersetzen Sie <databricks-instance> durch die Arbeitsbereichs-URL Ihrer Azure Databricks-Bereitstellung. Weitere Informationen finden Sie unter Abrufen von Bezeichnern für Arbeitsbereichsobjekte.

  9. Legen Sie für Geheimes Token das persönliche Zugriffstoken für Azure Databricks fest, das Sie in Schritt 1 generiert haben.

  10. Klicken Sie auf Verbindung testen, und warten Sie auf die Meldung, die bestätigt, dass die Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind.

  11. Geben Sie optional eine Benachrichtigungs-E-Mail ein, um Benachrichtigungen zu kritischen Fehlern bei der SCIM-Bereitstellung zu erhalten.

  12. Klicken Sie auf Speichern.

Schritt 2: Zuweisen von Benutzern und Gruppen zur Anwendung

Hinweis

Microsoft Entra ID unterstützt nicht die automatische Bereitstellung von Dienstprinzipalen für Azure Databricks. Befolgen Sie die Anleitung unter Verwalten von Dienstprinzipalen zu Ihrem Arbeitsbereich, um Ihrem Azure Databricks-Arbeitsbereich Dienstprinzipale hinzufügen.

Microsoft Entra ID unterstützt die automatische Bereitstellung von geschachtelten Gruppen für Azure Databricks nicht. Microsoft Entra ID kann nur Benutzer*innen lesen und bereitstellen, die direkte Mitglieder der explizit zugewiesenen Gruppe sind. Weisen Sie als Problemumgehung die Gruppen, die die bereitzustellenden Benutzer enthalten, explizit zu (oder beziehen Sie sie auf andere Weise ein). Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

  1. Wechseln Sie zu Verwalten von > Eigenschaften.
  2. Legen Sie Zuweisung erforderlich auf Ja fest. Databricks empfiehlt diese Option, bei der nur Benutzer und Gruppen synchronisiert werden, die der Unternehmensanwendung zugewiesen sind.
  3. Navigieren Sie zu Verwalten > Bereitstellung.
  4. Um mit der Synchronisierung von Microsoft Entra-ID-Benutzern und -Gruppen mit Azure Databricks zu beginnen, legen Sie den Bereitstellungsstatus fest, und schalten Sie auf Anum.
  5. Klicken Sie auf Speichern.
  6. Navigieren Sie zu Verwalten > Benutzer und Gruppen.
  7. Klicken Sie auf Benutze/Gruppe hinzufügen, wählen Sie die Benutzer und Gruppen aus, und klicken Sie auf die Schaltfläche Zuweisen.
  8. Warten Sie einige Minuten, und überprüfen Sie, ob die Benutzer und Gruppen in Ihrem Azure Databricks-Konto vorhanden sind.

In Zukunft werden Benutzer*innen und Gruppen, die Sie hinzufügen und zuweisen, automatisch bereitgestellt, wenn Microsoft Entra ID die nächste Synchronisierung plant.

Wichtig

Weisen Sie nicht den Azure Databricks-Arbeitsbereichsadministrator zu, dessen persönliches Zugriffstoken zum Konfigurieren der Anwendung SCIM-Bereitstellungsconnector für Azure Databricks verwendet wurde.