Condividi tramite

Configurare il provisioning SCIM usando Microsoft Entra ID (Azure Active Directory)

  • Articolo

Questo articolo descrive come impostare il provisioning per l'account Azure Databricks utilizzando Microsoft Entra ID.

È anche possibile sincronizzare utenti e gruppi da Microsoft Entra ID usando la gestione automatica delle identità (anteprima pubblica). La gestione automatica delle identità non richiede la configurazione di un'applicazione in Microsoft Entra ID. Supporta anche la sincronizzazione dei principali del servizio di Microsoft Entra ID e dei gruppi annidati con Azure Databricks, che non è supportata tramite la fornitura SCIM. Per altre informazioni, vedere Sincronizza automaticamente utenti e gruppi da Microsoft Entra ID.

Nota

Il modo in cui viene configurato il provisioning è completamente separato dalla configurazione dell'autenticazione e dell'accesso condizionale per le aree di lavoro o gli account di Azure Databricks. L'autenticazione per Azure Databricks viene gestita automaticamente da Microsoft Entra ID, usando il flusso del protocollo OpenID Connect. È possibile configurare l'accesso condizionale, che consente di creare regole per richiedere l'autenticazione a più fattori o limitare gli accessi alle reti locali, a livello di servizio.

Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID

È possibile sincronizzare utenti e gruppi a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Si veda Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro al livello di account.

Fabbisogno

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario avere il ruolo Amministratore applicazione cloud in Microsoft Entra ID.
  • L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
  • È necessario essere un amministratore dell'account in Azure Databricks.

Nota

Per abilitare la console dell'account e stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account.

Passaggio 1: Configurare Azure Databricks

  1. Come amministratore dell'account Azure Databricks, accedere alla console dell'account Azure Databricks.
  2. Fare clic su Icona Impostazioni utenteImpostazioni.
  3. Fare clic su Provisioning utenti.
  4. Fare clic su Configurare le impostazioni utente.

Copiare il token SCIM e l'URL SCIM dell'account. Questi verranno usati per configurare l'applicazione Microsoft Entra ID.

Nota

Il token SCIM è limitato all'API /api/2.1/accounts/{account_id}/scim/v2/ SCIM dell'account e non può essere usato per eseguire l'autenticazione ad altre API REST di Databricks.

Passaggio 2: Configurare l'applicazione aziendale

Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning. Se si dispone di un'applicazione aziendale esistente, è possibile modificarla per automatizzare il provisioning SCIM usando Microsoft Graph. In questo modo viene rimossa la necessità di un'applicazione di provisioning separata nel portale di Azure.

Seguire questa procedura per abilitare Microsoft Entra ID per sincronizzare utenti e gruppi con l'account Azure Databricks. Questa configurazione è separata da tutte le configurazioni create per sincronizzare utenti e gruppi con le aree di lavoro.

  1. Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.
  2. Fare clic su + Nuova applicazione sopra l'elenco di applicazioni. In Aggiungi dalla raccolta, cerca e seleziona il connettore di provisioning SCIM di Azure Databricks.
  3. Immettere un nome per l'applicazione e fare clic su Aggiungi.
  4. Scegliere Provisioning dal menu Gestisci.
  5. Impostare la modalità di provisioning su Automatica.
  6. Impostare l'URL dell'endpoint dell'API SCIM all'URL SCIM dell'account che hai copiato in precedenza.
  7. Configura il token SCIM di Azure Databricks che hai generato in precedenza come token segreto .
  8. Fare clic su Test connessione e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.
  9. Fare clic su Salva.

Passaggio 3: Assegnare utenti e gruppi all'applicazione

Verrà eseguito il provisioning di utenti e gruppi assegnati all'applicazione SCIM nell'account Azure Databricks. Se sono presenti aree di lavoro di Azure Databricks, Databricks consiglia di aggiungere tutti gli utenti e i gruppi esistenti in tali aree di lavoro all'applicazione SCIM.

Nota

Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'account Azure Databricks seguendo le istruzioni per gestire le entità servizio nell'account.

Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.

  1. Passare a Gestisci > proprietà.
  2. Impostare Assegnazione obbligatoria su Nessuna. Databricks consiglia questa opzione, che consente a tutti gli utenti di accedere all'account Azure Databricks.
  3. Passare a Gestisci > provisioning.
  4. Per iniziare a sincronizzare gli utenti e i gruppi di Microsoft Entra ID in Azure Databricks, impostare l'interruttore Stato del provisioning su .
  5. Fare clic su Salva.
  6. Passare a Gestisci > utenti e gruppi.
  7. Fare clic su Aggiungi utente/gruppo, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna.
  8. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.

Utenti e gruppi che aggiungi e assegni verranno automaticamente configurati per l'account Azure Databricks quando Microsoft Entra ID pianifica la sincronizzazione successiva.

Nota

Se si rimuove un utente dall'applicazione SCIM a livello di account, tale utente viene disattivato dall'account e dalle rispettive aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità.

Suggerimenti per il provisioning

  • Gli utenti e i gruppi esistenti nell'account Azure Databricks prima di abilitare il provisioning mostrano il comportamento seguente al momento della sincronizzazione del provisioning:
    • Gli utenti e i gruppi vengono uniti se esistono anche in Microsoft Entra ID.
    • Gli utenti e i gruppi vengono ignorati se non esistono in Microsoft Entra ID. Gli utenti che non esistono in Microsoft Entra ID non possono accedere ad Azure Databricks.
  • Le autorizzazioni utente assegnate singolarmente duplicate dall'appartenenza a un gruppo rimangono anche dopo la rimozione dell'appartenenza al gruppo per l'utente.
  • La rimozione diretta degli utenti da un account Azure Databricks tramite la console dell'account ha gli effetti seguenti:
    • L'utente rimosso perde l'accesso all'account Azure Databricks e a tutte le aree di lavoro nell'account.
    • L'utente rimosso non verrà sincronizzato di nuovo usando il provisioning di Microsoft Entra ID, anche se rimangono nell'applicazione aziendale.
  • La sincronizzazione iniziale di Microsoft Entra ID viene attivata immediatamente dopo l'abilitazione del provisioning. Le sincronizzazioni successive vengono attivate ogni 20-40 minuti, a seconda del numero di utenti e gruppi nell'applicazione. Vedere Report di riepilogo del provisioning nella documentazione di Microsoft Entra ID.
  • Non è possibile aggiornare l'indirizzo di posta elettronica di un utente di Azure Databricks.
  • Non è possibile sincronizzare gruppi annidati o i principali del servizio di Microsoft Entra ID dall'applicazione Azure Databricks SCIM Provisioning Connector . Databricks consiglia di usare l'applicazione aziendale per sincronizzare utenti e gruppi e gestire gruppi annidati e entità servizio in Azure Databricks. Tuttavia, è anche possibile usare il provider Databricks Terraform o script personalizzati destinati all'API SCIM di Azure Databricks per sincronizzare i gruppi annidati o i principali del servizio Microsoft Entra ID.
  • Gli aggiornamenti ai nomi dei gruppi in Microsoft Entra ID non vengono sincronizzati in Azure Databricks.
  • I parametri userName e emails.value devono corrispondere. Una mancata corrispondenza può causare la mancata corrispondenza di Azure Databricks che rifiuta le richieste di creazione degli utenti dall'applicazione SCIM Microsoft Entra ID. Per casi come utenti esterni o messaggi di posta elettronica con alias, potrebbe essere necessario modificare il mapping SCIM predefinito dell'applicazione aziendale in modo da usare userPrincipalName anziché mail.

(Facoltativo) Automatizzare il provisioning SCIM con Microsoft Graph

Microsoft Graph include librerie di autenticazione e autorizzazione che è possibile integrare nell'applicazione per automatizzare il provisioning di utenti e gruppi nell'account o nelle aree di lavoro di Azure Databricks, anziché configurare un'applicazione connettore di provisioning SCIM.

  1. Seguire le istruzioni per registrare un'applicazione con Microsoft Graph. Prendere nota dell'ID applicazione e dell'ID tenant per l'applicazione
  2. Passare alla pagina Panoramica delle applicazioni. In tale pagina:
    1. Configurare un segreto client per l'applicazione e prendere nota del segreto.
    2. Concedere all'applicazione queste autorizzazioni:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Chiedere a un amministratore di Microsoft Entra ID di concedere il consenso amministrativo.
  4. Aggiorna il codice dell'applicazione per aggiungere il supporto per Microsoft Graph.

Risoluzione dei problemi

Gli utenti e i gruppi non vengono sincronizzati

  • Se si usa l'applicazione SCIM Provisioning Connector di Azure Databricks:
    • Nella console dell'account verificare che il token SCIM di Azure Databricks usato per configurare il provisioning sia ancora valido.
  • Non tentare di sincronizzare i gruppi annidati, che non sono supportati dal provisioning automatico di Microsoft Entra ID. Per altre informazioni, vedere le domande frequenti.

Le entità servizio Microsoft Entra ID non vengono sincronizzate

  • L'applicazione SCIM Provisioning Connector di Azure Databricks non supporta la sincronizzazione delle entità servizio.

Dopo la sincronizzazione iniziale, gli utenti e i gruppi interrompino la sincronizzazione

Se si usa l'applicazione Azure Databricks SCIM Provisioning Connector: dopo la sincronizzazione iniziale, il Microsoft Entra ID non viene sincronizzato immediatamente dopo la modifica delle assegnazioni di utenti o gruppi. Pianifica una sincronizzazione con l'applicazione dopo un ritardo, in base al numero di utenti e gruppi. Per richiedere una sincronizzazione immediata, andare a Gestisci > Provisioning per l'applicazione aziendale e selezionare Cancella lo stato corrente e riavvia la sincronizzazione.

Intervallo IP del servizio di provisioning di Microsoft Entra ID non accessibile

Il servizio di provisioning microsoft Entra ID opera in intervalli IP specifici. Se è necessario limitare l'accesso alla rete, è necessario consentire il traffico dagli indirizzi IP per AzureActiveDirectory nel file Azure IP Ranges and Service Tags – Public Cloud .If you need to restrict network access, you must allow traffic from the IP addresses for AzureActiveDirectory in the Azure IP Ranges and Service Tags – Public Cloud file. Scarica dal sito di download Microsoft . Per altre informazioni, vedere Intervalli IP.