Condividi tramite

Configurare il provisioning SCIM usando Microsoft Entra ID (Azure Active Directory)

  • Articolo

Questo articolo descrive come set il provisioning nell'account Azure Databricks usando Microsoft Entra ID.

Databricks consiglia di effettuare il provisioning di utenti, entità servizio e gruppi a livello di account e gestire l'assegnazione di utenti e gruppi alle aree di lavoro all'interno di Azure Databricks. Le aree di lavoro devono essere abilitate per la federazione delle identità per gestire l'assegnazione degli utenti alle aree di lavoro.

Nota

Il modo in cui viene configurato il provisioning è completamente separato dalla configurazione dell'autenticazione e dell'accesso condizionale per le aree di lavoro o gli account di Azure Databricks. L'autenticazione per Azure Databricks viene gestita automaticamente da Microsoft Entra ID, usando il flusso del protocollo OpenID Connect. È possibile configurare l'accesso condizionale, che consente di creare regole per richiedere l'autenticazione a più fattori o limitare gli accessi alle reti locali, a livello di servizio.

Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID

È possibile sync utenti e gruppi a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sync identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Si veda Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro al livello di account.

Fabbisogno

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario avere il ruolo Amministratore applicazione cloud in Microsoft Entra ID.
  • L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
  • È necessario essere un amministratore dell'account in Azure Databricks.

Nota

Per abilitare la console dell'account e stabilire il primo amministratore dell'account, vedere Stabilire il primo amministratore dell'account.

Passaggio 1: Configurare Azure Databricks

  1. Come amministratore dell'account Azure Databricks, accedere alla console dell'account Azure Databricks.
  2. Fare clic su Icona Impostazioni utenteImpostazioni.
  3. Fare clic su Provisioning utenti.
  4. Fare clic su Set per il provisioning degli utenti.

Copiare il token SCIM e l'URL SCIM dell'account. Questi verranno usati per configurare l'applicazione Microsoft Entra ID.

Nota

Il token SCIM è limitato all'API /api/2.1/accounts/{account_id}/scim/v2/ SCIM dell'account e non può essere usato per eseguire l'autenticazione ad altre API REST di Databricks.

Passaggio 2: Configurare l'applicazione aziendale

Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning. Se si dispone di un'applicazione aziendale esistente, è possibile modificarla per automatizzare il provisioning SCIM usando Microsoft Graph. In questo modo viene rimossa la necessità di un'applicazione di provisioning separata nel portale di Azure.

Seguire questa procedura per abilitare Microsoft Entra ID per sync utenti e gruppi all'account Azure Databricks. Questa configurazione è separata da qualsiasi configurazione che hai creato per sync utenti e gruppi alle aree di lavoro.

  1. Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.
  2. Fare clic su + Nuova applicazione sopra l'applicazione list. In Aggiungi dalla raccolta, è possibile cercare e selectConnettore di provisioning SCIM di Azure Databricks.
  3. Immettere un nome per l'applicazione e fare clic su Aggiungi.
  4. Scegliere Provisioning dal menu Gestisci.
  5. Set Modalità di provisioning Automatica.
  6. Imposta l'URL dell'endpoint dell'API SCIM Set sull'URL SCIM dell'account che hai copiato in precedenza.
  7. Set il token segreto per il token SCIM di Azure Databricks che hai generato in precedenza.
  8. Fare clic su Test connessione e attendere il messaggio che conferma che il credentials è autorizzato ad abilitare il provisioning.
  9. Fare clic su Salva.

Passaggio 3: Assegnare utenti e gruppi all'applicazione

Verrà eseguito il provisioning di utenti e gruppi assegnati all'applicazione SCIM nell'account Azure Databricks. Se sono presenti aree di lavoro di Azure Databricks, Databricks consiglia di aggiungere tutti gli utenti e i gruppi esistenti in tali aree di lavoro all'applicazione SCIM.

Nota

Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'account Azure Databricks seguendo le istruzioni per gestire le entità servizio nell'account.

Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.

  1. Passare a Gestisci > proprietà.
  2. Set Assegnazione richiesta a Nessuna. Databricks consiglia questa opzione, che consente a tutti gli utenti di accedere all'account Azure Databricks.
  3. Passare a Gestisci > provisioning.
  4. Per iniziare a sincronizzare gli utenti e i gruppi di Microsoft Entra ID in Azure Databricks, set l'opzione stato di provisioning su .
  5. Fare clic su Salva.
  6. Passare a Gestisci > utenti e gruppi.
  7. Fare clic su Aggiungi utente/gruppo, selezionare select gli utenti e i gruppi, quindi fare clic sul pulsante Assegna.
  8. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.

Gli utenti e i gruppi aggiunti e assegnati verranno automaticamente forniti nell'account di Azure Databricks quando Microsoft Entra ID pianifica il successivo sync.

Nota

Se si remove un utente dell'applicazione SCIM a livello di account, tale utente viene disattivato dall'account e dalle aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità.

Suggerimenti per il provisioning

  • Gli utenti e i gruppi esistenti nell'account Azure Databricks prima di abilitare il provisioning mostrano il comportamento seguente al momento del provisioning sync:
    • Gli utenti e i gruppi vengono uniti se esistono anche in Microsoft Entra ID.
    • Gli utenti e i gruppi vengono ignorati se non esistono in Microsoft Entra ID. Gli utenti che non esistono in Microsoft Entra ID non possono accedere ad Azure Databricks.
  • Le autorizzazioni utente assegnate singolarmente duplicate dall'appartenenza a un gruppo rimangono anche dopo la rimozione dell'appartenenza al gruppo per l'utente.
  • La rimozione diretta degli utenti da un account Azure Databricks tramite la console dell'account ha gli effetti seguenti:
    • L'utente rimosso perde l'accesso all'account Azure Databricks e a tutte le aree di lavoro nell'account.
    • L'utente rimosso non verrà sincronizzato di nuovo usando il provisioning di Microsoft Entra ID, anche se rimangono nell'applicazione aziendale.
  • L'ID Microsoft Entra iniziale sync viene attivato immediatamente dopo l'abilitazione del provisioning. Le sincronizzazioni successive vengono attivate ogni 20-40 minuti, a seconda del numero di utenti e gruppi nell'applicazione. Vedere Report di riepilogo del provisioning nella documentazione di Microsoft Entra ID.
  • Non è possibile update l'indirizzo di posta elettronica di un utente di Azure Databricks.
  • Non è possibile sync gruppi annidati o principali di servizio di Microsoft Entra ID dall'applicazione del connettore di provisioning SCIM di Azure Databricks. Databricks consiglia di usare l'applicazione aziendale per sync utenti e gruppi e gestire gruppi annidati e le entità servizio principali in Azure Databricks. Tuttavia, è anche possibile usare il provider Databricks Terraform o script personalizzati destinati all'API SCIM di Azure Databricks per sync gruppi annidati o entità servizio Microsoft Entra ID.
  • Gli aggiornamenti ai nomi dei gruppi in Microsoft Entra ID non sync in Azure Databricks.
  • Il parametersuserName e il emails.value devono corrispondere. Una mancata corrispondenza può causare la mancata corrispondenza di Azure Databricks che rifiuta le richieste di creazione degli utenti dall'applicazione SCIM Microsoft Entra ID. Per casi come utenti esterni o messaggi di posta elettronica con alias, potrebbe essere necessario modificare il mapping SCIM predefinito dell'applicazione aziendale in modo da usare userPrincipalName anziché mail.

(Facoltativo) Automatizzare il provisioning SCIM con Microsoft Graph

Microsoft Graph include librerie di autenticazione e autorizzazione che è possibile integrare nell'applicazione per automatizzare il provisioning di utenti e gruppi nell'account o nelle aree di lavoro di Azure Databricks, anziché configurare un'applicazione connettore di provisioning SCIM.

  1. Seguire le istruzioni per registrare un'applicazione con Microsoft Graph. Prendere nota dell'ID applicazione e dell'ID tenant per l'applicazione
  2. Passare alla pagina Panoramica delle applicazioni. In tale pagina:
    1. Configurare un segreto client per l'applicazione e prendere nota del segreto.
    2. Grant l'applicazione queste autorizzazioni:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Chiedere a un amministratore di Microsoft Entra ID di grant richiedere il consenso amministrativo.
  4. Update il codice dell'applicazione per aggiungere il supporto per Microsoft Graph.

Risoluzione dei problemi

Utenti e gruppi non sync

  • Se si usa l'applicazione SCIM Provisioning Connector di Azure Databricks:
    • Nella console dell'account verificare che il token SCIM di Azure Databricks usato per set avviare il provisioning sia ancora valido.
  • Non tentare di utilizzare gruppi annidati per sync, poiché non sono supportati dal provisioning automatico di Microsoft Entra ID. Per altre informazioni, vedere le domande frequenti.

Le entità servizio Microsoft Entra ID non sync

  • L'applicazione SCIM Provisioning Connector di Azure Databricks non supporta la sincronizzazione delle entità servizio.

Dopo l'iniziale sync, gli utenti e i gruppi interrompono di sincronizzarsi.

Se si usa l'applicazione connettore di provisioning SCIM di Azure Databricks: dopo l'iniziale, l'ID Microsoft Entra non immediatamente dopo la modifica delle assegnazioni di utenti o gruppi. Pianifica un sync con l'applicazione dopo un intervallo di tempo, basato sul numero di utenti e gruppi. Per richiedere un syncimmediato, passare a Gestisci > Provisioning per l'applicazione aziendale e selectCancellare lo stato corrente e riavviare la sincronizzazione.

Intervallo IP del servizio di provisioning di Microsoft Entra ID non accessibile

Il servizio di provisioning microsoft Entra ID opera in intervalli IP specifici. Se è necessario limitare l'accesso alla rete, è necessario consentire il traffico dagli indirizzi IP per AzureActiveDirectory nel file Azure IP Ranges and Service Tags – Public Cloud .If you need to restrict network access, you must allow traffic from the IP addresses for AzureActiveDirectory in the Azure IP Ranges and Service Tags – Public Cloud file. Scarica dal sito di download Microsoft . Per altre informazioni, vedere Intervalli IP.