次の方法で共有

Microsoft Entra ID (Azure Active Directory) を使用して SCIM プロビジョニングを構成する

  • [アーティクル]

この記事では、Microsoft Entra ID を使用して Azure Databricks アカウントへのプロビジョニングを set する方法について説明します。

Azure Databricks では、ユーザー、サービス プリンシパル、グループをアカウント レベルにプロビジョニングし、Databricks 内のワークスペースへのユーザーとグループの割り当てを管理するようにお勧めします。 ワークスペースへのユーザーの割り当てを管理するには、ワークスペースの ID フェデレーションが有効になっている必要があります。

Note

プロビジョニングの構成方法は、Azure Databricks のワークスペースまたはアカウントの認証および条件付きアクセスの構成とはまったく異なります。 Azure Databricks の認証は、OpenID Connect プロトコル フローを使って Microsoft Entra ID によって自動的に処理されます。 条件付きアクセスの構成が可能です。これにより、サービス レベルで、多要素認証を要求したり、ローカル ネットワークへのログインを制限したりするルールを作成できます。

Microsoft Entra ID を使用して Azure Databricks アカウントに ID をプロビジョニングする

SCIM プロビジョニング コネクタを使用して、アカウント レベルのユーザーとグループを Microsoft Entra ID テナントから Azure Databricks に sync できます。

重要

ID をワークスペースに直接 sync する SCIM コネクタが既にある場合、アカウント レベルの SCIM コネクタを有効にするときは、これらの SCIM コネクタを無効にする必要があります。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

要件

  • Azure Databricks アカウントに Premium プランが必要です。
  • Microsoft Entra ID でのクラウド アプリケーション管理者ロールが必要です。
  • グループをプロビジョニングするには、Microsoft Entra ID アカウントが Premium エディション アカウントである必要があります。 ユーザーのプロビジョニングは、任意の Microsoft Entra ID エディションで利用できます。
  • Azure Databricks のアカウント管理者である必要があります。

Note

アカウントコンソールを有効にして、最初のアカウント管理者を設置するには、最初のアカウント管理者の設置に関するページを参照してください。

手順 1: Azure Databricks を構成する

  1. Azure Databricks アカウント管理者として、Azure Databricks アカウント コンソールにログインします。
  2. ユーザー設定アイコン[設定] をクリックします。
  3. [ユーザー プロビジョニング] をクリックします。
  4. [ユーザー プロビジョニングの Set アップ] をクリックします。

SCIM トークンとアカウント SCIM URL をコピーします。 これらを使って、Microsoft Entra ID アプリケーションを構成します。

Note

SCIM トークンはアカウント SCIM API /api/2.1/accounts/{account_id}/scim/v2/ に制限されており、他の Databricks REST API への認証には使用できません。

手順 2: エンタープライズ アプリケーションを構成する

この手順では、Azure portal でエンタープライズ アプリケーションを作成し、そのアプリケーションをプロビジョニングに使用する方法について説明します。 既存のエンタープライズ アプリケーションがある場合は、Microsoft Graph を使用して SCIM プロビジョニングを自動化するように変更できます。 これにより、Azure portal で個別のプロビジョニング アプリケーションを使用する必要がなくなります。

Microsoft Entra ID によって Azure Databricks アカウントにユーザーとグループを sync できるようにするには、次の手順に従います。 この構成は、ユーザーとグループをワークスペースに sync するために作成した構成とは別です。

  1. Azure portal で、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
  2. アプリケーション listの上にある [+ 新しいアプリケーション] をクリックします。 ギャラリーの [追加] で、[Azure Databricks SCIM Provisioning Connector] を探して select します。
  3. アプリケーションの [名前] を入力して [追加] をクリックします。
  4. [管理] メニューで [プロビジョニング] をクリックします。
  5. [プロビジョニング モード] を自動にSet します。
  6. [SCIM API エンドポイント URL] を、前にコピーしたアカウント SCIM URL に Set します。
  7. [シークレット トークン] を以前に生成した Azure Databricks SCIM トークンに Set します。
  8. テスト接続 をクリックし、プロビジョニングを有効にする credentials が承認されていることを確認するメッセージが表示されるまで待ちます。
  9. [保存] をクリックします。

手順 3: アプリケーションにユーザーとグループを割り当てる

SCIM アプリケーションに割り当てられたユーザーとグループは、Azure Databricks アカウントにプロビジョニングされます。 既存の Azure Databricks ワークスペースがある場合、Databricks では、それらのワークスペース内のすべての既存のユーザーおよびグループを SCIM アプリケーションに追加することが推奨されます。

Note

Microsoft Entra ID では、Azure Databricks へのサービス プリンシパルの自動プロビジョニングはサポートされていません。 アカウントのサービス プリンシパルの管理 に従って、Azure Databricks アカウントにサービス プリンシパルを追加できます。

Microsoft Entra ID では、入れ子になったグループの Azure Databricks への自動プロビジョニングはサポートされていません。 Microsoft Entra ID では、明示的に割り当てられたグループの直接のメンバーであるユーザーのみを読み取ってプロビジョニングできます。 対処法として、プロビジョニングする必要のあるユーザーを含んだグループを明示的に割り当てます (またはスコープします)。 詳細については、この FAQ を参照してください。

  1. [管理] > [プロパティ] に移動します。
  2. [割り当てが必要][いいえ] に Set します。 Databricks では、すべてのユーザーが Azure Databricks アカウントにサインインできるようにするこのオプションをお勧めします。
  3. [管理] > [プロビジョニング] に移動します。
  4. Microsoft Entra ID のユーザーとグループを Azure Databricks に同期し始めるには、[プロビジョニングの状態] トグルを [オン] に set します。
  5. [保存] をクリックします。
  6. [管理] > [ユーザーとグループ] に移動します。
  7. [ユーザー/グループの追加] をクリックし、 ユーザーとグループを select して、[割り当て] ボタンをクリックします。
  8. 数分待って、そのユーザーとグループがご自分の Azure Databricks アカウントに存在することを確認します。

追加して割り当てたユーザーとグループは、Microsoft Entra ID が次の syncをスケジュールすると、Azure Databricks アカウントに自動的にプロビジョニングされます。

Note

アカウント レベルの SCIM アプリケーションからユーザーを remove した場合、ID フェデレーションが有効になっているかどうかにかかわらず、そのユーザーはアカウントとワークスペースから非アクティブ化されます。

プロビジョニングのヒント

  • プロビジョニングを有効にする前に Azure Databricks アカウントに存在していたユーザーとグループは、syncプロビジョニング時に次の動作を示します。
    • ユーザーとグループは、Microsoft Entra ID にも存在する場合はマージされます。
    • ユーザーとグループは、Microsoft Entra ID に存在しない場合は無視されます。 Microsoft Entra ID に存在しないユーザーは、Azure Databricks にログインできません。
  • グループでのメンバーシップによって複製される個別に割り当てられたユーザーのアクセス許可は、ユーザーのグループ メンバーシップが削除された後も残ります。
  • アカウント コンソールを使用して Azure Databricks アカウントからユーザーを直接削除すると、次の効果があります。
    • 削除されたユーザーは、その Azure Databricks アカウントとアカウント内のすべてのワークスペースにアクセスできなくなります。
    • 削除されたユーザーは、エンタープライズ アプリケーションに残っている場合でも、Microsoft Entra ID プロビジョニングを使用して再び同期されることはありません。
  • 最初の Microsoft Entra ID sync は、プロビジョニングを有効にした直後にトリガーされます。 その後の同期は、アプリケーション内のユーザーとグループの数に応じて、20 分から 40 分ごとにトリガーされます。 Microsoft Entra ID のドキュメントでプロビジョニング概要レポートに関する説明をご覧ください。
  • Azure Databricks ユーザーのメール アドレスを update することはできません。
  • Azure Databricks SCIM Provisioning Connector アプリケーションから、入れ子になったグループまたは Microsoft Entra ID サービス プリンシパルを sync することはできません。 Databricks では、エンタープライズ アプリケーションを使用してユーザーとグループを sync し、Azure Databricks 内で入れ子になったグループとサービス プリンシパルを管理することをお勧めします。 ただし、Databricks Terraform プロバイダー または Azure Databricks SCIM API を対象とするカスタム スクリプトを使用して、入れ子になったグループまたは Microsoft Entra ID サービス プリンシパルを sync することもできます。
  • Microsoft Entra ID のグループ名の更新は、Azure Databricks に sync されません。
  • parametersuserNameemails.value が一致している必要があります。 不一致により、Azure Databricks が Microsoft Entra ID SCIM アプリケーションからのユーザー作成要求を拒否する可能性があります。 外部ユーザーやエイリアス化された電子メールなどの場合は、エンタープライズ アプリケーションの既定の SCIM マッピングを変更して、userPrincipalNameではなくmailを使用することが必要になる場合があります。

(省略可能) Microsoft Graph を使用して SCIM プロビジョニングを自動化する

Microsoft Graph には、SCIM プロビジョニング コネクタ アプリケーションを構成する代わりに、Azure Databricks アカウントまたはワークスペースへのユーザーとグループのプロビジョニングを自動化するためにアプリケーションに統合できる認証および認可のライブラリが含まれています。

  1. Microsoft Graph にアプリケーションを登録する手順に従います。 アプリケーションのアプリケーション IDテナント ID をメモします
  2. アプリケーションの [概要] ページに移動します。 そのページで:
    1. アプリケーションのクライアント シークレットを構成し、シークレットをメモします。
    2. アプリケーションに次のアクセス許可を Grant します。
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Microsoft Entra ID 管理者に、管理者の同意の grant を依頼してください。
  4. アプリケーションのコードを Update して、Microsoft Graph のサポートを追加します

トラブルシューティング

ユーザーとグループが sync しない

  • Azure Databricks SCIM プロビジョニング コネクタ アプリケーションを使用している場合:
    • アカウント コンソールで、プロビジョニングの set に使用された Azure Databricks SCIM トークンがまだ有効であることを確認します。
  • 入れ子になったグループを sync しないでください。このグループは、Microsoft Entra ID の自動プロビジョニングではサポートされていません。 詳細については、この FAQ を参照してください。

Microsoft Entra ID サービス プリンシパルは syncを使用しません

  • Azure Databricks SCIM Provisioning Connector アプリケーションでは、サービス プリンシパルの同期はサポートされていません。

初期 sync後、ユーザーとグループは同期を停止します

Azure Databricks SCIM Provisioning Connector アプリケーションを使用している場合: 最初の sync の後、ユーザーまたはグループの割り当てを変更しても、Microsoft Entra ID はすぐには sync しません。 ユーザーとグループの数に基づいて、遅延後にアプリケーションで sync をスケジュールします。 即時 sync を要求するには、エンタープライズ アプリケーションの [管理] > [プロビジョニング] に移動し、[現在の状態をクリアして同期を再起動する] を select します。

Microsoft Entra ID プロビジョニング サービスの IP 範囲にアクセスできない

Microsoft Entra ID プロビジョニング サービスは、特定の IP 範囲で動作します。 ネットワーク アクセスを制限する必要がある場合は、Azure IP 範囲とサービス タグ - パブリック クラウド ファイル内の AzureActiveDirectory の IP アドレスからのトラフィックを許可する必要があります。 Microsoftのダウンロードサイトからダウンロードしてください。 詳細については、「IP 範囲」を参照してください。