次の方法で共有

Microsoft Entra ID (レガシ) を使用してワークスペース レベルの SCIM プロビジョニングの構成

  • [アーティクル]

重要

このドキュメントは廃止され、更新されない可能性があります。 ワークスペース レベルの SCIM プロビジョニングはレガシです。 Databricks は、アカウント レベルの SCIM プロビジョニングを使用することをお勧めします。「Microsoft Entra ID でユーザーとグループの同期」を参照してください。

重要

この機能はパブリック プレビュー段階にあります。

ID フェデレーションが有効になっていないワークスペースがある場合は、それらのワークスペースにユーザー、サービス プリンシパル、グループを引き続き直接プロビジョニングする必要があります。 このセクションでは、これを実行する方法について説明します。

以下の例では、<databricks-instance> を Azure Databricks デプロイのワークスペース URL に置き換えます。

要件

  • Azure Databricks アカウントに Premium プランが必要です。
  • Microsoft Entra ID でのクラウド アプリケーション管理者ロールが必要です。
  • グループをプロビジョニングするには、Microsoft Entra ID アカウントが Premium エディション アカウントである必要があります。 ユーザーのプロビジョニングは、任意の Microsoft Entra ID エディションで利用できます。
  • Azure Databricks ワークスペース管理者である必要があります。

手順 1: エンタープライズ アプリケーションを作成して、それを Azure Databricks SCIM API に接続する

Microsoft Entra ID を使用した Azure Databricks ワークスペースへの直接プロビジョニングを設定するには、Azure Databricks ワークスペースごとにエンタープライズ アプリケーションを作成します。

この手順では、Azure portal でエンタープライズ アプリケーションを作成し、そのアプリケーションをプロビジョニングに使用する方法について説明します。

  1. ワークスペース管理者として、Azure Databricks ワークスペースにログインします。

  2. 個人用アクセス トークンを生成して、コピーします。 後のステップでこのトークンを Microsoft Entra ID に指定します。

    重要

    Microsoft Entra ID エンタープライズ アプリケーションによって管理されて "いない" Azure Databricks ワークスペース管理者として、このトークンを生成します。 個人用アクセス トークンを所有している Azure Databricks 管理者ユーザーが、Microsoft Entra ID を使ってプロビジョニング解除されると、SCIM プロビジョニング アプリケーションは無効になります。

  3. Azure portal で、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。

  4. アプリケーションの一覧の上にある [+ 新しいアプリケーション] をクリックします。 [ギャラリーから追加する] で、Azure Databricks SCIM プロビジョニング コネクタを検索して選択します。

  5. アプリケーションの [名前] を入力して [追加] をクリックします。 管理者が見つけやすい名前を使用します (<workspace-name>-provisioning など)。

  6. [管理] メニューで [プロビジョニング] をクリックします。

  7. [プロビジョニング モード][自動] に設定します。

  8. SCIM API エンドポイント URL を入力します。 ワークスペース URL に /api/2.0/preview/scim を追加します。

    https://<databricks-instance>/api/2.0/preview/scim

    <databricks-instance> を Azure Databricks デプロイのワークスペース URL に置き換えます。 「ワークスペース オブジェクトの識別子を取得する」を参照してください。

  9. [シークレット トークン] を、手順 1 で生成した Azure Databricks 個人用アクセス トークンに設定します。

  10. [テスト接続] をクリックし、プロビジョニングを有効にするための資格情報が承認されたというメッセージが表示されるのを待ちます。

  11. 必要に応じて、SCIM プロビジョニングで重大なエラーの通知を受信する通知メールを入力します。

  12. [保存] をクリックします。

手順 2: アプリケーションにユーザーとグループを割り当てる

Note

Microsoft Entra ID では、Azure Databricks へのサービス プリンシパルの自動プロビジョニングはサポートされていません。 ワークスペースのサービス プリンシパルの管理 に従って、Azure Databricks ワークスペースにサービス プリンシパルを追加できます。

Microsoft Entra ID では、入れ子になったグループの Azure Databricks への自動プロビジョニングはサポートされていません。 Microsoft Entra ID では、明示的に割り当てられたグループの直接のメンバーであるユーザーのみを読み取ってプロビジョニングできます。 対処法として、プロビジョニングする必要のあるユーザーを含んだグループを明示的に割り当てます (またはスコープします)。 詳細については、この FAQ を参照してください。

  1. [管理] > [プロパティ] に移動します。
  2. [割り当てが必要][はい] に設定します。 Databricks は、エンタープライズ アプリケーションに割り当てられているユーザーとグループのみを同期するこのオプションを推奨しています。
  3. [管理] > [プロビジョニング] に移動します。
  4. Microsoft Entra ID のユーザーとグループの Azure Databricks への同期を始めるには、[プロビジョニングの状態] トグルを [On] に設定します。
  5. [保存] をクリックします。
  6. [管理] > [ユーザーとグループ] に移動します。
  7. [ユーザー/グループの追加] をクリックし、ユーザーとグループを選択して、[割り当て] ボタンをクリックします。
  8. 数分待って、そのユーザーとグループがご自分の Azure Databricks アカウントに存在することを確認します。

将来、Microsoft Entra ID で次の同期がスケジュールされるときに、追加して割り当てるユーザーとグループが自動的にプロビジョニングされます。

重要

Azure Databricks SCIM プロビジョニング コネクタ アプリケーションの構成に使用した個人用アクセス トークンを持つ Azure Databricks ワークスペース管理者を割り当てないでください。