Microsoft Entra ID에서 자동으로 사용자 및 그룹 동기화
중요하다
이 기능은 공개 프리뷰입니다. 이 미리 보기에 참가하려면 Azure Databricks 계정 팀에 문의하세요.
이 문서에서는 자동 ID 관리를 사용하여 Microsoft Entra ID의 사용자, 서비스 주체 및 그룹을 동기화하도록 Azure Databricks를 구성하는 방법을 설명합니다.
사용자 및 그룹은 Microsoft Entra ID에서 자동으로 동기화하는 방법
자동 ID 관리를 사용하여 Microsoft Entra ID에서 애플리케이션을 구성하지 않고도 Microsoft Entra ID의 사용자, 서비스 주체 및 그룹을 Azure Databricks에 추가할 수 있습니다. 자동 ID 관리를 사용하도록 설정하면 Microsoft Entra ID 사용자, 서비스 주체 및 그룹에 대한 ID 페더레이션 작업 영역에서 직접 검색하여 작업 영역에 추가할 수 있습니다. Databricks는 Microsoft Entra ID를 레코드 원본으로 사용하므로 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다.
Microsoft Entra ID에서 제거된 사용자는 Azure Databricks에 Deactivated로 표시됩니다. 비활성화된 사용자는 Azure Databricks에 로그인하거나 Azure Databricks API에 인증할 수 없습니다. 보안 모범 사례로 해당 사용자에 대한 개인 액세스 토큰을 해지하는 것이 좋습니다.
MS Entra ID 그룹 추가
사용자는 Microsoft Entra ID의 모든 사용자, 서비스 주체 또는 그룹과 대시보드를 공유할 수도 있습니다. 이러한 사용자는 로그인 시 Azure Databricks 계정에 자동으로 추가됩니다. 대시보드가 있는 작업 영역에 멤버로 추가되지 않습니다. 작업 영역에 액세스할 수 없는 Microsoft Entra ID의 구성원에게 포함된 자격 증명으로 게시된 대시보드의 보기 전용 복사본에 대한 액세스 권한이 부여됩니다. 대시보드 공유에 대한 자세한 내용은 대시보드 공유을 참조하세요.
비 ID 페더레이션 작업 영역에서는 자동 ID 관리가 지원되지 않습니다. ID 페더레이션에 대한 자세한 내용은 ID 페더레이션 사용참조하세요.
자동 ID 관리 및 SCIM 프로비전
자동 ID 관리를 사용하도록 설정하면 모든 사용자, 그룹 및 그룹 멤버 자격이 Microsoft Entra ID에서 Azure Databricks로 동기화되므로 SCIM 프로비저닝이 필요하지 않습니다. SCIM 엔터프라이즈 애플리케이션을 병렬로 계속 실행하는 경우 SCIM 애플리케이션은 Microsoft Entra ID 엔터프라이즈 애플리케이션에 구성된 사용자 및 그룹을 계속 관리합니다. SCIM 프로비저닝을 사용하여 추가되지 않은 Microsoft Entra ID ID는 관리하지 않습니다.
Databricks는 자동 ID 관리를 사용하는 것이 좋습니다. 아래 표에서는 자동 ID 관리의 기능과 SCIM 프로비전의 기능을 비교합니다.
| 기능 | 자동 ID 관리 | SCIM 프로비저닝 |
|---|---|---|
| 사용자 동기화 | ✓ | ✓ |
| 동기화 그룹 | ✓ | ✓ (직접 멤버만 해당) |
| 중첩된 그룹 동기화 | ✓ | |
| 서비스 주체 동기화 | ✓ | |
| Microsoft Entra ID 애플리케이션 구성 및 관리 | ✓ | |
| Microsoft Entra ID Premium Edition 필요 | ✓ | |
| Microsoft Entra ID 클라우드 애플리케이션 관리자 역할이 필요합니다. | ✓ | |
| ID 페더레이션 필요 | ✓ |
메모
공개 미리 보기 중에는 중첩된 그룹이 Azure Databricks UI에 나열되지 않습니다. 공개 미리 보기 동안자동 ID 관리 UI 제한 사항을 참조하세요.
자동 ID 관리 사용
자동 ID 관리를 사용하도록 설정하려면 Azure Databricks 계정 팀에 문의하세요. 계정을 사용하도록 설정한 후 Microsoft Entra ID에서 사용자, 서비스 주체 및 그룹을 추가 및 제거하려면 아래 지침을 따릅니다.
- 계정의 사용자 관리
- 계정에서 서비스 주체를 관리하기
- 계정 콘솔 사용하여 계정에 그룹 추가
자동 ID 관리를 사용하도록 설정하면 계정 관리자가 미리 보기 페이지를 사용하여 사용하지 않도록 설정할 수 있습니다.
- 계정 관리자로서 계정 콘솔에 로그인합니다.
- 사이드바에서 미리 보기클릭합니다.
- 자동 ID 관리 설정/해제하여 .
사용하지 않도록 설정된 경우 이전에 프로비전된 사용자, 서비스 주체 및 그룹은 Azure Databricks에 남아 있지만 더 이상 Microsoft Entra ID와 동기화되지 않습니다. 계정 콘솔에서 이러한 사용자를 제거하거나 비활성화할 수 있습니다.
사용자 로그인 감사 진행
system.access.audit 테이블을 쿼리하여 작업 영역에 로그인한 사용자를 감사할 수 있습니다. 예를 들어:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
system.access.audit 테이블에 대한 자세한 내용은 감사 로그 시스템 테이블 참조을(를) 참조하십시오.
공개 미리 보기 동안 자동 ID 관리 UI 제한
사용자가 로그인할 때까지 Azure Databricks 작업 영역 UI에서 사용자 세부 정보 페이지를 사용할 수 없습니다.
사용자가 자동 ID 관리를 사용하여 작업 영역에 추가되면 로그인할 때까지 원본 열이 "외부" 대신 "Databricks"로 표시됩니다.
사용자, 서비스 주체 및 그룹 세부 정보 페이지는 그룹 멤버 자격을 통해 작업 영역에 간접적으로 할당된 경우 Azure Databricks 작업 영역 UI에서 사용할 수 없습니다.
사용자, 서비스 주체 또는 그룹이 자동 ID 관리를 사용하여 Azure Databricks에 추가되고 Azure Databricks 또는 SCIM 프로비저닝과 같은 다른 메서드에 추가된 경우 하나의 목록이 비활성 상태로 표시되어 두 번 나열될 수 있습니다. 사용자가 비활성 상태가 아니고 Azure Databricks에 로그인할 수 있습니다.
자식 그룹 세부 정보 페이지는 Azure Databricks 작업 영역 UI에서 사용할 수 없습니다.
계정 콘솔 UI를 사용하여 계정 콘솔에 Microsoft Entra ID 사용자, 서비스 주체 및 그룹을 직접 추가할 수 없습니다. 그러나 Azure Databricks 작업 영역에 추가된 Microsoft Entra ID ID는 계정에 자동으로 추가됩니다.