다음을 통해 공유

Microsoft Entra ID에서 사용자 및 그룹 동기화

  • 아티클

이 문서에서는 SCIM 또는 사용자 프로비저닝을 자동화할 수 있는 개방형 표준인 System for Cross-domain Identity Management를 사용하여 사용자 및 그룹을 Azure Databricks에 프로비저닝하도록 IdP(ID 공급자) 및 Azure Databricks를 구성하는 방법을 설명합니다.

Azure Databricks에서 SCIM 프로비저닝에 대한 정보

SCIM을 사용하면 IdP를 사용하여 Azure Databricks에서 사용자를 만들고, 적절한 수준의 액세스 권한을 부여하고, 조직을 떠나거나 더 이상 Azure Databricks에 액세스할 필요가 없을 때 액세스(프로비전 해제)를 제거할 수 있습니다.

IdP에서 SCIM 프로비저닝 커넥터를 사용하거나 SCIM 그룹 API호출하여 프로비저닝을 관리할 수 있습니다. 이러한 API를 사용하여 IdP 없이 Azure Databricks에서 직접 ID를 관리할 수도 있습니다.

계정 수준 및 작업 영역 수준 SCIM 프로비저닝

Databricks는 계정 수준 SCIM 프로비저닝을 사용하여 계정에서 모든 사용자를 만들고, 업데이트하고, 삭제하는 것이 좋습니다. Azure Databricks 내의 작업 영역에 대한 사용자 및 그룹의 할당을 관리합니다. 사용자의 작업 영역 할당을 관리하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다.

계정 수준 SCIM 다이어그램

작업 영역 수준 SCIM 프로비전 은 공개 미리 보기에 있는 레거시 구성입니다. 작업 영역에 대해 작업 영역 수준 SCIM 프로비저닝을 이미 설정한 경우 Databricks는 ID 페더레이션을 위해 작업 영역을 사용하도록 설정하고, 계정 수준 SCIM 프로비저닝을 설정하고, 작업 영역 수준 SCIM 프로비저닝을 해제하는 것이 좋습니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요. 작업 영역 수준 SCIM 프로비저닝에 대한 자세한 내용은 Azure Databricks 작업 영역(레거시)에 ID 프로비저닝을 참조하세요.

요구 사항

SCIM을 사용하여 사용자 및 그룹을 Azure Databricks에 프로비저닝하려면 다음을 수행합니다.

  • Azure Databricks 계정에 프리미엄 플랜있어야 합니다.
  • Azure Databricks 계정 관리자여야 합니다.

계정에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5000개 그룹을 포함할 수 있습니다. 각 작업 영역에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5000개 그룹을 포함할 수 있습니다.

사용자 및 그룹을 Azure Databricks 계정에 동기화

SCIM 프로비저닝 커넥터를 사용하여 Microsoft Entra ID 테넌트에서 Azure Databricks로 계정 수준 ID를 동기화할 수 있습니다.

Important

ID를 작업 영역에 직접 동기화하는 SCIM 커넥터가 이미 있는 경우 계정 수준 SCIM 커넥터를 사용하려면 해당 SCIM 커넥터를 사용하지 않도록 설정해야 합니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요.

전체 지침은 Microsoft Entra ID(Azure Active Directory)를 사용하여 SCIM 프로비저닝 구성을 참조하세요. 계정 수준 SCIM 프로비저닝을 구성한 후 Databricks는 Microsoft Entra ID의 모든 사용자가 Azure Databricks 계정에 액세스할 수 있도록 허용하는 것이 좋습니다. 모든 Microsoft Entra ID 사용자가 Azure Databricks에 액세스할 수 있도록 설정을 참조하세요.

참고 항목

계정 수준 SCIM 커넥터에서 사용자를 제거하면 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 사용자가 계정 및 모든 작업 영역에서 비활성화됩니다. 계정 수준 SCIM 커넥터에서 그룹을 제거하면 해당 그룹의 모든 사용자가 액세스 권한이 있는 모든 작업 영역에서 비활성화됩니다(다른 그룹의 구성원이거나 계정 수준 SCIM 커넥터에 대한 액세스 권한이 직접 부여되지 않은 경우).

계정 수준 SCIM 토큰 회전

계정 수준 SCIM 토큰이 손상되었거나 인증 토큰을 주기적으로 회전해야 하는 비즈니스 요구 사항이 있는 경우 SCIM 토큰을 회전할 수 있습니다.

  1. Azure Databricks 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 설정을 클릭합니다.
  3. 사용자 프로비저닝을 클릭합니다.
  4. 토큰 다시 생성을 클릭합니다. 새 토큰을 기록해 둡니다. 이전 토큰은 24시간 동안 계속 작동합니다.
  5. 24시간 이내에 새 SCIM 토큰을 사용하도록 SCIM 애플리케이션을 업데이트합니다.

계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션

계정 수준 SCIM 프로비저닝을 사용하도록 설정하고 일부 작업 영역에 대해 작업 영역 수준 SCIM 프로비저닝을 이미 설정한 경우 Databricks는 작업 영역 수준 SCIM 프로비저닝을 해제하고 대신 사용자 및 그룹을 계정 수준으로 동기화하는 것이 좋습니다.

  1. 작업 영역 수준 SCIM 커넥터를 사용하여 현재 Azure Databricks에 프로비전하는 모든 사용자 및 그룹을 포함하는 그룹을 Microsoft Entra ID로 만듭니다.

    Databricks는 이 그룹에 계정의 모든 작업 영역에 있는 모든 사용자를 포함하는 것이 좋습니다.

  2. 사용자 및 그룹을 Azure Databricks 계정에 동기화하는 지침을 사용하여 사용자 및 그룹을 계정에 프로비전하도록 새 SCIM 프로비저닝 커넥터를 구성합니다.

    1단계에서 만든 그룹을 사용합니다. 기존 계정 사용자와 사용자 이름(이메일 주소)을 공유하는 사용자를 추가하면 해당 사용자가 병합됩니다. 계정의 기존 그룹은 영향을 받지 않습니다.

  3. 새 SCIM 프로비저닝 커넥터가 사용자 및 그룹을 계정에 성공적으로 프로비저닝하고 있는지 확인합니다.

  4. 작업 영역에 사용자 및 그룹을 프로비저닝하는 이전 작업 영역 수준 SCIM 커넥터를 종료합니다.

    사용자 및 그룹을 종료하기 전에 작업 영역 수준 SCIM 커넥터에서 제거하지 마세요. SCIM 커넥터에서 액세스를 취소하면 Azure Databricks 작업 영역에서 사용자가 비활성화됩니다. 자세한 내용은 Azure Databricks 작업 영역에서 사용자 비활성화를 참조하세요.

  5. 작업 영역 로컬 그룹을 계정 그룹으로 마이그레이션합니다.

    작업 영역에 레거시 그룹이 있는 경우 작업 영역-로컬 그룹이라고 합니다. 계정 수준 인터페이스를 사용하여 작업 영역-로컬 그룹을 관리할 수 없습니다. Databricks에서는 계정 그룹으로 변환하는 것이 좋습니다. 작업 영역 로컬 그룹을 계정 그룹으로 마이그레이션을 참조하세요.