Microsoft Entra ID를 사용하여 SCIM 프로비저닝 구성(Azure Active Directory)
이 문서에서는 Microsoft Entra ID를 사용하여 Azure Databricks 계정에 프로비저닝을 set 방법을 설명합니다.
Databricks에서는 계정 수준에서 사용자, 서비스 주체 및 그룹을 프로비저닝하고 Azure Databricks 내의 작업 영역에 대한 사용자 및 그룹 할당을 관리하는 것이 좋습니다. 작업 영역에 대한 사용자 할당을 관리하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다.
참고 항목
프로비저닝이 구성된 방식은 Azure Databricks 작업 영역 또는 계정에 대한 인증 및 조건부 액세스를 구성하는 것과 완전히 별개입니다. Azure Databricks에 대한 인증은 OpenID Connect 프로토콜 흐름을 사용하여 Microsoft Entra ID에 의해 자동으로 처리됩니다. 서비스 수준에서 다단계 인증을 요구하거나 로컬 네트워크에 대한 로그인을 제한하는 규칙을 만들 수 있는 조건부 액세스를 구성할 수 있습니다.
Microsoft Entra ID를 사용하여 Azure Databricks 계정에 ID 프로비전
Microsoft Entra ID 테넌트의 계정 수준 사용자 및 그룹을 SCIM 프로비저닝 커넥터를 사용하여 Azure Databricks로 sync할 수 있습니다.
Important
ID를 작업 영역에 직접 sync SCIM 커넥터가 이미 있는 경우 계정 수준 SCIM 커넥터를 사용할 때 해당 SCIM 커넥터를 사용하지 않도록 설정해야 합니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요.
요구 사항
- Azure Databricks 계정에 프리미엄 플랜이 있어야 합니다.
- Microsoft Entra ID에는 클라우드 애플리케이션 관리자 역할이 있어야 합니다.
- 그룹을 프로비전하려면 Microsoft Entra ID 계정이 Premium Edition 계정이어야 합니다. 프로비저닝 사용자는 모든 Microsoft Entra ID 버전에 사용할 수 있습니다.
- Azure Databricks 계정 관리자여야 합니다.
참고 항목
계정 콘솔을 사용하도록 설정하고 첫 번째 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조하세요.
1단계: Azure Databricks 구성
- Azure Databricks 계정 관리자로 Azure Databricks 계정에 로그인합니다.
- 설정을 클릭합니다
. - 사용자 프로비저닝을 클릭합니다.
- Set을 클릭하여 사용자 프로비저닝를 합니다.
SCIM 토큰 및 계정 SCIM URL을 복사합니다. 이를 사용하여 Microsoft Entra ID 애플리케이션을 구성합니다.
참고 항목
SCIM 토큰은 계정 SCIM API /api/2.1/accounts/{account_id}/scim/v2/ 로 제한되며 다른 Databricks REST API에 인증하는 데 사용할 수 없습니다.
2단계: 엔터프라이즈 애플리케이션 구성
이러한 지침에는 Azure Portal에서 엔터프라이즈 애플리케이션을 만들고 해당 애플리케이션을 프로비저닝에 사용하는 방법이 설명되어 있습니다. 기존 엔터프라이즈 애플리케이션이 있는 경우 Microsoft Graph를 사용하여 SCIM 프로비저닝을 자동화하도록 수정할 수 있습니다. 이렇게 하면 Azure Portal에서 별도의 프로비저닝 애플리케이션이 필요하지 않습니다.
다음 단계에 따라 Microsoft Entra ID를 활성화하여 Azure Databricks 계정에 sync 사용자 및 그룹을 추가합니다. 이 구성은 sync 사용자 및 그룹이 작업 영역과 관련하여 생성한 다른 구성과는 별개입니다.
- Azure Portal에서 Microsoft Entra ID > 엔터프라이즈 애플리케이션으로 이동합니다.
- 애플리케이션 list위에서 + 새 애플리케이션 클릭합니다. 갤러리에서 Azure Databricks SCIM 프로비저닝 커넥터를 검색하고
추가 아래에서하십시오. - 애플리케이션의 이름을 입력하고 추가를 클릭합니다.
- 관리 메뉴에서 프로비저닝을 클릭합니다.
- Set 프로비저닝 모드를 자동으로 설정하십시오.
- Set 앞에서 복사한 계정 SCIM URL로 SCIM API 엔드포인트 URL.
- 이전의 Azure Databricks SCIM 토큰으로 생성한 Set비밀 토큰을로 설정하십시오.
- 연결
클릭하고 프로비저닝을 사용하도록 설정할 권한이 있는지 확인하는 메시지를 기다립니다. - 저장을 클릭합니다.
3단계: 애플리케이션에 사용자 및 그룹 할당
SCIM 애플리케이션에 할당된 사용자 및 그룹은 Azure Databricks 계정에 프로비저닝됩니다. 기존 Azure Databricks 작업 영역이 있는 경우 Databricks는 해당 작업 영역의 모든 기존 사용자 및 그룹을 SCIM 애플리케이션에 추가하는 것이 좋습니다.
참고 항목
Microsoft Entra ID는 Azure Databricks에 대한 서비스 주체의 자동 프로비저닝을 지원하지 않습니다. 계정의 서비스 주체 관리에 따라 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.
Microsoft Entra ID는 Azure Databricks에 중첩된 그룹의 자동 프로비저닝을 지원하지 않습니다. Microsoft Entra ID는 명시적으로 할당된 그룹의 직위 멤버인 사용자만 읽고 프로비전할 수 있습니다. 이 문제를 해결하려면 프로비저닝해야 하는 사용자를 포함하는 그룹을 명시적으로 할당(또는 범위 지정)합니다. 자세한 내용은 이 FAQ를 참조하세요.
- 속성 관리 > 로 이동합니다.
- Set 할당에는이/가 에 필요하고는 없습니다. Databricks는 모든 사용자가 Azure Databricks 계정에 로그인할 수 있도록 하는 이 옵션을 권장합니다.
- 관리 > 프로비저닝으로 이동합니다.
- Microsoft Entra ID 사용자 및 그룹을 Azure Databricks에 동기화하려면 프로비전 상태 토글을 Onset.
- 저장을 클릭합니다.
- 관리 > 사용자 및 그룹으로 이동합니다.
- 사용자/그룹추가를 클릭하고, 사용자 및 그룹을 select 선택한 후, 할당 버튼을 클릭합니다.
- 몇 분 정도 기다렸다가 사용자 및 그룹이 Azure Databricks 계정에 있는지 확인합니다.
추가하고 할당한 사용자 및 그룹은 Microsoft Entra ID에 의해 다음 sync가 예약될 때 Azure Databricks 계정에 자동으로 프로비저닝됩니다.
참고 항목
계정 수준 SCIM 애플리케이션에서 사용자를 remove 경우 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 사용자는 계정 및 작업 영역에서 비활성화됩니다.
프로비전 팁
- 프로비저닝을 사용하도록 설정하기 전에 Azure Databricks 계정에 존재했던 사용자 및 그룹은 프로비저닝 sync다음과 같은 동작을 보여 줍니다.
- 사용자 및 그룹은 Microsoft Entra ID에도 있는 경우 병합됩니다.
- 사용자 및 그룹은 Microsoft Entra ID에 없는 경우 무시됩니다. Microsoft Entra ID에 없는 사용자는 Azure Databricks에 로그인할 수 없습니다.
- 그룹의 멤버 자격에 의해 중복된 개별적으로 할당된 사용자 권한은 사용자에 대해 그룹 멤버 자격이 제거된 후에도 유지됩니다.
- 계정 콘솔을 사용하여 Azure Databricks 계정에서 사용자를 직접 제거하면 다음과 같은 효과가 있습니다.
- 제거된 사용자는 해당 Azure Databricks 계정 및 계정의 모든 작업 영역에 대한 액세스 권한을 잃게 됩니다.
- 제거된 사용자는 엔터프라이즈 애플리케이션에 남아 있더라도 Microsoft Entra ID 프로비저닝을 사용하여 다시 동기화되지 않습니다.
- 프로비저닝을 사용하도록 설정한 직후에 초기 Microsoft Entra ID sync가 즉시 트리거됩니다. 후속 동기화는 애플리케이션의 사용자 및 그룹 수에 따라 20-40분마다 트리거됩니다. Microsoft Entra ID 설명서의 프로비전 요약 보고서를 참조하세요.
- Azure Databricks 사용자의 이메일 주소를 update할 수 없습니다.
- sync Azure Databricks SCIM 프로비전 커넥터 애플리케이션에서 중첩된 그룹이나 Microsoft Entra ID 서비스 주체를 사용할 수 없습니다. Databricks는 엔터프라이즈 애플리케이션을 사용하여 사용자 및 그룹을 sync Azure Databricks 내에서 중첩된 그룹 및 서비스 주체를 관리하는 것이 좋습니다. 그러나 Databricks Terraform 공급자 또는 Azure Databricks SCIM API를 대상으로 하는 사용자 지정 스크립트를 사용하여 중첩된 그룹 또는 Microsoft Entra ID 서비스 주체를 sync 수 있습니다.
- Microsoft Entra ID의 그룹 이름에 대한 업데이트는 Azure Databricks에 sync 않습니다.
-
parameters
userName및emails.value일치해야 합니다. 불일치로 인해 Azure Databricks가 Microsoft Entra ID SCIM 애플리케이션에서 사용자 만들기 요청을 거부할 수 있습니다. 외부 사용자 또는 별칭이 지정된 전자 메일과 같은 경우 엔터프라이즈 애플리케이션의 기본 SCIM 매핑을 대신 사용하도록userPrincipalNamemail변경해야 할 수 있습니다.
(선택 사항) Microsoft Graph를 사용하여 SCIM 프로비저닝 자동화
Microsoft Graph에는 SCIM 프로비저닝 커넥터 애플리케이션을 구성하는 대신 Azure Databricks 계정 또는 작업 영역에 대한 사용자 및 그룹 프로비저닝을 자동화하기 위해 애플리케이션에 통합할 수 있는 인증 및 권한 부여 라이브러리가 포함되어 있습니다.
- Microsoft Graph에 애플리케이션을 등록하기 위한 지침을 따릅니다. 해당 애플리케이션의 애플리케이션 ID와 테넌트 ID를 기록해 둡니다.
- 애플리케이션의 개요 페이지로 이동합니다. 해당 페이지에서 다음을 수행합니다.
- 애플리케이션에 대한 클라이언트 암호를 구성하고 해당 비밀을 기록해 둡니다.
- 애플리케이션에 다음 권한을 Grant.
Application.ReadWrite.AllApplication.ReadWrite.OwnedBy
- Microsoft Entra ID 관리자에게 관리자 동의
요청합니다. - Microsoft Graph대한 지원을 추가하기 위해 애플리케이션의
코드를 .
문제 해결
사용자 및 그룹 sync을 하지 않다
- Azure Databricks SCIM 프로비저닝 커넥터 애플리케이션을 사용하는 경우:
- 계정 콘솔에서 프로비저닝 과정의 set 단계에 사용된 Azure Databricks SCIM 토큰이 여전히 유효한지 확인합니다.
- sync 중첩된 그룹은 Microsoft Entra ID의 자동 프로비저닝에서 지원되지 않으므로 시도하지 마십시오. 자세한 내용은 이 FAQ를 참조하세요.
Microsoft Entra ID 서비스 주체는 sync 수행하지 않습니다.
- Azure Databricks SCIM 프로비저닝 커넥터 애플리케이션은 서비스 주체 동기화를 지원하지 않습니다.
초기 sync후 사용자 및 그룹이 동기화를 중지합니다.
Azure Databricks SCIM Provisioning Connector 애플리케이션을 사용하는 경우: 초기 sync후에는 사용자 또는 그룹 할당을 변경한 직후에 Microsoft Entra ID가 sync 않습니다. 사용자 및 그룹 수에 따라 지연 후 애플리케이션과 함께 sync 예약을 설정합니다. 즉각적인
Microsoft Entra 프로비저닝 서비스 IP 범위에 액세스할 수 없음
Microsoft Entra ID 프로비저닝 서비스는 특정 IP 범위에서 작동합니다. 네트워크 액세스를 제한해야 하는 경우 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드 파일에서 AzureActiveDirectory IP 주소의 트래픽을 허용해야 합니다.
Microsoft 다운로드 사이트에서 다운로드합니다. 자세한 내용은 IP 범위를 참조하세요.