Delen via

Gebruikers en groepen synchroniseren vanuit Microsoft Entra ID

  • Artikel

In dit artikel wordt beschreven hoe u uw id-provider (IdP) en Azure Databricks configureert om gebruikers en groepen in te richten voor Azure Databricks met behulp van SCIM of System for Cross-domain Identity Management, een open standaard waarmee u het inrichten van gebruikers kunt automatiseren.

Over SCIM-inrichting in Azure Databricks

Met SCIM kunt u een IdP gebruiken om gebruikers te maken in Azure Databricks, hen het juiste toegangsniveau te geven en toegang te verwijderen (de inrichting ongedaan maken) wanneer ze uw organisatie verlaten of geen toegang meer nodig hebben tot Azure Databricks.

U kunt een SCIM-inrichtingsconnector in uw IdP gebruiken of de SCIM Groups-API aanroepen om de inrichting te beheren. U kunt deze API's ook gebruiken om identiteiten in Azure Databricks rechtstreeks te beheren, zonder een IdP.

SCIM-inrichting op account- en werkruimteniveau

Databricks raadt aan om SCIM-inrichting op accountniveau te gebruiken om alle gebruikers van het account te maken, bij te werken en te verwijderen. U beheert de toewijzing van gebruikers en groepen aan werkruimten in Azure Databricks. Uw werkruimten moeten zijn ingeschakeld voor identiteitsfederatie om de werkruimtetoewijzingen van gebruikers te beheren.

SCIM-diagram op accountniveau

SCIM-inrichting op werkruimteniveau is een verouderde configuratie die zich in openbare preview bevindt. Als u scim-inrichting op werkruimteniveau al hebt ingesteld voor een werkruimte, raadt Databricks u aan om de werkruimte in te schakelen voor identiteitsfederatie, SCIM-inrichting op accountniveau in te stellen en de SCIM-inrichting op werkruimteniveau uit te schakelen. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau. Zie Identiteiten inrichten voor een Azure Databricks-werkruimte (verouderd) voor meer informatie over SCIM-inrichting op werkruimteniveau.

Vereisten

Gebruikers en groepen inrichten voor Azure Databricks met behulp van SCIM:

  • Uw Azure Databricks-account moet het Premium-abonnement hebben.
  • U moet een Azure Databricks-accountbeheerder zijn.

U kunt maximaal 10.000 gecombineerde gebruikers en service-principals en 5000 groepen in een account hebben. Elke werkruimte kan maximaal 10.000 gecombineerde gebruikers en service-principals en 5000 groepen hebben.

Gebruikers en groepen synchroniseren met uw Azure Databricks-account

U kunt identiteiten op accountniveau synchroniseren vanuit uw Microsoft Entra ID-tenant naar Azure Databricks met behulp van een SCIM-inrichtingsconnector.

Belangrijk

Als u al SCIM-connectors hebt die identiteiten rechtstreeks met uw werkruimten synchroniseren, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau.

Zie SCIM-inrichting configureren met behulp van Microsoft Entra ID (Azure Active Directory) voor volledige instructies. Nadat u SCIM-inrichting op accountniveau hebt geconfigureerd, raadt Databricks u aan alle gebruikers in Microsoft Entra ID toegang te geven tot het Azure Databricks-account. Zie Alle Microsoft Entra ID-gebruikers toegang geven tot Azure Databricks.

Notitie

Wanneer u een gebruiker verwijdert uit de SCIM-connector op accountniveau, wordt die gebruiker gedeactiveerd uit het account en alle werkruimten, ongeacht of identiteitsfederatie is ingeschakeld. Wanneer u een groep verwijdert uit de SCIM-connector op accountniveau, worden alle gebruikers in die groep gedeactiveerd uit het account en uit werkruimten waartoe ze toegang hadden (tenzij ze lid zijn van een andere groep of rechtstreeks toegang hebben gekregen tot de SCIM-connector op accountniveau).

Het SCIM-token op accountniveau draaien

Als het SCIM-token op accountniveau is aangetast of als u bedrijfsvereisten hebt om verificatietokens periodiek te roteren, kunt u het SCIM-token draaien.

  1. Meld u als azure Databricks-accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Instellingen.
  3. Klik op Gebruikersinrichting.
  4. Klik op Token opnieuw genereren. Noteer het nieuwe token. Het vorige token blijft 24 uur werken.
  5. Werk binnen 24 uur uw SCIM-toepassing bij om het nieuwe SCIM-token te gebruiken.

SCIM-inrichting op werkruimteniveau migreren naar het accountniveau

Als u SCIM-inrichting op accountniveau inschakelt en u al SCIM-inrichting op werkruimteniveau hebt ingesteld voor sommige werkruimten, raadt Databricks u aan de SCIM-inrichting op werkruimteniveau uit te schakelen en in plaats daarvan gebruikers en groepen te synchroniseren met het accountniveau.

  1. Maak een groep in Microsoft Entra-id die alle gebruikers en groepen bevat die u momenteel inRicht voor Azure Databricks met behulp van uw SCIM-connectors op werkruimteniveau.

    Databricks raadt aan dat deze groep alle gebruikers in alle werkruimten in uw account bevat.

  2. Configureer een nieuwe SCIM-inrichtingsconnector om gebruikers en groepen in te richten voor uw account, met behulp van de instructies in Gebruikers en groepen synchroniseren met uw Azure Databricks-account.

    Gebruik de groep of groepen die u in stap 1 hebt gemaakt. Als u een gebruiker toevoegt die een gebruikersnaam (e-mailadres) deelt met een bestaande accountgebruiker, worden deze gebruikers samengevoegd. Bestaande groepen in het account worden niet beïnvloed.

  3. Controleer of de nieuwe SCIM-inrichtingsconnector gebruikers en groepen voor uw account heeft ingericht.

  4. Sluit de oude SCIM-connectors op werkruimteniveau af die gebruikers en groepen inrichten voor uw werkruimten.

    Verwijder gebruikers en groepen niet uit de SCIM-connectors op werkruimteniveau voordat u ze afsluit. Als u de toegang vanuit een SCIM-connector aanroept, wordt de gebruiker gedeactiveerd in de Azure Databricks-werkruimte. Zie Een gebruiker deactiveren in uw Azure Databricks-werkruimte voor meer informatie.

  5. Werkruimte-lokale groepen migreren naar accountgroepen.

    Als u verouderde groepen in uw werkruimten hebt, worden ze ook wel werkruimte-lokale groepen genoemd. U kunt werkruimte-lokale groepen niet beheren met behulp van interfaces op accountniveau. Databricks raadt u aan deze te converteren naar accountgroepen. Zie Werkruimte-lokale groepen migreren naar accountgroepen