Udostępnij za pośrednictwem

Synchronizowanie użytkowników i grup z identyfikatora Microsoft Entra ID

  • Artykuł

W tym artykule opisano sposób konfigurowania dostawcy tożsamości (IdP) i usługi Azure Databricks w celu aprowizowania użytkowników i grup w usłudze Azure Databricks przy użyciu standardu SCIM lub System for Cross-domain Identity Management, otwartego standardu umożliwiającego zautomatyzowanie aprowizacji użytkowników.

Informacje o aprowizacji rozwiązania SCIM w usłudze Azure Databricks

Program SCIM umożliwia korzystanie z dostawcy tożsamości do tworzenia użytkowników w usłudze Azure Databricks, zapewniania im odpowiedniego poziomu dostępu i usuwania dostępu (anulowania aprowizacji) w przypadku opuszczenia organizacji lub już nie potrzebują dostępu do usługi Azure Databricks.

Aby zarządzać aprowizowaniem, możesz użyć łącznika aprowizacji SCIM w dostawcy tożsamości lub wywołać interfejs API grup SCIM. Te interfejsy API umożliwiają również bezpośrednie zarządzanie tożsamościami w usłudze Azure Databricks bez dostawcy tożsamości.

Aprowizowanie SCIM na poziomie konta i obszaru roboczego

Usługa Databricks zaleca używanie aprowizacji SCIM na poziomie konta do tworzenia, aktualizowania i usuwania wszystkich użytkowników z konta. Zarządzanie przypisaniem użytkowników i grup do obszarów roboczych w usłudze Azure Databricks. Aby zarządzać przypisaniami obszarów roboczych użytkowników, należy włączyć federację tożsamości.

Diagram SCIM na poziomie konta

Aprowizowanie SCIM na poziomie obszaru roboczego to starsza konfiguracja, która jest dostępna w publicznej wersji zapoznawczej. Jeśli masz już skonfigurowaną aprowizację SCIM na poziomie obszaru roboczego, usługa Databricks zaleca włączenie obszaru roboczego dla federacji tożsamości, skonfigurowanie aprowizacji SCIM na poziomie konta i wyłączenie aprowizacji SCIM na poziomie obszaru roboczego. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta. Aby uzyskać więcej informacji na temat aprowizacji SCIM na poziomie obszaru roboczego, zobacz Aprowizowanie tożsamości w obszarze roboczym usługi Azure Databricks (starsza wersja).

Wymagania

Aby aprowizować użytkowników i grupy w usłudze Azure Databricks przy użyciu rozwiązania SCIM:

  • Konto usługi Azure Databricks musi mieć plan Premium.
  • Musisz być administratorem konta usługi Azure Databricks.

Na koncie można mieć maksymalnie 10 000 połączonych użytkowników i jednostek usługi oraz 5000 grup. Każdy obszar roboczy może mieć maksymalnie 10 000 połączonych użytkowników i jednostek usługi oraz 5000 grup.

Synchronizowanie użytkowników i grup z kontem usługi Azure Databricks

Tożsamości na poziomie konta można synchronizować z dzierżawy identyfikatora Entra firmy Microsoft do usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM.

Ważne

Jeśli masz już łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.

Aby uzyskać pełne instrukcje, zobacz Configure SCIM provisioning using Microsoft Entra ID (Azure Active Directory) (Konfigurowanie aprowizacji SCIM przy użyciu identyfikatora Microsoft Entra ID (Azure Active Directory). Po skonfigurowaniu aprowizacji SCIM na poziomie konta usługa Databricks zaleca zezwolenie wszystkim użytkownikom w usłudze Microsoft Entra ID na dostęp do konta usługi Azure Databricks. Zobacz Włączanie wszystkich użytkowników identyfikatora Entra firmy Microsoft w celu uzyskania dostępu do usługi Azure Databricks.

Uwaga

Gdy usuniesz użytkownika z łącznika SCIM na poziomie konta, ten użytkownik zostanie zdezaktywowany z konta i wszystkich ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona. Po usunięciu grupy z łącznika SCIM na poziomie konta wszyscy użytkownicy w tej grupie są dezaktywowane z konta i z wszystkich obszarów roboczych, do których mieli dostęp (chyba że są członkami innej grupy lub mają bezpośredni dostęp do łącznika SCIM na poziomie konta).

Obracanie tokenu SCIM na poziomie konta

Jeśli token SCIM na poziomie konta został naruszony lub jeśli masz wymagania biznesowe dotyczące okresowego obracania tokenów uwierzytelniania, możesz obrócić token SCIM.

  1. Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Ustawienia.
  3. Kliknij pozycję Aprowizowanie użytkowników.
  4. Kliknij pozycję Wygeneruj ponownie token. Zanotuj nowy token. Poprzedni token będzie nadal działać przez 24 godziny.
  5. W ciągu 24 godzin zaktualizuj aplikację SCIM, aby korzystała z nowego tokenu SCIM.

Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta

Jeśli włączasz aprowizację SCIM na poziomie konta i masz już skonfigurowaną aprowizację SCIM na poziomie obszaru roboczego dla niektórych obszarów roboczych, usługa Databricks zaleca wyłączenie aprowizacji SCIM na poziomie obszaru roboczego i synchronizację użytkowników i grup na poziomie konta.

  1. Utwórz grupę w usłudze Microsoft Entra ID, która zawiera wszystkich użytkowników i grupy, które są obecnie aprowizowanie w usłudze Azure Databricks przy użyciu łączników SCIM na poziomie obszaru roboczego.

    Usługa Databricks zaleca, aby ta grupa zawierała wszystkich użytkowników we wszystkich obszarach roboczych na Twoim koncie.

  2. Skonfiguruj nowy łącznik aprowizacji SCIM, aby aprowizować użytkowników i grupy na koncie, korzystając z instrukcji w temacie Synchronizowanie użytkowników i grup z kontem usługi Azure Databricks.

    Użyj grupy lub grup utworzonych w kroku 1. Jeśli dodasz użytkownika, który udostępni nazwę użytkownika (adres e-mail) istniejącego użytkownika konta, zostaną one scalone. Nie ma to wpływu na istniejące grupy na koncie.

  3. Upewnij się, że nowy łącznik aprowizacji SCIM pomyślnie aprowizować użytkowników i grupy na twoim koncie.

  4. Zamknij stare łączniki SCIM na poziomie obszaru roboczego, które aprowizowały użytkowników i grupy w obszarach roboczych.

    Nie usuwaj użytkowników i grup z łączników SCIM na poziomie obszaru roboczego przed ich zamknięciem. Odwołanie dostępu z łącznika SCIM dezaktywuje użytkownika w obszarze roboczym usługi Azure Databricks. Aby uzyskać więcej informacji, zobacz Dezaktywowanie użytkownika w obszarze roboczym usługi Azure Databricks.

  5. Migrowanie grup obszarów roboczych i lokalnych do grup kont.

    Jeśli masz starsze grupy w swoich obszarach roboczych, są one nazywane grupami lokalnymi obszaru roboczego. Nie można zarządzać grupami lokalnymi obszaru roboczego przy użyciu interfejsów na poziomie konta. Usługa Databricks zaleca ich konwertowanie na grupy kont. Zobacz Migrowanie grup obszarów roboczych i lokalnych do grup kont