Udostępnij za pośrednictwem

Konfigurowanie aprowizacji SCIM przy użyciu identyfikatora Entra firmy Microsoft (Azure Active Directory)

  • Artykuł

W tym artykule opisano sposób set aprowizacji na koncie usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft.

Usługa Databricks zaleca aprowizowania użytkowników, jednostek usługi i grup na poziomie konta oraz zarządzania przypisaniem użytkowników i grup do obszarów roboczych w usłudze Azure Databricks. Aby zarządzać przypisaniem użytkowników do obszarów roboczych, należy włączyć federację tożsamości.

Uwaga

Sposób konfigurowania aprowizacji jest całkowicie oddzielony od konfigurowania uwierzytelniania i dostępu warunkowego dla obszarów roboczych lub kont usługi Azure Databricks. Uwierzytelnianie dla usługi Azure Databricks jest obsługiwane automatycznie przez identyfikator Entra firmy Microsoft przy użyciu przepływu protokołu OpenID Connect. Możesz skonfigurować dostęp warunkowy, który umożliwia tworzenie reguł wymagających uwierzytelniania wieloskładnikowego lub ograniczenie logowania do sieci lokalnych na poziomie usługi.

Aprowizuj tożsamości na koncie usługi Azure Databricks przy użyciu identyfikatora Entra firmy Microsoft

Możesz sync użytkowników i grup na poziomie konta z dzierżawy identyfikatora Entra firmy Microsoft do usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM.

Ważne

Jeśli masz już łączniki SCIM, które sync tożsamości bezpośrednio do obszarów roboczych, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.

Wymagania

  • Konto usługi Azure Databricks musi mieć plan Premium.
  • Musisz mieć rolę Administratora aplikacji w chmurze w identyfikatorze Entra firmy Microsoft.
  • Konto Microsoft Entra ID musi być kontem wersji Premium, aby aprowizować grupy. Aprowizowanie użytkowników jest dostępne dla dowolnej wersji Microsoft Entra ID.
  • Musisz być administratorem konta usługi Azure Databricks.

Uwaga

Aby włączyć konsolę konta i ustanowić pierwszego administratora konta, zobacz Ustanawianie pierwszego administratora konta.

Krok 1. Konfigurowanie usługi Azure Databricks

  1. Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta usługi Azure Databricks.
  2. Kliknij pozycję Ikona ustawień użytkownikaUstawienia.
  3. Kliknij pozycję Aprowizowanie użytkowników.
  4. Kliknij Set, aby przejść do aprowizacji użytkowników.

Skopiuj token SCIM i adres URL SCIM konta. Użyjesz ich do skonfigurowania aplikacji Microsoft Entra ID.

Uwaga

Token SCIM jest ograniczony do interfejsu API /api/2.1/accounts/{account_id}/scim/v2/ SCIM konta i nie może służyć do uwierzytelniania w innych interfejsach API REST usługi Databricks.

Krok 2. Konfigurowanie aplikacji dla przedsiębiorstw

Te instrukcje informują, jak utworzyć aplikację dla przedsiębiorstw w witrynie Azure Portal i użyć tej aplikacji do aprowizacji. Jeśli masz istniejącą aplikację dla przedsiębiorstw, możesz ją zmodyfikować, aby zautomatyzować aprowizację SCIM przy użyciu programu Microsoft Graph. Spowoduje to usunięcie potrzeby oddzielnej aplikacji aprowizacji w witrynie Azure Portal.

Wykonaj następujące kroki, aby umożliwić usłudze Microsoft Entra ID przydzielanie sync użytkowników i grup do konta Azure Databricks. Ta konfiguracja jest oddzielona od wszystkich utworzonych konfiguracji w celu sync użytkowników i grup do obszarów roboczych.

  1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID Enterprise Applications (Aplikacje dla przedsiębiorstw z identyfikatorem > entra firmy Microsoft).
  2. Kliknij + Nowa aplikacja powyżej aplikacji list. W obszarze Dodaj z galerii, wyszukaj i selectłącznik aprowizacji SCIM dla Azure Databricks.
  3. Wprowadź nazwę aplikacji i kliknij przycisk Dodaj.
  4. W menu Zarządzaj kliknij pozycję Aprowizowanie.
  5. Set Tryb konfiguracyjny na automatyczny.
  6. Set adres URL punktu końcowego interfejsu API SCIM do skopiowanego wcześniej adresu URL SCIM konta.
  7. Set token tajny do wygenerowanego wcześniej tokenu SCIM usługi Azure Databricks.
  8. Kliknij Testuj połączenie i poczekaj na komunikat potwierdzający, że credentials są uprawnione do włączenia aprowizacji.
  9. Kliknij przycisk Zapisz.

Krok 3. Przypisywanie użytkowników i grup do aplikacji

Użytkownicy i grupy przypisane do aplikacji SCIM zostaną aprowizowani na koncie usługi Azure Databricks. Jeśli masz istniejące obszary robocze usługi Azure Databricks, usługa Databricks zaleca dodanie wszystkich istniejących użytkowników i grup w tych obszarach roboczych do aplikacji SCIM.

Uwaga

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji jednostek usługi w usłudze Azure Databricks. Jednostki usługi można dodać na koncie usługi Azure Databricks, postępując zgodnie z instrukcjami Zarządzania jednostkami usługi na koncie.

Identyfikator Entra firmy Microsoft nie obsługuje automatycznej aprowizacji zagnieżdżonych grup w usłudze Azure Databricks. Identyfikator Entra firmy Microsoft może odczytywać i aprowizować tylko użytkowników, którzy są bezpośrednimi członkami jawnie przypisanej grupy. Aby obejść ten problem, jawnie przypisz (lub w inny sposób zakres) grupy zawierające użytkowników, którzy muszą być aprowizowani. Aby uzyskać więcej informacji, zobacz często zadawane pytania.

  1. Przejdź do pozycji Zarządzaj właściwościami>.
  2. Set wymagane przypisanieBrak. Usługa Databricks zaleca tę opcję, która umożliwia wszystkim użytkownikom logowanie się do konta usługi Azure Databricks.
  3. Przejdź do obszaru Zarządzanie > aprowizowaniem.
  4. Aby rozpocząć synchronizowanie użytkowników i grup Microsoft Entra ID z usługą Azure Databricks, setStan aprowizacji ustaw przełącznik na Włączony.
  5. Kliknij przycisk Zapisz.
  6. Przejdź do obszaru Zarządzanie użytkownikami i grupami>.
  7. Kliknij Dodajużytkowników/grup, select użytkowników i grup, a następnie kliknij przycisk Przypisz.
  8. Poczekaj kilka minut i sprawdź, czy użytkownicy i grupy istnieją na koncie usługi Azure Databricks.

Użytkownicy i grupy, które dodasz i przypiszesz, zostaną automatycznie aprowizowani na koncie usługi Azure Databricks, kiedy Microsoft Entra ID planuje następny sync.

Uwaga

Jeśli remove użytkownika z aplikacji SCIM na poziomie konta, ten użytkownik jest dezaktywowany z konta i z ich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona.

Porady dotyczące aprowizacji

  • Użytkownicy i grupy, które istniały na koncie usługi Azure Databricks przed włączeniem aprowizacji, wykazują następujące zachowanie podczas aprowizacji sync:
    • Użytkownicy i grupy są scalane, jeśli istnieją również w identyfikatorze Entra firmy Microsoft.
    • Użytkownicy i grupy są ignorowani, jeśli nie istnieją w identyfikatorze Entra firmy Microsoft. Użytkownicy, którzy nie istnieją w identyfikatorze Entra firmy Microsoft, nie mogą zalogować się do usługi Azure Databricks.
  • Przypisane indywidualnie uprawnienia użytkownika, które są zduplikowane przez członkostwo w grupie, pozostają nawet po usunięciu członkostwa w grupie dla użytkownika.
  • Bezpośrednie usuwanie użytkowników z konta usługi Azure Databricks przy użyciu konsoli konta ma następujące skutki:
    • Usunięty użytkownik utraci dostęp do tego konta usługi Azure Databricks i wszystkich obszarów roboczych na koncie.
    • Usunięty użytkownik nie zostanie ponownie zsynchronizowany przy użyciu aprowizacji identyfikatora Entra firmy Microsoft, nawet jeśli pozostaną w aplikacji dla przedsiębiorstw.
  • Początkowy identyfikator Microsoft Entra sync jest uruchamiany natychmiast po włączeniu aprowizacji. Kolejne synchronizacje są wyzwalane co 20–40 minut, w zależności od liczby użytkowników i grup w aplikacji. Zobacz Raport podsumowania aprowizacji w dokumentacji identyfikatora entra firmy Microsoft.
  • Nie można wykonać operacji update na adresie e-mail użytkownika usługi Azure Databricks.
  • Nie można sync zagnieżdżonych grup ani jednostek usługi Microsoft Entra ID z aplikacji azure Databricks SCIM Provisioning Connector. Usługa Databricks zaleca używanie aplikacji dla przedsiębiorstw do sync użytkowników i grup oraz zarządzanie zagnieżdżonych grup i jednostek usług w usłudze Azure Databricks. Można jednak również użyć dostawcy Databricks Terraform lub skryptów niestandardowych przeznaczonych dla interfejsu API SCIM usługi Azure Databricks w celu sync zagnieżdżonych grup lub jednostek usługi Microsoft Entra ID.
  • Aktualizacje nazw grup w identyfikatorze Entra firmy Microsoft nie sync do usługi Azure Databricks.
  • parameters userName i emails.value muszą być zgodne. Niezgodność może prowadzić do odrzucenia żądań tworzenia użytkowników w usłudze Azure Databricks z aplikacji SCIM identyfikatora Entra firmy Microsoft. W przypadku przypadków, takich jak użytkownicy zewnętrzni lub wiadomości e-mail z aliasami, może być konieczne zmianę domyślnego mapowania SCIM aplikacji dla przedsiębiorstw w celu użycia userPrincipalName , a nie mail.

(Opcjonalnie) Automatyzowanie aprowizacji SCIM przy użyciu programu Microsoft Graph

Program Microsoft Graph zawiera biblioteki uwierzytelniania i autoryzacji, które można zintegrować z aplikacją, aby zautomatyzować aprowizowanie użytkowników i grup na koncie lub obszarach roboczych usługi Azure Databricks, zamiast konfigurować aplikację łącznika aprowizacji SCIM.

  1. Postępuj zgodnie z instrukcjami dotyczącymi rejestrowania aplikacji w programie Microsoft Graph. Zanotuj identyfikator aplikacji i identyfikator dzierżawy dla aplikacji
  2. Przejdź do strony Przegląd aplikacji. Na tej stronie:
    1. Skonfiguruj wpis tajny klienta dla aplikacji i zanotuj wpis tajny.
    2. Grant aplikacji te uprawnienia:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Poproś administratora Microsoft Entra ID o grant zgodę administratora.
  4. Update kod aplikacji, aby dodać obsługę programu Microsoft Graph.

Rozwiązywanie problemów

Użytkownicy i grupy nie sync

  • Jeśli używasz aplikacji łącznika aprowizacji SCIM usługi Azure Databricks:
    • W konsoli konta sprawdź, czy token SCIM usługi Azure Databricks użyty do set aprowizacji jest nadal prawidłowy.
  • Nie należy próbować sync zagnieżdżonych grup, które nie są obsługiwane przez automatyczną aprowizację identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz często zadawane pytania.

Jednostki usługi Microsoft Entra ID nie sync

  • Aplikacja łącznika aprowizacji SCIM usługi Azure Databricks nie obsługuje synchronizowania jednostek usługi.

Po początkowym syncużytkownicy i grupy przestają się synchronizować.

Jeśli używasz aplikacji łącznika aprowizacji usługi Azure Databricks SCIM: po początkowym identyfikator Entra firmy Microsoft nie natychmiast po zmianie przypisań użytkowników lub grup. Harmonogramuje sync z użyciem aplikacji po opóźnieniu, uwzględniając liczbę użytkowników i grup. Aby zażądać natychmiastowego sync, przejdź do Zarządzanie > udostępnianiem dla aplikacji korporacyjnej i selectWyczyść aktualny stan i uruchom ponownie synchronizację.

Zakres adresów IP usługi aprowizacji usługi Microsoft Entra ID jest niedostępny

Usługa aprowizacji identyfikatorów Entra firmy Microsoft działa w określonych zakresach adresów IP. Jeśli musisz ograniczyć dostęp do sieci, musisz zezwolić na ruch z adresów IP dla AzureActiveDirectory w pliku Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna. Pobierz z witryny pobierania Microsoft. Aby uzyskać więcej informacji, zobacz Zakresy adresów IP.