Автоматическая синхронизация пользователей и групп из идентификатора Microsoft Entra
Важный
Эта функция доступна в общедоступной предварительной версии. Чтобы присоединиться к этой предварительной версии, обратитесь к группе учетной записи Azure Databricks.
В этой статье описывается, как настроить Azure Databricks для синхронизации пользователей, служебных принципалов и групп из Microsoft Entra ID с помощью автоматического управления удостоверениями.
Как пользователи и группы синхронизируются автоматически с идентификатора Microsoft Entra?
Вы можете добавлять пользователей, учетные записи служб и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID, используя автоматическое управление удостоверениями. Если автоматическое управление удостоверениями включено, вы можете напрямую выполнять поиск среди федеративных рабочих областей пользователей, служебных принципалов и групп Microsoft Entra ID и добавлять их в вашу рабочую область. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства в группах учитываются в Azure Databricks.
Пользователи, удаленные из Microsoft Entra ID, отображаются как Deactivated в Azure Databricks. Деактивированные пользователи не могут войти в Azure Databricks или пройти проверку подлинности в API Azure Databricks. В качестве лучшей практики безопасности рекомендуется отозвать персональные токены доступа у этих пользователей.
Пользователи также могут совместно использовать панели мониторинга с любым пользователем, субъектом-службой или группой в идентификаторе Microsoft Entra. Эти пользователи автоматически добавляются в учетную запись Azure Databricks при входе. Они не добавлены в качестве членов в рабочую область, в которой находится панель мониторинга. Пользователи Microsoft Entra ID, у которых нет доступа к рабочей области, получают доступ к копии панели мониторинга только для просмотра, опубликованной с внедренными учетными данными. Дополнительные сведения о совместном использовании панелей мониторинга см. в статье Совместное использование панели мониторинга.
Автоматическое управление удостоверениями не поддерживается в федеративных рабочих пространствах, не имеющих удостоверений. Дополнительные сведения о федерации удостоверений см. в разделе Включение федерации удостоверений.
Автоматическое управление удостоверениями и подготовка SCIM
При включении автоматического управления удостоверениями все пользователи, группы и членства в группах синхронизируются из Microsoft Entra ID в Azure Databricks, поэтому подготовка SCIM не требуется. Если корпоративное приложение SCIM работает параллельно, приложение SCIM продолжает управлять пользователями и группами, настроенными в корпоративном приложении Microsoft Entra ID. Он не управляет удостоверениями Microsoft Entra ID, которые не были добавлены с помощью SCIM provisioning.
Databricks рекомендует использовать автоматическое управление удостоверениями. В приведенной ниже таблице сравниваются возможности автоматического управления идентификациями с возможностями предоставления SCIM.
| Функции | Автоматическое управление идентификацией | Подготовка SCIM |
|---|---|---|
| Синхронизация пользователей | ✓ | ✓ |
| Группы синхронизации | ✓ | ✓ (Только прямые члены) |
| Синхронизация вложенных групп | ✓ | |
| Синхронизация субъектов-служб | ✓ | |
| Настройка и управление приложением Microsoft Entra ID | ✓ | |
| Требуется выпуск Microsoft Entra ID Premium | ✓ | |
| Требуется роль администратора облачных приложений Microsoft Entra ID | ✓ | |
| Требуется федерация удостоверений | ✓ |
Заметка
Во время общедоступной предварительной версии вложенные группы не перечислены в пользовательском интерфейсе Azure Databricks. Обратите внимание на ограничения интерфейса автоматического управления идентификацией во время общедоступной предварительной версии .
Включение автоматического управления удостоверениями
Чтобы включить автоматическое управление удостоверениями, свяжитесь с командой по работе с учетными записями Azure Databricks. После включения учетной записи добавьте и удалите пользователей, субъектов-служб и группы из идентификатора Microsoft Entra, следуйте приведенным ниже инструкциям:
- Управление пользователями в вашей учетной записи
- Управление сервисными принципалами в учетной записи
- Добавление групп в учетную запись с помощью консоли учетной записи
При включении автоматического управления удостоверениями администраторы учетных записей могут отключить его с помощью страницы предварительного просмотра.
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните предварительный просмотр.
- Переключите автоматическое управление удостоверениями на выключено.
При отключении пользователи, учетные записи служб и группы, ранее настроенные в Azure Databricks, остаются, но больше не синхронизируются с Microsoft Entra ID. Вы можете удалить или отключить этих пользователей в консоли учетной записи.
Аудит учетных записей пользователей
Вы можете запросить таблицу system.access.audit, чтобы проверить, какие пользователи вошли в рабочую область. Например:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Дополнительные сведения о таблице system.access.audit см. в справочнике по системной таблице журнала аудита.
ограничения пользовательского интерфейса автоматического управления идентификацией во время открытой предварительной версии
Страницы сведений о пользователях недоступны в пользовательском интерфейсе рабочей области Azure Databricks до входа пользователя.
При добавлении пользователя в рабочую область с помощью автоматического управления удостоверениями исходный столбец отображается как Databricks вместо External, пока он не входит в систему.
Пользователи, служебные объекты и страницы деталей групп недоступны в пользовательском интерфейсе пространства Azure Databricks, если они косвенно назначены пространству через членство в группах.
Если пользователь, субъект-служба или группа добавляются в Azure Databricks с помощью автоматического управления удостоверениями, а также через другой метод, например посредством SCIM-предоставления, то они могут быть перечислены дважды, при этом одна из записей отображается как неактивная. Пользователь активен и может войти в Azure Databricks.
Заметка
В этом случае можно объединить повторяющихся пользователей, субъектов-служб и групп, предоставив внешний идентификатор в Azure Databricks. Используйте API пользователей учетной записи , субъектов-служб учетной записи или групп учетных записей , чтобы обновить принципала, добавив их объектный идентификатор Microsoft Entra в поле
externalId.Страницы сведений о дочерних группах недоступны в пользовательском интерфейсе рабочей области Azure Databricks.
Невозможно добавить пользователей, субъектов-служб и групп Microsoft Entra ID непосредственно в консоль учетной записи с помощью пользовательского интерфейса консоли учетной записи. Однако учетные записи Microsoft Entra ID, добавленные в рабочие области Azure Databricks, автоматически добавляются в учетную запись.