Автоматическая синхронизация пользователей и групп из идентификатора Microsoft Entra
Важное
Эта функция доступна в общедоступной предварительной версии. Чтобы присоединиться к этой предварительной версии, обратитесь к группе учетной записи Azure Databricks.
В этой статье описывается, как настроить Azure Databricks для синхронизации пользователей, служебных принципалов и групп из Microsoft Entra ID с помощью автоматического управления удостоверениями.
Как пользователи и группы синхронизируются автоматически с идентификатора Microsoft Entra?
Вы можете добавлять пользователей, учетные записи служб и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID, используя автоматическое управление удостоверениями. Если автоматическое управление удостоверениями включено, вы можете напрямую выполнять поиск среди федеративных рабочих областей пользователей, служебных принципалов и групп Microsoft Entra ID и добавлять их в вашу рабочую область. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства в группах учитываются в Azure Databricks.
Группы, управляемые с помощью автоматического управления удостоверениями, отображаются как Внешний в Azure Databricks. Внешние идентификаторы нельзя обновить с помощью пользовательского интерфейса Azure Databricks.
Пользователи, удаленные из статуса идентификатора Microsoft Entra, отображаются как Деактивировано в Azure Databricks. Деактивированные пользователи не могут войти в Azure Databricks или пройти проверку подлинности в API Azure Databricks. В качестве лучшей практики безопасности рекомендуется отозвать персональные токены доступа у этих пользователей.
Пользователи также могут совместно использовать панели мониторинга с любым пользователем, субъектом-службой или группой в идентификаторе Microsoft Entra. Эти пользователи автоматически добавляются в учетную запись Azure Databricks при входе. Они не добавлены в качестве членов в рабочую область, в которой находится панель мониторинга. Пользователи Microsoft Entra ID, у которых нет доступа к рабочей области, получают доступ к копии панели мониторинга только для просмотра, опубликованной с внедренными учетными данными. Дополнительные сведения о совместном использовании панелей мониторинга см. в статье Совместное использование панели мониторинга.
Автоматическое управление удостоверениями не поддерживается в федеративных рабочих пространствах, не имеющих удостоверений. Дополнительные сведения о федерации удостоверений см. в разделе Включение федерации удостоверений.
Автоматическое управление удостоверениями и подготовка SCIM
При включении автоматического управления удостоверениями все пользователи, группы и членства в группах синхронизируются из Microsoft Entra ID в Azure Databricks, поэтому предоставление SCIM не требуется. Если корпоративное приложение SCIM работает параллельно, приложение SCIM продолжает управлять пользователями и группами, настроенными в корпоративном приложении Microsoft Entra ID. Он не осуществляет управление удостоверениями Microsoft Entra ID, которые не были добавлены с помощью SCIM-провизирования.
Databricks рекомендует использовать автоматическое управление удостоверениями. В приведенной ниже таблице сравниваются возможности автоматического управления идентификациями с возможностями предоставления SCIM.
| Функции | Автоматическое управление идентификацией | Подготовка SCIM |
|---|---|---|
| Синхронизация пользователей | ✓ | ✓ |
| Группы синхронизации | ✓ | ✓ (Только прямые члены) |
| Синхронизация вложенных групп | ✓ | |
| Синхронизация субъектов-служб | ✓ | |
| Настройка и управление приложением Microsoft Entra ID | ✓ | |
| Требуется выпуск Microsoft Entra ID Premium | ✓ | |
| Требуется роль администратора облачных приложений Microsoft Entra ID | ✓ | |
| Требуется интеграция удостоверений | ✓ |
Заметка
Во время общедоступной предварительной версии вложенные группы не перечислены в пользовательском интерфейсе Azure Databricks. Обратите внимание на ограничения интерфейса автоматического управления идентификацией во время общедоступной предварительной версии .
Включение автоматического управления удостоверениями
Чтобы включить автоматическое управление удостоверениями, свяжитесь с вашей командой по управлению учетными записями Azure Databricks. После включения учетной записи добавьте и удалите пользователей, субъектов-служб и группы из идентификатора Microsoft Entra, следуйте приведенным ниже инструкциям:
- Управление пользователями в вашей учетной записи
- Управление сервисными принципалами в учетной записи
- Добавление групп в учетную запись с помощью консоли учетной записи
При включении автоматического управления удостоверениями администраторы учетных записей могут отключить его с помощью страницы предварительного просмотра.
- Войдите в консоль учетной записи в качестве администратора учетной записи.
- На боковой панели щелкните предварительный просмотр.
- Переключите автоматическое управление удостоверениями на выключено.
При отключении пользователи, учетные записи служб и группы, ранее настроенные в Azure Databricks, остаются, но больше не синхронизируются с Microsoft Entra ID. Вы можете удалить или отключить этих пользователей в консоли учетной записи.
Аудит учетных записей пользователей
Вы можете запросить таблицу system.access.audit, чтобы проверить, какие пользователи вошли в рабочую область. Например:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Дополнительные сведения о таблице system.access.audit см. в справочнике по системной таблице журнала аудита.
ограничения пользовательского интерфейса автоматического управления идентификацией во время открытой предварительной версии
Страницы сведений о пользователях недоступны в пользовательском интерфейсе рабочей области Azure Databricks до входа пользователя.
При добавлении пользователя в рабочую область при помощи автоматической идентификации их исходный столбец отображается как Databricks вместо Внешний, пока они не войдут.
Пользователи, сервисные принципы и страницы сведений о группах недоступны в пользовательском интерфейсе рабочего пространства Azure Databricks, если они косвенно назначены рабочему пространству через членство в группах.
Если пользователь, служебный принципал или группа добавляются в Azure Databricks с помощью автоматического управления удостоверениями, а также через другой метод, например посредством SCIM-предоставления, то они могут появиться в списке дважды, причём одна из них отображается как неактивная. Пользователь активен и может войти в Azure Databricks.
Заметка
В этом случае можно объединить повторяющихся пользователей, субъектов-служб и групп, предоставив внешний идентификатор в Azure Databricks. Используйте API пользователей учетной записи , субъектов-служб учетной записи или групп учетных записей , чтобы обновить принципала, добавив их объектный идентификатор Microsoft Entra в поле
externalId.Страницы сведений о дочерних группах недоступны в пользовательском интерфейсе рабочей области Azure Databricks.
Невозможно добавить пользователей, учетные записи служб и группы Microsoft Entra ID непосредственно в консоль учетной записи с помощью ее пользовательского интерфейса. Однако учетные записи Microsoft Entra ID, добавленные в рабочие области Azure Databricks, автоматически добавляются в учетную запись.