Поделиться через

Настройка подготовки SCIM на уровне рабочей области с помощью идентификатора Microsoft Entra (устаревшая версия)

  • Статья

Внимание

Поддержка этой документации прекращена, она может больше не обновляться. Подготовка SCIM на уровне рабочей области является устаревшей. Databricks рекомендует использовать предоставление SCIM на уровне учетной записи, см. Синхронизация пользователей и групп из Microsoft Entra ID с помощью SCIM.

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Если у вас нет рабочих областей, не включенных для федерации удостоверений, необходимо подготовить пользователей, субъектов-служб и групп непосредственно в этих рабочих областях. В этом разделе описано, как это сделать.

В следующих примерах замените <databricks-instance>URL-адресом рабочей области развертывания Azure Databricks.

Требования

  • Учетная запись Azure Databricks должна иметь план Premium.
  • У вас должна быть роль администратора облачных приложений в идентификаторе Microsoft Entra.
  • Учетная запись идентификатора Microsoft Entra должна быть учетной записью выпуска Premium для подготовки групп. Пользователи подготовки доступны для любого выпуска Идентификатора Microsoft Entra.
  • Вы должны быть администратором рабочей области в Azure Databricks.

Шаг 1. Создание корпоративного приложения и подключение к Azure Databricks SCIM API

Чтобы настроить подготовку непосредственно в рабочих областях Azure Databricks с помощью идентификатора Microsoft Entra, создайте корпоративное приложение для каждой рабочей области Azure Databricks.

В этих инструкциях показано, как создать корпоративное приложение на портале Azure и использовать это приложение для подготовки.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

  2. Создайте личный маркер доступа и скопируйте его. Этот маркер предоставляется идентификатору Microsoft Entra на следующем шаге.

    Внимание

    Создайте этот токен как администратор рабочей области Azure Databricks, который не управляется корпоративным приложением Microsoft Entra ID. Если пользователь администратора Azure Databricks, которому принадлежит личный маркер доступа, отменяется с помощью идентификатора Microsoft Entra, приложение подготовки SCIM будет отключено.

  3. В портал Azure перейдите к > Microsoft Entra ID.

  4. Щелкните + Создать новое приложение над списком приложений. В разделе Добавить из коллекции найдите и выберите Соединитель подготовки Azure Databricks SCIM.

  5. Введите Имя приложения и нажмите Добавить. Укажите имя, по которому администраторы смогут его найти, например, <workspace-name>-provisioning.

  6. В меню Управление выберите Подготовка.

  7. Для параметра Режим подготовки к работе выберите значение Автоматически.

  8. Введите URL-адрес конечной точки API SCIM. Добавьте /api/2.0/preview/scim к URL-адресу рабочей области:

    https://<databricks-instance>/api/2.0/preview/scim

    Замените <databricks-instance>URL-адресом рабочей области для развертывания Azure Databricks. См. получение идентификаторов для объектов рабочей области.

  9. Задайте Маркет безопасности секрета для личного маркера доступа Azure Databricks, созданного на шаге 1.

  10. Щелкните Тест подключения и дождитесь сообщения, подтверждающего, что учетные данные авторизованы для включения настройки.

  11. При необходимости укажите адрес электронной почты, чтобы получать уведомления о критических ошибках при подготовке SCIM.

  12. Нажмите кнопку Сохранить.

Шаг 2. Назначение пользователей и групп для приложения

Примечание.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку субъектов-служб в Azure Databricks. Вы можете добавить субъекты-службы в рабочую область Azure Databricks после управления субъектами-службами в рабочей области.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку вложенных групп в Azure Databricks. Идентификатор Microsoft Entra может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Чтобы обойти это ограничение, следует явно назначить (или другим способом указать область) группы, содержащие пользователей, которых нужно подготовить. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

  1. Перейдите к разделу "Управление свойствами>".
  2. Задайте значение "Назначение", необходимое для "Да". В Databricks рекомендуется использовать этот параметр, который синхронизирует только пользователей и группы, назначенные корпоративному приложению.
  3. См. раздел Управление >подготовкой.
  4. Чтобы начать синхронизацию пользователей и групп идентификатора Microsoft Entra с Azure Databricks, установите переключатель состояние подготовки для On.
  5. Нажмите кнопку Сохранить.
  6. Перейдите в раздел Управление >пользователями и группами.
  7. Щелкните Добавить пользователя/группу, выберите пользователей и группы и нажмите кнопку Назначить.
  8. Подождите несколько минут, а затем проверьте существуют ли пользователи и группы в учетной записи Azure Databricks.

В будущем пользователи и группы, которые вы добавляете и назначаете, автоматически подготавливаются при планировании следующей синхронизации идентификатора Microsoft Entra.

Внимание

Не назначайте администратора рабочей области Azure Databricks, чей личный маркер доступа использовался для настройки приложения Соединитель подготовки Azure Databricks SCIM.