Konfigurera SCIM-etablering med Microsoft Entra-ID (Azure Active Directory)
Den här artikeln beskriver hur du konfigurerar etablering till Azure Databricks-kontot med hjälp av Microsoft Entra-ID.
Databricks rekommenderar att du etablerar användare, tjänstens huvudnamn och grupper på kontonivå och hanterar tilldelningen av användare och grupper till arbetsytor i Azure Databricks. Dina arbetsytor måste vara aktiverade för identitetsfederation för att kunna hantera tilldelningen av användare till arbetsytor.
Kommentar
Sättet som etablering konfigureras på är helt skilt från att konfigurera autentisering och villkorlig åtkomst för Azure Databricks-arbetsytor eller konton. Autentisering för Azure Databricks hanteras automatiskt av Microsoft Entra ID med hjälp av OpenID Connect-protokollflödet. Du kan konfigurera villkorlig åtkomst, vilket gör att du kan skapa regler för att kräva multifaktorautentisering eller begränsa inloggningar till lokala nätverk på tjänstnivå.
Etablera identiteter till ditt Azure Databricks-konto med hjälp av Microsoft Entra-ID
Du kan synkronisera användare och grupper på kontonivå från din Microsoft Entra ID-klientorganisation till Azure Databricks med hjälp av en SCIM-etableringsanslutning.
Viktigt!
Om du redan har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor måste du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.
Krav
- Ditt Azure Databricks-konto måste ha Premium-planen.
- Du måste ha rollen Molnprogramadministratör i Microsoft Entra-ID.
- Ditt Microsoft Entra-ID-konto måste vara ett Premium Edition-konto för att etablera grupper. Etableringsanvändare är tillgängliga för alla Microsoft Entra ID-utgåva.
- Du måste vara administratör för Azure Databricks-kontot.
Kommentar
Information om hur du aktiverar kontokonsolen och upprättar din första kontoadministratör finns i Upprätta din första kontoadministratör.
Steg 1: Konfigurera Azure Databricks
- Som Azure Databricks-kontoadministratör loggar du in på Azure Databricks-kontokonsolen.
- Klicka på Inställningar.
- Klicka på Användaretablering.
- Klicka på Konfigurera användaretablering.
Kopiera SCIM-token och KONTOTS SCIM-URL. Du använder dessa för att konfigurera ditt Microsoft Entra-ID-program.
Kommentar
SCIM-token är begränsad till KONTOTS SCIM-API /api/2.1/accounts/{account_id}/scim/v2/
och kan inte användas för att autentisera till andra Databricks REST-API:er.
Steg 2: Konfigurera företagsprogrammet
De här anvisningarna beskriver hur du skapar ett företagsprogram i Azure Portal och använder programmet för etablering. Om du har ett befintligt företagsprogram kan du ändra det för att automatisera SCIM-etableringen med hjälp av Microsoft Graph. Detta tar bort behovet av ett separat etableringsprogram i Azure-portalen.
Följ de här stegen för att göra det möjligt för Microsoft Entra-ID att synkronisera användare och grupper till ditt Azure Databricks-konto. Den här konfigurationen är separat från alla konfigurationer som du har skapat för att synkronisera användare och grupper till arbetsytor.
- I din Azure Portal går du till Microsoft Entra ID > Enterprise Applications.
- Klicka på + Nytt program ovanför programlistan. Under Lägg till från galleriet söker du efter och väljer Azure Databricks SCIM Provisioning Connector.
- Ange ett namn för programmet och klicka på Lägg till.
- Under menyn Hantera klickar du på Etablering.
- Ange Etableringsläge till Automatiskt.
- Ange SCIM API-slutpunktens URL till den SCIM-URL för kontot som du kopierade tidigare.
- Ange hemlig token till den Azure Databricks SCIM-token som du genererade tidigare.
- Klicka på Testa anslutning och vänta på meddelandet som bekräftar att autentiseringsuppgifterna har behörighet att aktivera etablering.
- Klicka på Spara.
Steg 3: Tilldela användare och grupper till programmet
Användare och grupper som tilldelats SCIM-programmet etableras till Azure Databricks-kontot. Om du har befintliga Azure Databricks-arbetsytor rekommenderar Databricks att du lägger till alla befintliga användare och grupper på dessa arbetsytor i SCIM-programmet.
Kommentar
Microsoft Entra-ID stöder inte automatisk etablering av tjänstens huvudnamn till Azure Databricks. Du kan lägga till tjänstens huvudnamn ditt Azure Databricks-konto genom att följa Hantera tjänstens huvudnamn i ditt konto.
Microsoft Entra-ID stöder inte automatisk etablering av kapslade grupper till Azure Databricks. Microsoft Entra-ID kan bara läsa och etablera användare som är omedelbart medlemmar i den uttryckligen tilldelade gruppen. Som en lösning tilldelar du uttryckligen (eller på annat sätt omfång i) de grupper som innehåller de användare som behöver etableras. Mer information finns i vanliga frågor och svar.
- Gå till Hantera > egenskaper.
- Ange Tilldelning som krävs till Nej. Databricks rekommenderar det här alternativet, som gör att alla användare kan logga in på Azure Databricks-kontot.
- Gå till Hantera > etablering.
- Om du vill börja synkronisera Microsoft Entra ID-användare och grupper till Azure Databricks ställer du in växlingsknappen Etableringsstatus på På.
- Klicka på Spara.
- Gå till Hantera > användare och grupper.
- Klicka på Lägg till användare/grupp, välj användare och grupper och klicka på knappen Tilldela .
- Vänta några minuter och kontrollera att användare och grupper finns i ditt Azure Databricks-konto.
Användare och grupper som du lägger till och tilldelar etableras automatiskt till Azure Databricks-kontot när Microsoft Entra ID schemalägger nästa synkronisering.
Kommentar
Om du tar bort en användare från SCIM-programmet på kontonivå inaktiveras användaren från kontot och från deras arbetsytor, oavsett om identitetsfederation har aktiverats eller inte.
Etableringstips
- Användare och grupper som fanns i Azure Databricks-kontot innan etableringen aktiverades uppvisar följande beteende vid etableringssynkronisering:
- Användare och grupper slås samman om de också finns i Microsoft Entra-ID.
- Användare och grupper ignoreras om de inte finns i Microsoft Entra-ID. Användare som inte finns i Microsoft Entra-ID kan inte logga in på Azure Databricks.
- Individuellt tilldelade användarbehörigheter som dupliceras av medlemskap i en grupp finns kvar även efter att gruppmedlemskapet har tagits bort för användaren.
- Direkt borttagning av användare från ett Azure Databricks-konto med kontokonsolen har följande effekter:
- Den borttagna användaren förlorar åtkomsten till det Azure Databricks-kontot och alla arbetsytor i kontot.
- Den borttagna användaren synkroniseras inte igen med microsoft entra-ID-etablering, även om de finns kvar i företagsprogrammet.
- Den första Microsoft Entra ID-synkroniseringen utlöses omedelbart efter att du har aktiverat etablering. Efterföljande synkroniseringar utlöses var 20–40:e minut, beroende på antalet användare och grupper i programmet. Se Sammanfattningsrapport för etablering i Microsoft Entra ID-dokumentationen.
- Du kan inte uppdatera e-postadressen för en Azure Databricks-användare.
- Du kan inte synkronisera kapslade grupper eller Microsoft Entra ID-tjänstens huvudnamn från Azure Databricks SCIM Provisioning Connector-programmet . Databricks rekommenderar att du använder företagsprogrammet för att synkronisera användare och grupper och hantera kapslade grupper och tjänstens huvudnamn i Azure Databricks. Du kan dock också använda Databricks Terraform-providern eller anpassade skript som riktar in sig på Azure Databricks SCIM-API:et för att synkronisera kapslade grupper eller Microsoft Entra ID-tjänstens huvudnamn.
- Uppdateringar av gruppnamn i Microsoft Entra-ID synkroniseras inte med Azure Databricks.
- Parametrarna
userName
ochemails.value
måste matcha. Ett matchningsfel kan leda till att Azure Databricks avvisar begäranden om att skapa användare från Microsoft Entra ID SCIM-programmet. I fall som externa användare eller aliasbaserade e-postmeddelanden kan du behöva ändra företagsappens standard-SCIM-mappning så att den användsuserPrincipalName
i ställetmail
för .
(Valfritt) Automatisera SCIM-etablering med Microsoft Graph
Microsoft Graph innehåller autentiserings- och auktoriseringsbibliotek som du kan integrera i ditt program för att automatisera etableringen av användare och grupper till ditt Azure Databricks-konto eller dina arbetsytor, i stället för att konfigurera ett SCIM-etableringsanslutningsprogram.
- Följ anvisningarna för att registrera ett program med Microsoft Graph. Anteckna program-ID:t och klientorganisations-ID:t för programmet
- Gå till programmets översiktssida. På den sidan:
- Konfigurera en klienthemlighet för programmet och anteckna hemligheten.
- Bevilja programmet följande behörigheter:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
- Be en Microsoft Entra-ID-administratör att bevilja administratörsmedgivande.
- Uppdatera programmets kod för att lägga till stöd för Microsoft Graph.
Felsökning
Användare och grupper synkroniseras inte
- Om du använder Azure Databricks SCIM Provisioning Connector-programmet :
- I kontokonsolen kontrollerar du att Azure Databricks SCIM-token som användes för att konfigurera etablering fortfarande är giltig.
- Försök inte synkronisera kapslade grupper som inte stöds av automatisk etablering av Microsoft Entra ID. Mer information finns i vanliga frågor och svar.
Tjänstens huvudnamn för Microsoft Entra-ID synkroniseras inte
- Azure Databricks SCIM Provisioning Connector-programmet stöder inte synkronisering av tjänstens huvudnamn.
Efter den initiala synkroniseringen slutar användare och grupper att synkronisera
Om du använder Azure Databricks SCIM Provisioning Connector-programmet : Efter den första synkroniseringen synkroniseras inte Microsoft Entra-ID direkt efter att du har ändrat användar- eller grupptilldelningar. Azure Active Directory schemalägger en synkronisering med programmet efter en fördröjning, beroende på antalet användare och grupper. Om du vill begära en omedelbar synkronisering går du till Hantera > etablering för företagsprogrammet och väljer Rensa aktuellt tillstånd och starta om synkroniseringen.
Microsoft Entra ID-etableringstjänstens IP-intervall är inte tillgängligt
Microsoft Entra ID-etableringstjänsten fungerar under specifika IP-intervall. Om du behöver begränsa nätverksåtkomsten måste du tillåta trafik från IP-adresserna för AzureActiveDirectory
i den här IP-intervallfilen. Mer information finns i IP-intervall.