Dela via

Konfigurera SCIM-etablering med Microsoft Entra-ID (Azure Active Directory)

  • Artikel

Den här artikeln beskriver hur du konfigurerar tilldelning till Azure Databricks-kontot med hjälp av Microsoft Entra ID.

Du kan också synkronisera användare och grupper från Microsoft Entra-ID med hjälp av automatisk identitetshantering (offentlig förhandsversion). Automatisk identitetshantering kräver inte att du konfigurerar ett program i Microsoft Entra-ID. Det stöder också synkronisering av Microsoft Entra ID-serviceprincipaler och kapslade grupper till Azure Databricks, som inte stöds med SCIM-etablering. Mer information finns i Synkronisera användare och grupper automatiskt från Microsoft Entra ID.

Kommentar

Sättet som etablering konfigureras på är helt skilt från att konfigurera autentisering och villkorlig åtkomst för Azure Databricks-arbetsytor eller konton. Autentisering för Azure Databricks hanteras automatiskt av Microsoft Entra ID med hjälp av OpenID Connect-protokollflödet. Du kan konfigurera villkorlig åtkomst, vilket gör att du kan skapa regler för att kräva multifaktorautentisering eller begränsa inloggningar till lokala nätverk på tjänstnivå.

Etablera identiteter till ditt Azure Databricks-konto med hjälp av Microsoft Entra-ID

Du kan synkronisera användare och grupper på kontonivå från din Microsoft Entra ID-klientorganisation till Azure Databricks med hjälp av en SCIM-etableringsanslutning.

Viktigt!

Om du redan har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor måste du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Krav

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Du måste ha rollen Molnprogramadministratör i Microsoft Entra-ID.
  • Ditt Microsoft Entra-ID-konto måste vara ett Premium Edition-konto för att etablera grupper. Etableringsanvändare är tillgängliga för alla Microsoft Entra ID-utgåva.
  • Du måste vara administratör för Azure Databricks-kontot.

Kommentar

Information om hur du aktiverar kontokonsolen och upprättar din första kontoadministratör finns i Upprätta din första kontoadministratör.

Steg 1: Konfigurera Azure Databricks

  1. Som Azure Databricks-kontoadministratör loggar du in på Azure Databricks-kontokonsolen.
  2. Klicka på Ikon för användarinställningarInställningar.
  3. Klicka på Användaretablering.
  4. Klicka på Konfigurera användarförsörjning.

Kopiera SCIM-token och KONTOTS SCIM-URL. Du använder dessa för att konfigurera ditt Microsoft Entra-ID-program.

Kommentar

SCIM-token är begränsad till KONTOTS SCIM-API /api/2.1/accounts/{account_id}/scim/v2/ och kan inte användas för att autentisera till andra Databricks REST-API:er.

Steg 2: Konfigurera företagsprogrammet

De här anvisningarna beskriver hur du skapar ett företagsprogram i Azure Portal och använder programmet för etablering. Om du har ett befintligt företagsprogram kan du ändra det för att automatisera SCIM-etableringen med hjälp av Microsoft Graph. Detta tar bort behovet av ett separat etableringsprogram i Azure-portalen.

Följ de här stegen för att göra det möjligt för Microsoft Entra-ID att synkronisera användare och grupper till ditt Azure Databricks-konto. Den här konfigurationen är separat från alla konfigurationer som du har skapat för att synkronisera användare och grupper till arbetsytor.

  1. I din Azure Portal går du till Microsoft Entra ID > Enterprise Applications.
  2. Klicka på + Nytt program ovanför programlistan. Under Lägg till från galleriet, sök och välj Azure Databricks SCIM Provisioning Connector.
  3. Ange ett namn för programmet och klicka på Lägg till.
  4. Under menyn Hantera klickar du på Etablering.
  5. Ställ in konfigurationsläge till Automatisk.
  6. Ange SCIM API-slutpunkts-URL till kontots SCIM-URL som du kopierade tidigare.
  7. Ange hemlig token till Azure Databricks SCIM-token som du genererade tidigare.
  8. Klicka på Testa anslutning och vänta på meddelandet som bekräftar att autentiseringsuppgifterna är godkända för att aktivera provisionering.
  9. Klicka på Spara.

Steg 3: Tilldela användare och grupper till programmet

Användare och grupper som tilldelats SCIM-programmet etableras till Azure Databricks-kontot. Om du har befintliga Azure Databricks-arbetsytor rekommenderar Databricks att du lägger till alla befintliga användare och grupper på dessa arbetsytor i SCIM-programmet.

Kommentar

Microsoft Entra-ID stöder inte automatisk etablering av tjänstens huvudnamn till Azure Databricks. Du kan lägga till tjänstens huvudnamn ditt Azure Databricks-konto genom att följa Hantera tjänstens huvudnamn i ditt konto.

Microsoft Entra-ID stöder inte automatisk etablering av kapslade grupper till Azure Databricks. Microsoft Entra-ID kan bara läsa och etablera användare som är omedelbart medlemmar i den uttryckligen tilldelade gruppen. Som en lösning tilldelar du uttryckligen (eller på annat sätt omfång i) de grupper som innehåller de användare som behöver etableras. Mer information finns i vanliga frågor och svar.

  1. Gå till Hantera > egenskaper.
  2. Ange Obligatorisk tilldelning till Ingen. Databricks rekommenderar det här alternativet, som gör att alla användare kan logga in på Azure Databricks-kontot.
  3. Gå till Hantera > etablering.
  4. Om du vill börja synkronisera Microsoft Entra ID-användare och grupper till Azure Databricks anger du Etableringsstatus växla till .
  5. Klicka på Spara.
  6. Gå till Hantera > användare och grupper.
  7. Klicka på Lägg till användare/grupp, välj användare och grupper och klicka på knappen Tilldela.
  8. Vänta några minuter och kontrollera att användare och grupper finns i ditt Azure Databricks-konto.

Användare och grupper som du lägger till och tilldelar kommer att provisioneras automatiskt till Azure Databricks-kontot när Microsoft Entra ID, schemalägger nästa synkronisering.

Kommentar

Om du tar bort en användare från SCIM-programmet på kontonivå inaktiveras användaren från kontot och från deras arbetsytor, oavsett om identitetsfederation har aktiverats eller inte.

Etableringstips

  • Användare och grupper som fanns i Azure Databricks-kontot innan etableringen aktiverades uppvisar följande beteende vid etableringssynkronisering:
    • Användare och grupper slås samman om de också finns i Microsoft Entra-ID.
    • Användare och grupper ignoreras om de inte finns i Microsoft Entra-ID. Användare som inte finns i Microsoft Entra-ID kan inte logga in på Azure Databricks.
  • Individuellt tilldelade användarbehörigheter som dupliceras av medlemskap i en grupp finns kvar även efter att gruppmedlemskapet har tagits bort för användaren.
  • Direkt borttagning av användare från ett Azure Databricks-konto med kontokonsolen har följande effekter:
    • Den borttagna användaren förlorar åtkomsten till det Azure Databricks-kontot och alla arbetsytor i kontot.
    • Den borttagna användaren synkroniseras inte igen med microsoft entra-ID-etablering, även om de finns kvar i företagsprogrammet.
  • Den första Microsoft Entra ID-synkroniseringen utlöses omedelbart efter att du har aktiverat provisionering. Efterföljande synkroniseringar utlöses var 20–40:e minut, beroende på antalet användare och grupper i programmet. Se Sammanfattningsrapport för etablering i Microsoft Entra ID-dokumentationen.
  • Du kan inte uppdatera e-postadressen för en Azure Databricks-användare.
  • Du kan inte synkronisera kapslade grupper eller Microsoft Entra ID-tjänstens serviceprincipaler från applikationen Azure Databricks SCIM Provisioning Connector. Databricks rekommenderar att du använder företagsprogrammet för att synkronisera användare och grupper och hantera kapslade grupper och tjänstens huvudnamn i Azure Databricks. Du kan dock också använda Databricks Terraform Provider eller anpassade skript som riktar in sig på Azure Databricks SCIM API för att synkronisera kapslade grupper eller tjänstprincipaler i Microsoft Entra ID.
  • Uppdateringar av gruppnamn i Microsoft Entra-ID synkroniseras inte med Azure Databricks.
  • Parametrarna userName och emails.value måste matcha. Ett matchningsfel kan leda till att Azure Databricks avvisar begäranden om att skapa användare från Microsoft Entra ID SCIM-programmet. I fall som externa användare eller aliasbaserade e-postmeddelanden kan du behöva ändra företagsappens standard-SCIM-mappning så att den används userPrincipalName i stället mailför .

(Valfritt) Automatisera SCIM-etablering med Microsoft Graph

Microsoft Graph innehåller autentiserings- och auktoriseringsbibliotek som du kan integrera i ditt program för att automatisera etableringen av användare och grupper till ditt Azure Databricks-konto eller dina arbetsytor, i stället för att konfigurera ett SCIM-etableringsanslutningsprogram.

  1. Följ anvisningarna för att registrera ett program med Microsoft Graph. Anteckna program-ID:t och klientorganisations-ID:t för programmet
  2. Gå till programmets översiktssida. På den sidan:
    1. Konfigurera en klienthemlighet för programmet och anteckna hemligheten.
    2. Bevilja programmet följande behörigheter:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Be en Microsoft Entra-ID-administratör att bevilja administratörsmedgivande.
  4. Uppdatera programmets kod för att lägga till stöd för Microsoft Graph.

Felsökning

Användare och grupper synkroniseras inte

  • Om du använder Azure Databricks SCIM Provisioning Connector-programmet :
    • I kontokonsolen kontrollerar du att Azure Databricks SCIM-token som användes för att konfigurera etablering fortfarande är giltig.
  • Försök inte synkronisera kapslade grupper som inte stöds av automatisk etablering av Microsoft Entra ID. Mer information finns i vanliga frågor och svar.

Microsoft Entra ID-tjänsteprincipaler synkroniseras inte

  • Azure Databricks SCIM Provisioning Connector-programmet stöder inte synkronisering av tjänstens huvudnamn.

Efter den första synkroniseringen slutar användare och grupper att synkroniseras

Om du använder Azure Databricks SCIM Provisioning Connector program: Efter den första synkroniseringen synkroniseras inte Microsoft Entra-ID direkt efter att du har ändrat användar- eller grupptilldelningar. Den schemalägger en synkronisering med programmet efter en fördröjning, baserat på antalet användare och grupper. Om du vill begära en omedelbar synkronisering går du till Hantera > Etablering för företagsprogrammet och väljer Rensa aktuellt tillstånd och starta om synkroniseringen.

Microsoft Entra ID-etableringstjänstens IP-intervall är inte tillgängligt

Microsoft Entra ID-etableringstjänsten fungerar under specifika IP-intervall. Om du behöver begränsa nätverksåtkomsten måste du tillåta trafik från IP-adresserna för AzureActiveDirectory i filen Azure IP-intervall och tjänsttaggar – offentliga moln. Ladda ned från Microsoft-nedladdningswebbplatsen. Mer information finns i IP-intervall.