使用 Microsoft Entra ID(旧版)配置工作区级 SCIM 预配
重要
本文档已过时,将来可能不会更新。 工作区级 SCIM 预配为旧版。 Databricks 建议使用帐户级 SCIM 预配,请参阅从 Microsoft Entra ID 同步用户和组。
重要
此功能目前以公共预览版提供。
如果你有任何未启用联合身份验证的工作区,应将用户、服务主体和组直接预配到这些工作区。 本部分将介绍如何操作。
在以下示例中,请将 <databricks-instance> 替换为 Azure Databricks 部署的<databricks-instance>。
要求
- Azure Databricks 帐户必须具有高级计划。
- 必须在 Microsoft Entra ID 中具有云应用程序管理员角色。
- 你的 Microsoft Entra ID 帐户必须是高级帐户才能预配组。 任何 Microsoft Entra ID 版本都可预配用户。
- 必须是 Azure Databricks 工作区管理员。
步骤 1:创建企业应用程序并将其连接到 Azure Databricks SCIM API
若要使用 Microsoft Entra ID 设置到 Azure Databricks 工作区的预配,需要为每个 Azure Databricks 工作区创建一个企业应用程序。
这些说明介绍了如何在 Azure 门户中创建企业应用程序,并使用该应用程序进行预配。
以工作区管理员身份登录到 Azure Databricks 工作区。
生成个人访问令牌,然后复制它。 在后续步骤中,你将此令牌提供给 Microsoft Entra ID。
重要
以不受 Microsoft Entra ID 企业应用程序管理的某个 Azure Databricks 工作区管理员身份生成此令牌。 如果使用 Microsoft Entra ID 取消预配拥有个人访问令牌的 Azure Databricks 管理员用户,则会禁用 SCIM 预配应用程序。
在 Azure 门户中,转到“Microsoft Entra ID”>“企业应用程序”。
单击应用程序列表上方的“+ 新建应用程序”。 在“从库中添加”下,搜索并选择“Azure Databricks SCIM 预配连接器”。
输入应用程序的名称并单击“添加”。 请使用有助于管理员查找的名称,例如
<workspace-name>-provisioning。在“管理”菜单下,单击“预配”。
将“预配模式”设置为“自动”。
输入 SCIM API 终结点 URL。 将
/api/2.0/preview/scim追加到你的工作区 URL:https://<databricks-instance>/api/2.0/preview/scim(将
<databricks-instance>替换为 Azure Databricks 部署的工作区 URL)。 请参阅获取工作区对象的标识符。将“机密令牌”设置为你在步骤 1 中生成的 Azure Databricks 个人访问令牌。
单击“测试连接”,等待确认凭据已获得启用预配的授权的消息。
(可选)输入通知电子邮件,接收与 SCIM 预配严重错误有关的通知。
单击“保存”。
步骤 2:将用户和组分配到应用程序
注意
Microsoft Entra ID 不支持将服务主体自动预配到 Azure Databricks。 可以按照管理工作区中的服务主体将服务主体添加到 Azure Databricks 工作区。
Microsoft Entra ID 不支持将嵌套组自动预配到 Azure Databricks。 Microsoft Entra ID 只能读取和预配是显式分配的组的直属成员的用户。 解决方法是,显式分配(或限定)包含需要预配的用户的组。 有关详细信息,请参阅此常见问题解答。
- 转到“管理 > 属性”。
- 将“需要分配”设置为“是”。 Databricks 建议使用此选项,这将仅同步分配到企业应用程序的用户和组。
- 转到“管理”>“预配”。
- 要开始将 Microsoft Entra ID 用户和组同步到 Azure Databricks,请将“预配状态”开关设为“开”。
- 单击“保存”。
- 转到“管理”>“用户和组”。
- 单击“添加用户/组”,选择用户和组,然后单击“分配”按钮。
- 等待几分钟,然后检查用户和组是否已存在于 Azure Databricks 帐户中。
将来,当 Microsoft Entra ID 计划下一次同步时,会自动预配你添加并分配的用户和组。
重要
请勿分配其个人访问令牌已用来配置“Azure Databricks SCIM 预配连接器”应用程序的 Azure Databricks 工作区管理员。