共用方式為

使用 Microsoft Entra ID 設定 SCIM 布建 (Azure Active Directory)

  • 發行項

本文說明如何使用 Microsoft Entra 識別符,將布建 set 至 Azure Databricks 帳戶。

Databricks 建議您將使用者、服務主體和群組布建至帳戶層級,並管理將使用者和群組指派給 Azure Databricks 內的工作區。 您必須 為身分識別同盟啟用工作區,才能管理使用者指派給工作區。

注意

設定布建的方式與設定 Azure Databricks 工作區或帳戶的驗證和條件式存取完全不同。 使用 OpenID Connect 通訊協定流程,Microsoft Entra ID 自動處理 Azure Databricks 的驗證。 您可以設定 條件式存取,讓您建立規則以要求多重要素驗證,或限制在服務層級對局域網路的登入。

使用 Microsoft Entra 識別符,將身分識別布建至 Azure Databricks 帳戶

您可以使用 SCIM 布建連接器,將帳戶層級的使用者和群組從 Microsoft Entra ID 租戶 sync 佈建至 Azure Databricks。

重要

如果您已經有直接 sync 工作區身分識別的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱將工作區層級 SCIM 佈建移轉至帳戶層級

需求

  • 您的 Azure Databricks 帳戶必須具有 進階方案
  • 您必須在 Microsoft Entra ID 中具有雲端應用程式管理員角色。
  • 您的Microsoft Entra ID 帳戶必須是進階版本帳戶,才能布建群組。 布建用戶適用於任何Microsoft Entra ID 版本。
  • 您必須是 Azure Databricks 帳戶管理員。

注意

若要啟用帳戶主控台並建立您的第一個帳戶管理員,請參閱 建立您的第一個帳戶管理員

步驟 1:設定 Azure Databricks

  1. 身為 Azure Databricks 帳戶管理員,登入 Azure Databricks 帳戶控制台
  2. 按兩下 [使用者設定圖示設定]。
  3. 按兩下 [ 使用者布建]。
  4. 按一下 Set 使用者布建

複製 SCIM 令牌和帳戶 SCIM URL。 您將使用這些來設定您的Microsoft Entra ID 應用程式。

注意

SCIM 令牌僅限於帳戶 SCIM API /api/2.1/accounts/{account_id}/scim/v2/ ,無法用來向其他 Databricks REST API 進行驗證。

步驟 2:設定企業應用程式

這些指示會告訴您如何在 Azure 入口網站 中建立企業應用程式,並使用該應用程式進行布建。 如果您有現有的企業應用程式,您可以使用 Microsoft Graph 將其修改為自動化 SCIM 布建。 這可移除 Azure 入口網站中個別布建應用程式的需求。

請遵循下列步驟來啟用 Microsoft Entra ID,以將使用者和群組 sync 至您的 Azure Databricks 帳戶。 此組態與您建立的任何設定不同,可 sync 使用者和群組至工作區。

  1. 在您的 Azure 入口網站 中,移至 Microsoft Entra ID > Enterprise Applications
  2. 點擊應用程式 list上方的 + 新增應用程式。 在 [從資源庫新增] 底下,搜尋並 selectAzure Databricks SCIM 配置連接器
  3. 輸入應用程式的 [名稱],然後按兩下 [新增]。
  4. 在 [ 管理] 功能表下,按兩下 [ 布建]。
  5. Set 將佈建模式 設定為自動。
  6. SCIM API 端點 URL Set 更改為您稍早複製的帳戶 SCIM URL
  7. Set 秘密令牌 到您稍早產生的 Azure Databricks SCIM 令牌。
  8. 按一下 [測試連線],並等候確認訊息,確認 credentials 已獲授權啟用布建。
  9. 按一下 [檔案] 。

步驟 3:將使用者和群組指派給應用程式

指派給 SCIM 應用程式的使用者和群組將會布建至 Azure Databricks 帳戶。 如果您有現有的 Azure Databricks 工作區,Databricks 建議您將這些工作區中的所有現有使用者和群組新增至 SCIM 應用程式。

注意

Microsoft Entra ID 不支援將服務主體自動布建至 Azure Databricks。 您可以在您的帳戶中管理服務主體之後,新增 Azure Databricks 帳戶的服務主體。

Microsoft Entra ID 不支援將巢狀群組自動布建至 Azure Databricks。 Microsoft Entra ID 只能讀取和布建明確指派群組的立即成員的使用者。 作為因應措施,請明確指派包含需要布建之使用者的群組(或其他範圍)。 如需詳細資訊,請參閱 此常見問題

  1. 移至 [ 管理 > 屬性]。
  2. Set 需要指派。 Databricks 建議此選項,這可讓所有使用者登入 Azure Databricks 帳戶。
  3. 移至 [ 管理 > 布建]。
  4. 若要開始將 Microsoft Entra ID 的使用者與群組同步至 Azure Databricks, 將 [布建狀態] 切換為 [開啟]
  5. 按一下 [檔案] 。
  6. 移至 [ 管理 > 使用者和群組]。
  7. 按一下 新增使用者/群組,選取使用者和群組 select ,然後按一下 指派 按鈕。
  8. 等候幾分鐘,並檢查您的 Azure Databricks 帳戶中是否存在使用者和群組。

當 Microsoft Entra ID 排程下一個 sync時,您新增和指派的使用者和群組將會自動被佈建到 Azure Databricks 帳戶。

注意

如果您 remove 來自帳戶層級 SCIM 應用程式的使用者,無論是否已啟用身分識別同盟,該用戶都會從帳戶及其工作區停用。

布建秘訣

  • 啟用布建之前存在於 Azure Databricks 帳戶中的使用者和群組,會在布建 sync時表現出下列行為:
    • 如果使用者也存在於 entra 識別碼Microsoft,則會合併使用者和群組。
    • 如果使用者和群組不存在於Microsoft Entra標識符中,則會予以忽略。 Microsoft Entra ID 中不存在的用戶無法登入 Azure Databricks。
  • 即使使用者移除群組成員資格之後,群組中成員資格所複製的個別指派用戶許可權仍會維持不變。
  • 使用帳戶控制台從 Azure Databricks 帳戶直接移除使用者具有下列效果:
    • 拿掉的使用者會失去該 Azure Databricks 帳戶和帳戶中所有工作區的存取權。
    • 即使移除的使用者保留在企業應用程式中,也不會使用Microsoft Entra ID 布建再次同步處理。
  • 啟用布建之後,初始 Microsoft Entra ID sync 會立即被觸發。 後續同步處理會每隔 20-40 分鐘觸發一次,視應用程式中的使用者和群組數目而定。 請參閱 Microsoft Entra ID 檔中的布建摘要報告
  • 您無法 update Azure Databricks 使用者的電子郵件位址。
  • 您無法從 Azure Databricks SCIM 布建連接器 應用程式 sync 巢狀群組或Microsoft Entra ID 服務主體。 Databricks 建議使用企業應用程式來 sync 使用者和群組,以及管理 Azure Databricks 內的巢狀群組和服務主體。 不過,您也可以使用以 Azure Databricks SCIM API 為目標的 Databricks Terraform 提供者 或自定義腳本來 sync 巢狀群組或Microsoft Entra ID 服務主體。
  • Microsoft Entra ID 中組名的更新不會 sync 至 Azure Databricks。
  • parameters userNameemails.value 必須相符。 不相符可能會導致 Azure Databricks 拒絕來自 Microsoft Entra ID SCIM 應用程式的使用者建立要求。 對於外部使用者或別名電子郵件等案例,您可能需要變更企業應用程式的預設 SCIM 對應,以使用 userPrincipalName 而非 mail

(選擇性)使用 Microsoft Graph 將 SCIM 布建自動化

Microsoft Graph 包含驗證和授權連結庫,您可以將使用者和群組布建至 Azure Databricks 帳戶或工作區自動化,而不是設定 SCIM 布建連接器應用程式。

  1. 依照指示向 Microsoft Graph 註冊應用程式。 記下應用程式識別碼應用程式的租用戶標識碼
  2. 移至應用程式的 [概觀] 頁面。 在該頁面上:
    1. 設定應用程式的客戶端密碼,並記下秘密。
    2. Grant 應用程式這些權限:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. 要求Microsoft Entra ID 系統管理員 grant 管理員同意
  4. Update 應用程式的程式代碼,以 新增對 Microsoft Graph的支援。

疑難排解

使用者和群組不會 sync

  • 如果您使用 Azure Databricks SCIM 佈建連接器 應用程式:
    • 在帳戶控制台中,確認用來 set 布建的 Azure Databricks SCIM 令牌仍然有效。
  • 請勿嘗試 sync 巢狀群組,Microsoft Entra ID 自動布建不支援。 如需詳細資訊,請參閱 此常見問題

Microsoft Entra ID 服務主體不會 sync

  • Azure Databricks SCIM 布建連接器應用程式不支援同步處理服務主體。

初始 sync之後,使用者和群組會停止同步處理

如果您正在使用 Azure Databricks SCIM 布建連接器 應用程式:在完成初始 sync之後,當您變更使用者或群組指派時,Microsoft Entra ID 不會立即進行同步 sync。 它會根據使用者和群組的數目,在延遲之後排程應用程式 sync。 若要要求立即 sync,請移至 管理企業應用程式的 > 布建,並 select清除目前狀態,然後重新啟動同步處理

Microsoft Entra ID 佈建服務 IP 範圍無法存取

Microsoft Entra ID 布建服務會在特定IP範圍下運作。 如果您需要限制網路存取,您必須允許來自 Azure IP 範圍和服務標籤 – 公用雲端檔案中 AzureActiveDirectory IP 位址的流量。 從 Microsoft 下載網站 下載。 如需詳細資訊,請參閱 IP 範圍