Konfigurace zřizování SCIM pro Microsoft Azure Active Directory

Pokud chcete povolit zřizování Azure Databricks pomocí Azure Active Directory (Azure AD), musíte pro každý Azure Databricks pracovní prostor vytvořit podnikovou aplikaci.

Poznámka

Konfigurace zřizování je zcela oddělená od procesu nastavení ověřování a podmíněného přístupu pro Azure Databricks pracovní prostory. Ověřování pro Azure Databricks je automaticky zpracováváno Azure Active Directory pomocí toku protokolu OpenID Connect. Podmíněný přístup, který umožňuje vytvořit pravidla pro vyžadování vícefaktorového ověřování nebo omezení přihlášení k místním sítím, se dá zřídit na úrovni služby. Pokyny najdete v tématu podmíněný přístup.

Požadavky

Váš účet Azure AD musí být účtem Premium Edition a abyste mohli povolit zřizování, musíte být globálním správcem tohoto účtu.

Vytvoření podnikové aplikace a připojení k rozhraní Azure Databricks SCIM API

V následujících příkladech nahraďte <databricks-instance> adresou URL pracovního prostoru pro vaše nasazení Azure Databricks.

  1. Vygenerujte osobní přístupový token v Azure Databricks a zkopírujte ho. Tento token do Azure AD zadáte v dalším kroku.

    Důležité

    Vygenerujte tento token jako správce Azure Databricks, který nebude spravovat podnikovou aplikací Azure AD. Uživatele s oprávněními správce Azure Databricks, který spravuje tato podniková aplikace, se dá zrušit v Azure AD, což by způsobilo, že se vaše integrace SCIM zřizování zakáže.

  2. V Azure Portal navštivte Azure Active Directory > podnikové aplikace.

  3. Klikněte na + Nová aplikace nad seznamem aplikací,. V části Přidat z Galerie vyhledejte a vyberte Azure Databricks konektor pro zřizování SCIM.

  4. Zadejte název aplikace a klikněte na Přidat. Použijte název, který správcům pomůže najít, jako je třeba <workspace-name>-provisioning .

  5. V nabídce Spravovat klikněte na zřizování.

  6. V rozevíracím seznamu režim zřizování vyberte automaticky.

  7. Zadejte adresu URL tenanta:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Nahraďte <datacihly – instance> adresou URL pracovního prostoru nasazení Azure Databricks. Viz získat identifikátory pro pracovní prostor, cluster, notebook, model a úlohu.

  8. V poli token tajného klíče zadejte Azure Databricks osobní přístupový token, který jste vygenerovali v kroku 1.

  9. Klikněte na Test připojení a počkejte na zprávu, která potvrdí, že přihlašovací údaje jsou autorizované k povolení zřizování.

  10. Volitelně můžete zadat e-mailové oznámení pro příjem oznámení o kritických chybách s zřizováním SCIM.

  11. Klikněte na Uložit.

Přiřazení uživatelů a skupin k aplikaci

  1. V části nastavení spravovat > zřizování a v části Nastavení nastavte obor pro synchronizaci pouze přiřazených uživatelů a skupin.

    Tato možnost synchronizuje jenom uživatele a skupiny přiřazené k podnikové aplikaci a je to náš doporučený postup.

    Poznámka

    Azure Active Directory nepodporuje automatické zřizování vnořených skupin pro Azure Databricks. Je možné číst a zřizovat pouze uživatele, kteří jsou bezprostředními členy explicitně přiřazené skupiny. Alternativním řešením je, že byste měli explicitně přiřadit (nebo jinak určit obor) skupiny obsahující uživatele, kteří se musí zřídit. Další informace najdete v těchto nejčastějších dotazech.

  2. Pokud chcete zahájit synchronizaci uživatelů a skupin z Azure AD po Azure Databricks, přepínejte stav zřizování na.

  3. Klikněte na Uložit.

  4. Otestujte nastavení zřizování:

    1. Přejít ke správě > uživatelů a skupin.
    2. Přidejte nějaké uživatele a skupiny. Klikněte na Přidat uživatele, vyberte uživatele a skupiny a klikněte na tlačítko přiřadit .
    3. Počkejte pár minut a ověřte, že uživatelé a skupiny byli přidáni do pracovního prostoru Azure Databricks.

Všichni další uživatelé a skupiny, které přidáte a přiřadíte, se automaticky zřídí, když Azure AD plánuje příští synchronizaci.

Důležité

Nepřiřazujte správce Azure Databricks, jehož tajný token (nosný token) se použil k nastavení této podnikové aplikace.

Tipy k zřizování

  • Uživatelé a skupiny, které existovaly v Azure Databricks před povolením zřizování, vykazují následující chování při zřizování synchronizace:
    • Se sloučí, pokud existují i v této podnikové aplikaci Azure AD.
    • Budou ignorovány, pokud v této podnikové aplikaci Azure AD neexistují.
  • Uživatelská oprávnění, která jsou přiřazena individuálně a jsou duplikována prostřednictvím členství ve skupině, zůstanou po odebrání členství ve skupině pro uživatele.
  • Uživatelé odebrali přímo z Azure Databricks pracovního prostoru pomocí konzoly pro správu Azure Databricks:
    • Ztratí přístup k tomuto pracovnímu prostoru Azure Databricks, ale může mít i nadále přístup k dalším pracovním prostorům Azure Databricks.
    • Se znovu nesynchronizuje s využitím zřizování Azure AD, a to i v případě, že zůstanou v podnikové aplikaci.
  • Počáteční synchronizace Azure AD se aktivuje hned po zapnutí zřizování. Další synchronizace se aktivují každých 20-40 minut v závislosti na počtu uživatelů a skupin v aplikaci. Viz Sestava Souhrn zřízení v dokumentaci k Azure AD.
  • Skupina Admins je rezervovanou skupinou v Azure Databricks a nelze ji odebrat.
  • Skupiny nelze přejmenovat v Azure Databricks; Nepokoušejte se je přejmenovat v Azure AD.
  • K získání seznamu členů libovolné skupiny Azure Databricks můžete použít rozhraní API skupin Azure Databricks nebo uživatelské rozhraní skupiny .
  • Nemůžete aktualizovat Azure Databricks uživatelská jména a e-mailové adresy.

Řešení potíží

Uživatelé a skupiny se nesynchronizují

Problémem může být, že uživatel s oprávněními správce Azure Databricks, jehož osobní přístupový token se používá pro připojení ke službě Azure AD, ztratil stav správce nebo má neplatný token: Přihlaste se ke konzole správce Azure Databricks jako tento uživatel a ověřte, že jste stále správce a že je váš přístupový token stále platný.

Další možností je, že se snažíte synchronizovat vnořené skupiny, které nejsou podporované automatickým zřizováním Azure AD. Podívejte se na Tyto nejčastější dotazy.

Po počáteční synchronizaci se uživatelé a skupiny nesynchronizují.

Po počáteční synchronizaci se služba Azure AD okamžitě nesynchronizuje po změnách přiřazení uživatelů a skupin. Naplánuje synchronizaci s aplikací po prodlevě (v závislosti na počtu uživatelů a skupin). Můžete přejít na spravovat > zřizování pro podnikovou aplikaci a vybrat Vymazat aktuální stav a restartovat synchronizaci a zahájit okamžitou synchronizaci.

Rozsah IP adres služby zřizování Azure AD není dostupný.

Služba zřizování Azure AD funguje pod konkrétními rozsahy IP adres. Pokud potřebujete omezit přístup k síti, vyhledejte IP adresy AzureActiveDirectory v tomto souboru rozsahu IP adres a přidejte je do povolených vaší aplikace, abyste povolili tok přenosů ze služby Azure AD Provisioning do vaší aplikace. Další informace najdete v tématu rozsahy IP adres.