Konfigurieren der SCIM-Bereitstellung mithilfe von Microsoft Entra ID (früher Azure Active Directory)

In diesem Artikel wird beschrieben, wie Sie die Bereitstellung für Azure Databricks mithilfe von Microsoft Entra ID (früher Azure Active Directory) einrichten.

Sie können die Bereitstellung für Azure Databricks mithilfe von Microsoft Entra ID auf der Kontoebene oder Arbeitsbereichsebene von Azure Databricks einrichten.

Databricks empfiehlt, Benutzer, Dienstprinzipale und Gruppen auf Kontoebene bereitzustellen und die Zuweisung von Benutzern und Gruppen zu Arbeitsbereichen innerhalb von Azure Databricks zu verwalten. Ihre Arbeitsbereiche müssen für Identitätsföderation aktiviert sein, um die Zuweisung von Benutzern zu Arbeitsbereichen zu verwalten. Wenn Sie über Arbeitsbereiche verfügen, die nicht für den Identitätsverbund aktiviert sind, sollten Sie weiterhin Benutzer, Dienstprinzipale und Gruppen direkt für diese Arbeitsbereiche bereitstellen.

Hinweis

Die Art, in der die Bereitstellung konfiguriert wird, ist vollständig getrennt von der Konfiguration der Authentifizierung und des bedingten Zugriffs für Azure Databricks-Arbeitsbereiche oder -Konten. Die Authentifizierung für Azure Databricks wird automatisch von Microsoft Entra ID mithilfe des OpenID Connect-Protokollflusses ausgeführt. Sie können den bedingten Zugriff, mit dem Sie Regeln erstellen können, um eine Multi-Faktor-Authentifizierung vorauszusetzen oder Anmeldungen bei lokalen Netzwerken einzuschränken, auf Dienstebene konfigurieren.

Bereitstellen von Identitäten für Ihr Azure Databricks-Konto mithilfe von Microsoft Entra ID

Sie können Benutzer*innen und Gruppen auf Kontoebene über Ihren Microsoft Entra ID-Mandanten mithilfe eines SCIM-Bereitstellungsconnectors mit Azure Databricks synchronisieren.

Wichtig

Wenn Sie bereits SCIM-Connectors haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren, müssen Sie diese SCIM-Connectors deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert wird. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.

Anforderungen

  • Ihr Azure Databricks-Konto muss im Premium-Plan enthalten sein.
  • Sie müssen über die Rolle „Cloud-Anwendungsadministrator*in“ in Microsoft Entra ID verfügen.
  • Ihr Microsoft Entra ID-Konto muss ein Premium Edition-Konto sein, um Gruppen bereitzustellen. Die Bereitstellung von Benutzer*innen ist für jede Microsoft Entra ID-Edition verfügbar.
  • Sie müssen ein Azure Databricks-Kontoadministrator sein.

Hinweis

Informationen zum Aktivieren der Kontokonsole und Einrichten Ihres ersten Kontoadministrators finden Sie unter Einrichten des ersten Kontoadministrators.

Schritt 1: Konfigurieren von Azure Databricks

  1. Melden Sie sich in der Azure Databricks-Kontokonsole als Azure Databricks-Kontoadministrator an.
  2. Klicken Sie auf das User Settings IconEinstellungen.
  3. Klicken Sie auf Benutzerbereitstellung.
  4. Klicken Sie auf Aktivieren der Benutzerbereitstellung.

Kopieren Sie das SCIM-Token und die Konto-SCIM-URL. Sie verwenden diese, um Ihre Microsoft Entra ID-Anwendung zu konfigurieren.

Hinweis

Das SCIM-Token ist auf die SCIM-API für Konten „/api/2.0/accounts/{account_id}/scim/v2/” beschränkt und kann nicht für die Authentifizierung bei anderen Databricks-REST-APIs verwendet werden.

Schritt 2: Konfigurieren der Unternehmensanwendung

In dieser Anleitung erfahren Sie, wie Sie eine Unternehmensanwendung im Azure-Portal erstellen und diese Anwendung für die Bereitstellung verwenden. Wenn Sie über eine vorhandene Unternehmensanwendung verfügen, können Sie sie ändern, um die SCIM-Bereitstellung mithilfe von Microsoft Graph zu automatisieren. So ist keine separate Bereitstellungsanwendung im Azure-Portal mehr notwendig.

Führen Sie diese Schritte aus, um Microsoft Entra ID das Synchronisieren von Benutzer*innen und Gruppen mit Ihrem Azure Databricks-Konto zu ermöglichen. Diese Konfiguration unterscheidet sich von allen Konfigurationen, die Sie zum Synchronisieren von Benutzern und Gruppen mit Arbeitsbereichen erstellt haben.

  1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen.
  2. Klicken Sie oberhalb der Anwendungsliste auf + Neue Anwendung. Suchen Sie unter Aus Katalog hinzufügen nach dem SCIM-Bereitstellungsconnector für Azure Databricks, und wählen Sie ihn aus.
  3. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf Hinzufügen.
  4. Klicken Sie im Menü Verwalten auf Bereitstellung.
  5. Stellen Sie den Bereitstellungsmodus auf „Automatisch“ ein.
  6. Legen Sie die SCIM-API-Endpunkt-URL auf die zuvor kopierte Konto-SCIM-URL fest.
  7. Legen Sie Geheimnis-Token auf das zuvor generierte Azure Databricks SCIM-Token fest.
  8. Klicken Sie auf Verbindung testen, und warten Sie auf die Meldung, die bestätigt, dass die Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind.
  9. Klicken Sie auf Speichern.

Schritt 3: Zuweisen von Benutzern und Gruppen zur Anwendung

Benutzer und Gruppen, die der SCIM-Anwendung zugewiesen sind, werden dem Azure Databricks-Konto bereitgestellt. Wenn Sie über vorhandene Azure Databricks-Arbeitsbereiche verfügen, empfiehlt Databricks, alle vorhandenen Benutzer und Gruppen in diesen Arbeitsbereichen der SCIM-Anwendung hinzuzufügen.

Hinweis

Microsoft Entra ID unterstützt nicht die automatische Bereitstellung von Dienstprinzipalen für Azure Databricks. Sie können Ihrem Azure Databricks-Konto Dienstprinzipale hinzufügen, indem Sie die Anleitung unter Verwalten von Dienstprinzipalen in Ihrem Konto befolgen.

Microsoft Entra ID unterstützt die automatische Bereitstellung von geschachtelten Gruppen für Azure Databricks nicht. Microsoft Entra ID kann nur Benutzer*innen lesen und bereitstellen, die direkte Mitglieder der explizit zugewiesenen Gruppe sind. Weisen Sie als Problemumgehung die Gruppen, die die bereitzustellenden Benutzer enthalten, explizit zu (oder beziehen Sie sie auf andere Weise ein). Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

  1. Wechseln Sie zu Verwalten von > Eigenschaften.
  2. Legen Sie Zuweisung erforderlich? auf Nein fest. Databricks empfiehlt diese Option, welche es allen Benutzern ermöglicht, sich beim Azure Databricks-Konto anzumelden.
  3. Navigieren Sie zu Verwalten > Bereitstellung.
  4. Um mit der Synchronisierung von Microsoft Entra-ID-Benutzern und -Gruppen mit Azure Databricks zu beginnen, legen Sie den Bereitstellungsstatus fest, und schalten Sie auf Anum.
  5. Klicken Sie auf Speichern.
  6. Navigieren Sie zu Verwalten > Benutzer und Gruppen.
  7. Klicken Sie auf Benutze/Gruppe hinzufügen, wählen Sie die Benutzer und Gruppen aus, und klicken Sie auf die Schaltfläche Zuweisen.
  8. Warten Sie einige Minuten, und überprüfen Sie, ob die Benutzer und Gruppen in Ihrem Azure Databricks-Konto vorhanden sind.

Benutzer*innen und Gruppen, die Sie hinzufügen und zuweisen, werden automatisch für das Azure Databricks-Konto bereitgestellt, wenn Microsoft Entra ID die nächste Synchronisierung plant.

Hinweis

Wenn Sie eine*n Benutzer*in auf Kontoebene aus der SCIM-Anwendung entfernen, wird diese*r Benutzer*in im Konto und ihren/seinen Arbeitsbereichen deaktiviert, unabhängig davon, ob der Identitätsverbund aktiviert wurde oder nicht.

Bereitstellen von Identitäten für Ihren Azure Databricks-Arbeitsbereich mithilfe von Microsoft Entra ID

Wichtig

Dieses Feature befindet sich in der Public Preview.

Wenn Sie über Arbeitsbereiche verfügen, die nicht für den Identitätsverbund aktiviert sind, sollten Sie Benutzer, Dienstprinzipale und Gruppen direkt für diese Arbeitsbereiche bereitstellen. In diesem Abschnitt wird die Vorgehensweise beschrieben.

Ersetzen Sie in den folgenden Beispielen <databricks-instance> durch die Arbeitsbereichs-URL Ihrer Azure Databricks-Bereitstellung.

Anforderungen

  • Ihr Azure Databricks-Konto muss im Premium-Plan enthalten sein.
  • Sie müssen über die Rolle „Cloud-Anwendungsadministrator*in“ in Microsoft Entra ID verfügen.
  • Ihr Microsoft Entra ID-Konto muss ein Premium Edition-Konto sein, um Gruppen bereitzustellen. Die Bereitstellung von Benutzer*innen ist für jede Microsoft Entra ID-Edition verfügbar.
  • Sie müssen ein Azure Databricks-Arbeitsbereichsadministrator sein.

Schritt 1: Erstellen einer Unternehmensanwendung und Herstellen einer Verbindung mit der SCIM-API von Azure Databricks

Um die Bereitstellung direkt für Azure Databricks-Arbeitsbereiche mithilfe von Microsoft Entra ID einzurichten, erstellen Sie eine Unternehmensanwendung für jeden Azure Databricks-Arbeitsbereich.

In dieser Anleitung erfahren Sie, wie Sie eine Unternehmensanwendung im Azure-Portal erstellen und diese Anwendung für die Bereitstellung verwenden. Wenn Sie über eine vorhandene Unternehmensanwendung verfügen, können Sie sie ändern, um die SCIM-Bereitstellung mithilfe von Microsoft Graph zu automatisieren. So ist keine separate Bereitstellungsanwendung im Azure-Portal mehr notwendig.

  1. Melden Sie sich als Arbeitsbereichsadministrator bei Ihrem Azure Databricks-Arbeitsbereich an.

  2. Generieren Sie ein persönliches Zugriffstoken, und kopieren Sie es. Sie stellen dieses Token in einem nachfolgenden Schritt für Microsoft Entra ID zur Verfügung.

    Wichtig

    Generieren Sie dieses Token als Azure Databricks-Arbeitsbereichsadministrator*in, der bzw. die nicht von der Microsoft Entra ID-Unternehmensanwendung verwaltet wird. Wenn die Bereitstellung von Azure Databricks- Administratorbenutzer*innen, die das persönliche Zugriffstoken besitzen, mithilfe von Microsoft Entra ID aufgehoben wird, wird die SCIM-Bereitstellungsanwendung deaktiviert.

  3. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen.

  4. Klicken Sie oberhalb der Anwendungsliste auf + Neue Anwendung. Suchen Sie unter Aus Katalog hinzufügen nach dem SCIM-Bereitstellungsconnector für Azure Databricks, und wählen Sie ihn aus.

  5. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf Hinzufügen. Verwenden Sie einen Namen, den Administratoren leicht finden können, z. B. <workspace-name>-provisioning.

  6. Klicken Sie im Menü Verwalten auf Bereitstellung.

  7. Legen Sie Bereitstellungsmodus auf Automatisch fest.

  8. Geben Sie die URL des SCIM-API-Endpunkts ein. Fügen Sie /api/2.0/preview/scim Ihrer Arbeitsbereichs-URL an:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Ersetzen Sie <databricks-instance> durch die Arbeitsbereichs-URL Ihrer Azure Databricks-Bereitstellung. Weitere Informationen finden Sie unter Abrufen von Bezeichnern für Arbeitsbereichsobjekte.

  9. Legen Sie für Geheimes Token das persönliche Zugriffstoken für Azure Databricks fest, das Sie in Schritt 1 generiert haben.

  10. Klicken Sie auf Verbindung testen, und warten Sie auf die Meldung, die bestätigt, dass die Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind.

  11. Geben Sie optional eine Benachrichtigungs-E-Mail ein, um Benachrichtigungen zu kritischen Fehlern bei der SCIM-Bereitstellung zu erhalten.

  12. Klicken Sie auf Speichern.

Schritt 2: Zuweisen von Benutzern und Gruppen zur Anwendung

Hinweis

Microsoft Entra ID unterstützt nicht die automatische Bereitstellung von Dienstprinzipalen für Azure Databricks. Befolgen Sie die Anleitung unter Verwalten von Dienstprinzipalen zu Ihrem Arbeitsbereich, um Ihrem Azure Databricks-Arbeitsbereich Dienstprinzipale hinzufügen.

Microsoft Entra ID unterstützt die automatische Bereitstellung von geschachtelten Gruppen für Azure Databricks nicht. Microsoft Entra ID kann nur Benutzer*innen lesen und bereitstellen, die direkte Mitglieder der explizit zugewiesenen Gruppe sind. Weisen Sie als Problemumgehung die Gruppen, die die bereitzustellenden Benutzer enthalten, explizit zu (oder beziehen Sie sie auf andere Weise ein). Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

  1. Wechseln Sie zu Verwalten von > Eigenschaften.
  2. Legen Sie Zuweisung erforderlich auf Ja fest. Databricks empfiehlt diese Option, bei der nur Benutzer und Gruppen synchronisiert werden, die der Unternehmensanwendung zugewiesen sind.
  3. Navigieren Sie zu Verwalten > Bereitstellung.
  4. Um mit der Synchronisierung von Microsoft Entra-ID-Benutzern und -Gruppen mit Azure Databricks zu beginnen, legen Sie den Bereitstellungsstatus fest, und schalten Sie auf Anum.
  5. Klicken Sie auf Speichern.
  6. Navigieren Sie zu Verwalten > Benutzer und Gruppen.
  7. Klicken Sie auf Benutze/Gruppe hinzufügen, wählen Sie die Benutzer und Gruppen aus, und klicken Sie auf die Schaltfläche Zuweisen.
  8. Warten Sie einige Minuten, und überprüfen Sie, ob die Benutzer und Gruppen in Ihrem Azure Databricks-Konto vorhanden sind.

In Zukunft werden Benutzer*innen und Gruppen, die Sie hinzufügen und zuweisen, automatisch bereitgestellt, wenn Microsoft Entra ID die nächste Synchronisierung plant.

Wichtig

Weisen Sie nicht den Azure Databricks-Arbeitsbereichsadministrator zu, dessen persönliches Zugriffstoken zum Konfigurieren der Anwendung SCIM-Bereitstellungsconnector für Azure Databricks verwendet wurde.

(Optional) Automatisieren der SCIM-Bereitstellung mithilfe von Microsoft Graph

Microsoft Graph enthält Authentifizierungs- und Autorisierungsbibliotheken, die Sie in Ihre Anwendung integrieren können, um die Bereitstellung von Benutzern und Gruppen in Ihrem Azure Databricks-Konto oder Ihren Azure Databricks-Arbeitsbereichen zu automatisieren, anstatt eine SCIM-Bereitstellungsconnectoranwendung zu konfigurieren.

  1. Befolgen Sie die Anweisungen zum Registrieren einer Anwendung bei Microsoft Graph. Notieren Sie sich die Anwendungs-ID und die Mandanten-ID für die Anwendung.
  2. Navigieren Sie zur Seite „Übersicht“ der Anwendung. Auf dieser Seite:
    1. Konfigurieren Sie einen geheimen Clientschlüssel für die Anwendung, und notieren Sie sich das Geheimnis.
    2. Gewähren Sie der Anwendung diese Berechtigungen:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Bitten Sie einen bzw. eine Microsoft Entra-ID-Administrator*in, Administratorzustimmung zu erteilen.
  4. Aktualisieren Sie den Code Ihrer Anwendung, um Unterstützung für Microsoft Graph hinzuzufügen.

Bereitstellungstipps

  • Benutzer und Gruppen, die vor der Aktivierung der Bereitstellung im Azure Databricks-Arbeitsbereich vorhanden waren, zeigen bei der Bereitstellungssynchronisierung folgendes Verhalten:
    • Werden zusammengeführt, wenn sie auch in der Microsoft Entra ID vorhanden sind
    • Werden ignoriert, wenn sie nicht in der Microsoft Entra ID vorhanden sind
  • Benutzerberechtigungen, die einzeln zugewiesen und durch die Mitgliedschaft in einer Gruppe dupliziert werden, verbleiben, nachdem die Gruppenmitgliedschaft des Benutzers aufgehoben wurde.
  • Benutzer, die direkt mithilfe der Seite „Administratoreinstellungen“ für Azure Databricks-Arbeitsbereiche aus einem Azure Databricks-Arbeitsbereich entfernt wurden:
    • Verlieren den Zugriff auf diesen Azure Databricks-Arbeitsbereich, haben aber möglicherweise weiterhin Zugriff auf andere Azure Databricks-Arbeitsbereiche.
    • Werden auch dann nicht erneut mithilfe der Microsoft Entra ID-Bereitstellung synchronisiert, wenn sie in der Unternehmensanwendung verbleiben.
  • Die erste Microsoft Entra ID-Synchronisierung wird sofort nach dem Aktivieren der Bereitstellung ausgelöst. Nachfolgende Synchronisierungen werden abhängig von der Anzahl der Benutzer und Gruppen in der Anwendung alle 20 bis 40 Minuten ausgelöst. Weitere Informationen finden Sie in der Microsoft Entra ID-Dokumentation im Zusammenfassungsbericht zur Bereitstellung.
  • Sie können den Benutzernamen oder die E-Mail-Adresse eines Azure Databricks-Arbeitsbereichsbenutzers nicht aktualisieren.
  • Die admins-Gruppe ist eine reservierte Gruppe in Azure Databricks und kann nicht entfernt werden.
  • Sie können die Azure Databricks-Gruppen-API oder die Gruppenbenutzeroberfläche verwenden, um eine Liste der Mitglieder einer beliebigen Azure Databricks-Arbeitsbereichsgruppe abzurufen.
  • Geschachtelte Gruppen oder Microsoft Entra ID-Dienstprinzipale aus der Anwendung Azure Databricks SCIM-Bereitstellungsconnector können nicht synchronisiert werden. Databricks empfiehlt die Verwendung der Enterprise-Anwendung, um Benutzer*innen und Gruppen zu synchronisieren und geschachtelte Gruppen und Dienstprinzipale in Azure Databricks zu verwalten. Sie können jedoch auch den Databricks Terraform-Anbieter oder benutzerdefinierte Skripte für die Azure Databricks SCIM-API verwenden, um geschachtelte Gruppen oder Microsoft Entra ID-Dienstprinzipale zu synchronisieren.

Problembehandlung

Benutzer und Gruppen werden nicht synchronisiert

  • Wenn Sie die Azure Databricks SCIM-Bereitstellungsconnector-Anwendung verwenden:
    • Für die Bereitstellung auf Arbeitsbereichsebene: Stellen Sie auf der Seite „Administratoreinstellungen“ für Azure Databricks sicher, dass der Azure Databricks-Benutzer, dessen persönliches Zugriffstoken von der Azure Databricks SCIM-Bereitstellungsconnector-Anwendung verwendet wird, immer noch ein Administratorbenutzer im Arbeitsbereich von Azure Databricks ist und dass das Token noch gültig ist.
    • Für die Bereitstellung auf Kontoebene: Überprüfen Sie in der Kontokonsole, ob das Azure Databricks SCIM-Token, das zum Einrichten der Bereitstellung verwendet wurde, noch gültig ist.
  • Versuchen Sie nicht, geschachtelte Gruppen zu synchronisieren, die von der automatischen Microsoft Entra ID-Bereitstellung nicht unterstützt werden. Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

Microsoft Entra ID-Dienstprinzipale werden nicht synchronisiert

  • Die Anwendung Azure Databricks-SCIM-Bereitstellungsconnector unterstützt die Synchronisierung von Dienstprinzipalen nicht.

Nach der ersten Synchronisierung beenden die Benutzer und Gruppen die Synchronisierung

Bei Verwendung der Anwendung Azure Databricks SCIM-Bereitstellungsconnector: Nach der ersten Synchronisierung wird Microsoft Entra ID nicht sofort synchronisiert, nachdem Sie Zuweisungen von Benutzer*innen oder Gruppen geändert haben. Basierend auf der Anzahl von Benutzern und Gruppen wird nach einer Verzögerung eine Synchronisierung mit der Anwendung geplant. Wenn Sie eine sofortige Synchronisierung anfordern möchten, wechseln Sie zu Verwalten > Bereitstellung für die Unternehmensanwendung, und wählen Sie Aktuellen Status löschen und Synchronisierung neu starten aus.

IP-Adressbereich des Microsoft Entra ID-Bereitstellungsdiensts nicht zugänglich

Der Microsoft Entra ID-Bereitstellungsdienst verwendet bestimmte IP-Adressbereiche. Wenn Sie den Netzwerkzugriff einschränken müssen, müssen Sie Datenverkehr von den IP-Adressen für AzureActiveDirectory in dieser IP-Adressbereichdatei zulassen. Weitere Informationen finden Sie unter IP-Bereiche.