Konfigurieren der scim-Bereitstellung für Microsoft Azure Active Directory Configure SCIM provisioning for Microsoft Azure Active Directory

Um die Bereitstellung für Azure Databricks mithilfe Azure Active Directory (Azure AD) zu ermöglichen, müssen Sie für jeden Azure Databricks Arbeitsbereich eine Unternehmens Anwendung erstellen.To enable provisioning to Azure Databricks using Azure Active Directory (Azure AD) you must create an enterprise application for each Azure Databricks workspace.

Hinweis

Die Konfiguration der Bereitstellung ist vollständig vom Einrichten der Authentifizierung und des bedingten Zugriffs für Azure Databricks Arbeitsbereiche getrennt.Provisioning configuration is entirely separate from the process of setting up authentication and conditional access for Azure Databricks workspaces. Die Authentifizierung für Azure Databricks wird automatisch durch Azure Active Directory mithilfe des OpenID Connect-Protokoll Flusses verarbeitet.Authentication for Azure Databricks is handled automatically by Azure Active Directory, using the OpenID Connect protocol flow. Bedingter Zugriff, mit dem Sie Regeln erstellen können, um die Multi-Factor Authentication anzufordern oder Anmeldungen auf lokale Netzwerke einzuschränken, können auf Dienst Ebene eingerichtet werden.Conditional access, which lets you create rules to require multi-factor authentication or restrict logins to local networks, can be established at the service level. Anweisungen hierzu finden Sie unter bedingter Zugriff.For instructions, see Conditional access.

Anforderungen Requirements

Ihr Azure AD Konto muss ein Premium Edition-Konto sein, und Sie müssen ein globaler Administrator für dieses Konto sein, um die Bereitstellung zu ermöglichen.Your Azure AD account must be a Premium edition account, and you must be a global administrator for that account to enable provisioning.

Erstellen einer Unternehmens Anwendung und Herstellen einer Verbindung mit der Azure Databricks scim-APICreate an enterprise application and connect to the Azure Databricks SCIM API

Ersetzen Sie in den folgenden Beispielen <databricks-instance> durch die Arbeits Bereichs-URL Ihrer Azure Databricks Bereitstellung.In the following examples, replace <databricks-instance> with the workspace URL of your Azure Databricks deployment.

  1. Generieren Sie ein persönliches Zugriffs Token in Azure Databricks, und kopieren Sie es.Generate a personal access token in Azure Databricks and copy it. Sie stellen dieses Token für die Azure AD in einem nachfolgenden Schritt bereit.You provide this token to Azure AD in a subsequent step.

    Wichtig

    Generieren Sie dieses Token als Azure Databricks Administrator, der nicht von der Azure AD Enterprise-Anwendung verwaltet wird .Generate this token as an Azure Databricks admin who will not be managed by the Azure AD enterprise application. Ein Azure Databricks Administrator Benutzer, der von dieser Unternehmens Anwendung verwaltet wird, kann mithilfe von Azure AD bereitgestellt werden, was dazu führen würde, dass die scim-Bereitstellungs Integration deaktiviert wird.An Azure Databricks admin user who is managed by this enterprise application can be deprovisioned using Azure AD, which would cause your SCIM provisioning integration to be disabled.

  2. Wechseln Sie in Ihrem Azure-Portal zu Azure Active Directory > Unternehmensanwendungen.In your Azure portal, go to Azure Active Directory > Enterprise Applications.

  3. Klicken Sie oberhalb der Anwendungsliste auf + neue Anwendung .Click + New Application above the application list,. Suchen Sie unter Add aus demKatalog nach Azure Databricks scim Provisioning-Connector, und wählen Sie ihn aus.Under Add from the gallery, search for and select Azure Databricks SCIM Provisioning Connector.

  4. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf HinzufügenEnter a Name for the application and click Add. Verwenden Sie einen Namen, der Administratoren bei der Suche unterstützt, z <workspace-name>-provisioning . b..Use a name that will help administrators find it, like <workspace-name>-provisioning.

  5. Klicken Sieim Menü Verwalten auf Bereitstellung.Under the Manage menu, click Provisioning.

  6. Wählen Sie in der Dropdown-Option Bereitstellungs Modus die Option automatischaus.From the Provisioning Mode drop-down, select Automatic.

  7. Geben Sie die Mandanten- URLein:Enter the Tenant URL:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Ersetzen Sie durch die Arbeitsbereichs- URL ihrer Azure Databricks-Bereitstellung.Replace with the workspace URL of your Azure Databricks deployment. Weitere Informationen finden Sie unter Get Workspace, Cluster, Notebook, Model und Job Identifier.See Get workspace, cluster, notebook, model, and job identifiers.

  8. Geben Sie im Feld geheimes Token das Azure Databricks persönliche Zugriffs Token ein, das Sie in Schritt 1 erstellt haben.In the Secret Token field, enter the Azure Databricks personal access token that you generated in step 1.

  9. Klicken Sie auf Verbindung testen , und warten Sie auf die Meldung, die bestätigt, dass die Anmelde Informationen zum Aktivieren der Bereitstellung autorisiert sind.Click Test Connection and wait for the message that confirms that the credentials are authorized to enable provisioning.

  10. Geben Sie optional eine e-Mail-Benachrichtigungs-e-Mail ein, um bei der scim-Bereitstellung BenachrichtigungenOptionally, enter a notification email to receive notifications of critical errors with SCIM provisioning.

  11. Klicken Sie auf Speichern.Click Save.

Zuweisen von Benutzern und Gruppen zur AnwendungAssign users and groups to the application

  1. Wechseln Sie zu Manage > Provisioning , und legen Sie unter Einstellungen den Bereich auf nur zugewiesene Benutzer und Gruppen synchronisierenfest.Go to Manage > Provisioning and, under Settings, set the Scope to Sync only assigned users and groups.

    Mit dieser Option werden nur Benutzer und Gruppen synchronisiert, die der Unternehmens Anwendung zugewiesen sind, und die empfohlene Vorgehensweise wird empfohlen.This option syncs only users and groups assigned to the enterprise application, and is our recommended approach.

    Hinweis

    Azure Active Directory bietet keine Unterstützung für die automatische Bereitstellung von zu Azure Databricks enden Gruppen.Azure Active Directory does not support the automatic provisioning of nested groups to Azure Databricks. Es ist nur in der Lage, Benutzer zu lesen und bereitzustellen, die unmittelbare Mitglieder der explizit zugewiesenen Gruppe sind.It is only able to read and provision users that are immediate members of the explicitly assigned group. Als Problemumgehung sollten Sie die Gruppen, die die Benutzer enthalten, die bereitgestellt werden müssen, explizit zuweisen (oder auf andere Weise den Bereich festlegen).As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned. Weitere Informationen finden Sie in diesen FAQ.For more information, see this FAQ.

  2. Um die Synchronisierung von Benutzern und Gruppen von Azure AD bis Azure Databricks zu starten, schalten Sie den Bereitstellungs Status auf ein.To start the synchronization of users and groups from Azure AD to Azure Databricks, toggle Provisioning Status on.

  3. Klicken Sie auf Speichern.Click Save.

  4. Testen Sie das Setup für die Bereitstellung:Test your provisioning setup:

    1. Wechseln Sie zu verwalten > Benutzer und Gruppen.Go to Manage > Users and groups.
    2. Fügen Sie einige Benutzer und Gruppen hinzu.Add some users and groups. Klicken Sie auf Benutzer hinzufügen, wählen Sie die Benutzer und Gruppen, und klicken Sie auf die Schaltfläche zuweisen .Click Add user, select the users and groups, and click the Assign button.
    3. Warten Sie einige Minuten, und überprüfen Sie, ob die Benutzer und Gruppen zu Ihrem Azure Databricks-Arbeitsbereich hinzugefügt wurden.Wait a few minutes and check that the users and groups have been added to your Azure Databricks workspace.

Alle weiteren Benutzer und Gruppen, die Sie hinzufügen und zuweisen, werden automatisch bereitgestellt, wenn Azure Ad die nächste Synchronisierung plant.Any additional users and groups that you add and assign will automatically be provisioned when Azure AD schedules the next sync.

Wichtig

Weisen Sie den Azure Databricks admin, dessen geheimes Token (bearertoken) zum Einrichten dieser Unternehmens Anwendung verwendet wurde, nicht zu.Do not assign the Azure Databricks admin whose secret token (bearer token) was used to set up this enterprise application.

Tipps zur BereitstellungProvisioning tips

  • Benutzer und Gruppen, die vor dem Aktivieren der Bereitstellung in Azure Databricks waren, weisen bei der Bereitstellungs Synchronisierung folgendes Verhalten auf:Users and groups that existed in Azure Databricks prior to enabling provisioning exhibit the following behavior upon provisioning sync:
    • Werden zusammengeführt, wenn Sie auch in dieser Azure AD Unternehmens Anwendung vorhanden sind.Are merged if they also exist in this Azure AD enterprise application.
    • Werden ignoriert, wenn Sie in dieser Azure AD Unternehmens Anwendung nicht vorhanden sind.Are ignored if they don’t exist in this Azure AD enterprise application.
  • Benutzerberechtigungen, die einzeln zugewiesen und über die Mitgliedschaft in einer Gruppe dupliziert werden, bleiben erhalten, nachdem die Gruppenmitgliedschaft für den Benutzer entfernt wurde.User permissions that are assigned individually and are duplicated through membership in a group remain after the group membership is removed for the user.
  • Benutzer, die mithilfe der Azure Databricks Admin Console direkt aus einem Azure Databricks Arbeitsbereich entfernt wurden:Users removed from an Azure Databricks workspace directly, using the Azure Databricks Admin console:
    • Der Zugriff auf diesen Azure Databricks Arbeitsbereich ist nicht mehr möglich, kann aber weiterhin auf andere Azure Databricks Arbeitsbereiche zugreifen.Lose access to that Azure Databricks workspace but may still have access to other Azure Databricks workspaces.
    • Wird nicht erneut mit Azure AD Bereitstellung synchronisiert, auch wenn Sie in der Unternehmens Anwendung verbleiben.Will not be synced again using Azure AD provisioning, even if they remain in the enterprise application.
  • Die anfängliche Azure AD Synchronisierung wird sofort nach dem Aktivieren der Bereitstellung ausgelöst.The initial Azure AD sync is triggered immediately after you turn on provisioning. Nachfolgende Synchronisierungen werden alle 20-40 Minuten ausgelöst, abhängig von der Anzahl der Benutzer und Gruppen in der Anwendung.Subsequent syncs are triggered every 20-40 minutes, depending on the number of users and groups in the application. Weitere Informationen finden Sie in der Dokumentation zum Azure ADSee Provisioning summary report in the Azure AD documentation.
  • Die Gruppe "Admins" ist eine reservierte Gruppe in Azure Databricks und kann nicht entfernt werden.The “admins” group is a reserved group in Azure Databricks and cannot be removed.
  • Gruppen können in Azure Databricks nicht umbenannt werden. versuchen Sie nicht, Sie in Azure AD umzubenennen.Groups cannot be renamed in Azure Databricks; do not attempt to rename them in Azure AD.
  • Sie können die Azure Databricks Groups-API oder die Benutzeroberfläche für Gruppen verwenden, um eine Liste der Mitglieder einer beliebigen Azure Databricks Gruppe zu erhalten.You can use the Azure Databricks Groups API or the Groups UI to get a list of members of any Azure Databricks group.
  • Sie können Azure Databricks Benutzernamen und e-Mail-Adressen nicht aktualisieren.You cannot update Azure Databricks usernames and email addresses.

ProblembehandlungTroubleshooting

Benutzer und Gruppen werden nicht synchronisiert.Users and groups do not sync

Das Problem könnte darin bestehen, dass der Azure Databricks Administrator-Benutzer, dessen persönliches Zugriffs Token für die Verbindung mit Azure AD verwendet wird, den Administrator Status verloren hat oder ein ungültiges Token aufweist: Melden Sie sich bei der Azure Databricks Admin Console als dieser Benutzer an, und überprüfen Sie, ob Sie noch ein Administrator sind und Ihr Zugriffs Token weiterhin gültig ist.The issue could be that the Azure Databricks admin user whose personal access token is being used to connect to Azure AD has lost admin status or has an invalid token: log in to the Azure Databricks Admin console as that user and validate that you are still an admin and your access token is still valid.

Eine weitere Möglichkeit besteht darin, dass Sie die Synchronisierung von Netzgruppen durchführt, die nicht von Azure AD automatischen Bereitstellung unterstützt werden.Another possibility is that you are trying to sync nested groups, which are not supported by Azure AD automatic provisioning. Lesen Sie diesehäufig gestellten Fragen.See this FAQ.

Nach der anfänglichen Synchronisierung werden die Benutzer und Gruppen nicht synchronisiert.After initial sync the users and groups are not syncing

Nach der ersten Synchronisierung wird Azure AD nicht sofort nach Änderungen an Benutzer-und Gruppen Zuweisungen synchronisiert.After the initial sync, Azure AD does not sync immediately upon changes to user and group assignments. Sie plant nach einer Verzögerung (abhängig von der Anzahl der Benutzer und Gruppen) eine Synchronisierung mit der Anwendung.It schedules a sync with the application after a delay (depending on the number of users and groups). Wechseln Sie zu verwalten > Bereitstellung für die Unternehmens Anwendung, und wählen Sie aktuellen Status löschen und Synchronisierung neu starten aus, um eine sofortige Synchronisierung zu initiieren.You can go to Manage > Provisioning for the enterprise application and select Clear current state and restart synchronization to initiate an immediate sync.