Configurare il provisioning SCIM per Microsoft Azure Active Directory

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Per abilitare il provisioning Azure Databricks usando Azure Active Directory (Azure AD), è necessario creare un'applicazione aziendale per ogni area Azure Databricks lavoro.

Nota

Il modo in cui viene configurato il provisioning è completamente separato dalla configurazione dell'autenticazione e dell'accesso condizionale per Azure Databricks aree di lavoro. L'autenticazione Azure Databricks viene gestita automaticamente da Azure Active Directory, usando il flusso del Connessione OpenID. Configurare l'accesso condizionale, che consente di creare regole per richiedere l'autenticazione a più fattori o limitare gli accessi alle reti locali, a livello di servizio.

Prerequisiti

  • L'account Azure Databricks deve avere il Azure Databricks Premium piano.
  • L Azure Active Directory account deve essere un account Premium edizione.
  • È necessario essere un amministratore globale per l'account Azure Active Directory locale.

Esistono due modi per configurare il provisioning:

Usare un'Azure Active Directory aziendale

Negli esempi seguenti sostituire con <workspace-url><workspace-url> lavoro della Azure Databricks distribuzione.

Contenuto della sezione:

Creare l'applicazione aziendale e connetterla all'API SCIM Azure Databricks aziendale

  1. Generare un token di accesso personale Azure Databricks copiarlo. Questo token viene fornito per Azure Active Directory in un passaggio successivo.

    Importante

    Generare questo token come amministratore Azure Databricks che non è gestito dall'Azure Active Directory aziendale. Se il Azure Databricks amministratore proprietario del token di accesso personale viene deprovisioning usando Azure Active Directory, l'applicazione di provisioning SCIM verrà disabilitata.

  2. Nel portale di Azure passare a Azure Active Directory Enterprise applicazioni.

  3. Fare clic su + Nuova applicazione sopra l'elenco delle applicazioni. In Aggiungi dalla raccolta cercaree selezionare Azure Databricks connettore di provisioning SCIM.

  4. Immettere un nome per l'applicazione e fare clic su Aggiungi. Usare un nome che consente agli amministratori di trovarlo, ad esempio <workspace-name>-provisioning .

  5. Nel menu Gestisci fare clic su Provisioning.

  6. Impostare Modalità di provisioning su Automatico.

  7. Immettere l'URL dell'endpoint DELL'API SCIM. Aggiungere /api/2.0/preview/scim all'URL dell'area di lavoro:

    https://<workspace-url>/api/2.0/preview/scim
    

    Sostituire <workspace-url> con <workspace-url> di lavoro Azure Databricks distribuzione. Vedere Ottenere gli identificatori di area di lavoro, cluster, notebook, modello e processo.

  8. Impostare Token segreto sul Azure Databricks di accesso personale generato nel passaggio 1.

  9. Fare clic su Test connessione e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.

  10. Facoltativamente, immettere un messaggio di posta elettronica di notifica per ricevere notifiche di errori critici con il provisioning SCIM.

  11. Fare clic su Save (Salva).

Assegnazione di utenti e gruppi all'applicazione

  1. Passare a Gestisci provisioning.

  2. In Impostazioni impostare Ambito su Sincronizza solo utenti e gruppi assegnati.

    Databricks consiglia questa opzione, che sincronizza solo gli utenti e i gruppi assegnati all'applicazione aziendale.

    Nota

    Azure Active Directory non supporta il provisioning automatico dei gruppi annidati per Azure Databricks. Azure Active Directory può leggere ed effettuare il provisioning solo degli utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere queste domande frequenti.

  3. Per avviare la sincronizzazione Azure Active Directory utenti e gruppi Azure Databricks, fare clic sull'interruttore Stato provisioning.

  4. Fare clic su Save (Salva).

  5. Testare la configurazione del provisioning:

    1. Passare a Gestisci utenti e gruppi.
    2. Aggiungere alcuni utenti e gruppi. Fare clic su Aggiungiutente, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna.
    3. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'area Azure Databricks lavoro.

In futuro, viene effettuato automaticamente il provisioning di utenti e gruppi aggiunti e assegnati Azure Active Directory pianifica la sincronizzazione successiva.

Importante

Non assegnare l'Azure Databricks il cui token di accesso personale è stato usato per configurare l'Azure Databricks scim provisioning connector.

Automatizzare il provisioning SCIM con Microsoft Graph

Microsoft Graph include librerie di autenticazione e autorizzazione che è possibile integrare nell'applicazione per automatizzare il provisioning di utenti e gruppi Azure Databricks, anziché configurare un'applicazione connettore di provisioning SCIM.

  1. Seguire le istruzioni per la registrazione di un'applicazione con Microsoft Graph. Prendere nota dell'ID applicazione e dell'ID tenant per l'applicazione
  2. Passare alla pagina Panoramica delle applicazioni. In tale pagina:
    1. Configurare un segreto client per l'applicazione e prendere nota del segreto.
    2. Concedere all'applicazione queste autorizzazioni:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Chiedere a un Azure Active Directory amministratore di concedere il consenso dell'amministratore.
  4. Aggiornare il codice dell'applicazione per aggiungere il supporto per Microsoft Graph.

Suggerimenti per il provisioning

  • Gli utenti e i gruppi presenti in Azure Databricks prima di abilitare il provisioning presentano il comportamento seguente al momento del provisioning della sincronizzazione:
    • Vengono uniti se esistono anche in Azure Active Directory
    • Vengono ignorati se non esistono in Azure Active Directory
  • Le autorizzazioni utente assegnate singolarmente e duplicate tramite l'appartenenza a un gruppo rimangono dopo la rimozione dell'appartenenza al gruppo per l'utente.
  • Utenti rimossi direttamente da un Azure Databricks area di lavoro, usando la console Azure Databricks admin console:
    • Perdere l'accesso a tale Azure Databricks di lavoro, ma potrebbe comunque avere accesso ad altre Azure Databricks di lavoro.
    • Non verrà sincronizzato di nuovo usando Azure Active Directory provisioning, anche se rimangono nell'applicazione aziendale.
  • La sincronizzazione Azure Active Directory viene attivata immediatamente dopo l'abilitazione del provisioning. Le sincronizzazioni successive vengono attivate ogni 20-40 minuti, a seconda del numero di utenti e gruppi nell'applicazione. Vedere il report di riepilogo del provisioning nella documentazione Azure Active Directory provisioning.
  • Non è possibile aggiornare il nome utente o l'indirizzo di posta elettronica di un Azure Databricks utente.
  • Il admins gruppo è un gruppo riservato in Azure Databricks e non può essere rimosso.
  • I gruppi non possono essere rinominati in Azure Databricks; non tentare di rinominarli in Azure Active Directory.
  • È possibile usare l'API Azure Databricks Groups 2.0 o l'interfaccia utente gruppi per ottenere un elenco di membri di qualsiasi Azure Databricks gruppo.

Risoluzione dei problemi

Utenti e gruppi non vengono sincronizzati

  • Se si usa l'applicazione Azure Databricks SCIM Provisioning Connector: nella console di amministrazione di Azure Databricks verificare che l'utente di Azure Databricks il cui token di accesso personale viene usato dall'applicazione Azure Databricks SCIM Provisioning Connector sia ancora un utente amministratore in Azure Databricks e che il token sia ancora valido.
  • Non tentare di sincronizzare i gruppi annidati, che non sono supportati Azure Active Directory provisioning automatico. Per altre informazioni, vedere queste domande frequenti.

Dopo la sincronizzazione iniziale, la sincronizzazione di utenti e gruppi viene interrotta

Se si usa l'applicazione Azure Databricks SCIM Provisioning Connector: dopo la sincronizzazione iniziale, Azure Active Directory non viene sincronizzato immediatamente dopo la modifica delle assegnazioni di utenti o gruppi. Pianifica una sincronizzazione con l'applicazione dopo un ritardo, in base al numero di utenti e gruppi. Per richiedere una sincronizzazione immediata, passare a Gestisci provisioning per l'applicazione aziendale e selezionare Cancella stato corrente e riavviare la sincronizzazione.

Azure Active Directory'intervallo IP del servizio di provisioning non accessibile

Il Azure Active Directory di provisioning del servizio opera in intervalli IP specifici. Se è necessario limitare l'accesso alla rete, è necessario consentire il traffico dagli indirizzi IP AzureActiveDirectory per in questo file di intervallo AzureActiveDirectory. Per altre informazioni, vedere Intervalli IP.