Microsoft Azure Active Directory の SCIM プロビジョニングの構成 Configuring SCIM Provisioning for Microsoft Azure Active Directory

Azure Active Directory (Azure AD) を使用して Azure Databricks へのプロビジョニングを有効にするには、Azure Databricks ワークスペースごとにエンタープライズアプリケーションを作成する必要があります。To enable provisioning to Azure Databricks using Azure Active Directory (Azure AD) you must create an enterprise application for each Azure Databricks workspace.

注意

プロビジョニングの構成は、Azure Databricks ワークスペースの認証と条件付きアクセスを設定するプロセスとはまったく別のものです。Provisioning configuration is entirely separate from the process of setting up authentication and conditional access for Azure Databricks workspaces. Azure Databricks の認証は、OpenID Connect プロトコルフローを使用して Azure Active Directory によって自動的に処理されます。Authentication for Azure Databricks is handled automatically by Azure Active Directory, using the OpenID Connect protocol flow. 条件付きアクセス。 multi-factor authentication を要求する規則を作成したり、ローカルネットワークへのログインを制限したりできます。サービスレベルで確立できます。Conditional access, which lets you create rules to require multi-factor authentication or restrict logins to local networks, can be established at the service level. 手順については、「条件付きアクセス」を参照してください。For instructions, see Conditional Access.

前提条件 Prerequisites

  • Azure AD アカウントは Premium edition アカウントである必要があります。プロビジョニングを有効にするには、そのアカウントのグローバル管理者である必要があります。Your Azure AD account must be a Premium edition account, and you must be a global administrator for that account to enable provisioning.

エンタープライズアプリケーションを作成し、Azure Databricks SCIM API に接続するCreate an enterprise application and connect to the Azure Databricks SCIM API

次の例では、<databricks-instance> を Azure Databricks デプロイの <region>.azuredatabricks.net ドメイン名に置き換えます。In the following examples, replace <databricks-instance> with the <region>.azuredatabricks.net domain name of your Azure Databricks deployment.

  1. Azure Databricks に個人用アクセストークンを生成し、それをコピーします。Generate a personal access token in Azure Databricks and copy it. トークンの生成」を参照してください。See Generate a token.

    これは、後続の手順で Azure AD するために用意されています。You will provide this to Azure AD in a subsequent step.

    重要

    このトークンは、以下で設定した Azure AD enterprise アプリケーションで管理されない Azure Databricks 管理者として生成します。Generate this token as an Azure Databricks admin who will not be managed by the Azure AD enterprise application that you set up below. このエンタープライズアプリケーションで管理されている Azure Databricks 管理者ユーザーは、Azure AD を使用してプロビジョニング解除できます。これにより、SCIM プロビジョニングの統合が無効になります。An Azure Databricks admin user who is managed by this enterprise application can be deprovisioned using Azure AD, which would cause your SCIM provisioning integration to be disabled.

  2. Azure portal で、 [Azure Active Directory > エンタープライズアプリケーション] にアクセスします。In your Azure portal, go to Azure Active Directory > Enterprise Applications.

  3. アプリケーションの一覧の上にある [+ 新しいアプリケーション] をクリックし、 [独自のアプリの追加][ギャラリー以外のアプリケーション] をクリックします。Click + New Application above the application list, and then, under Add your own app, click Non-gallery application.

  4. アプリケーションの名前を入力し、 [追加] をクリックします。Enter a Name for the application and click Add.

    管理者が見つけやすい名前を使用して、<your-workspace-name>-provisioning のようにします。Use a name that will help administrators find it, like <your-workspace-name>-provisioning.

  5. [管理] メニューの [プロビジョニング] をクリックします。Under the Manage menu, click Provisioning.

  6. [プロビジョニングモード] ドロップダウンから、 [自動] を選択します。From the Provisioning Mode drop-down, select Automatic.

  7. テナントのURLを入力してください:Enter the Tenant URL:

    https://<databricks-instance>/api/2.0/preview/scim
    

    例えば:For example,:

    https://westus.azuredatabricks.net/api/2.0/preview/scim
    
  8. [シークレットトークン] フィールドに、手順1で生成した Azure Databricks 個人用アクセストークンを入力します。In the Secret Token field, enter the Azure Databricks personal access token that you generated in step 1.

  9. [接続テスト] をクリックし、資格情報がプロビジョニングを有効にすることが承認されていることを確認するメッセージが表示されるまで待ちます。Click Test Connection and wait for the message that confirms that the credentials are authorized to enable provisioning.

  10. [保存] をクリックします。Click Save.

ユーザーとグループの属性マッピングの定義Define user and group attribute mappings

ユーザーとグループのマッピングでは、Azure AD と Azure Databricks ワークスペースの間でデータをどのように流れるかを定義します。User and group mappings define how data should flow between Azure AD and your Azure Databricks workspace.

  1. 接続をテストして保存した後、中断したまま、[マッピング] セクションに移動し、[ Azure Active Directory ユーザーを customappsso に同期] をクリックします。Continuing where you left off after you tested your connection and saved it, go to the Mappings section and click Synchronize Azure Active Directory Users to customappsso.

  2. [属性マッピング] で、削除されたすべての既定のマッピングを削除します。Under Attribute Mappings, delete all of the deletable default mappings.

    テーブル内の最初のマッピングを削除できない可能性があります。You may not be able to delete the first mapping in the table. これは、次の手順で変更できます。You can modify it in the next step.

    attribute マッピングの一覧 attribute mappings list

  3. [詳細オプションの表示] を選択し、 [customappsso の属性リストの編集] をクリックします。Select Show advanced options and click Edit attribute list for customappsso.

  4. [属性の編集] ボックスの一覧で、次の変更を行い、 [保存] をクリックします。In the Edit Attribute List, make the following changes and click Save:

    • 書式設定された属性を削除します。Delete the name.formatted attribute.
    • ユーザー名属性のプライマリオプションと必須オプションを選択します。Select the Primary and Required options for the userName attribute.
  5. MailNickname属性マッピングをクリックして [属性の編集] ペインを開き、次のように変更します。Click the mailNickname attribute mapping to open the Edit Attribute pane and make the following changes:

    • ソース属性mailNicknameuserPrincipalNameに変更します。Change Source attribute mailNickname to userPrincipalName.
    • ターゲット属性ExternaliduserNameに変更します。Change Target attribute externalID to userName.
  6. OK をクリックします。Click OK.

  7. 属性マッピング セクションで、新しいマッピングの追加 をクリックして必要な属性マッピングを追加します。In the Attribute Mappings section, click Add New Mapping to add the required attribute mappings.

    add 属性マッピング add attribute mappings

    次の各マッピングを、示されているプロパティと共に追加します。Add each of the following mappings, with the properties indicated.

    マッピングの種類Mapping Type 基になる属性/式Source attribute / Expression Default valueDefault value ターゲット属性Target attribute 属性を使用した Match オブジェクトMatch object using attribute 照合の優先順位Matching precedence このマッピングを適用するApply this mapping
    DirectDirect extensionAttribute1 id NoNo Always (常に)Always
    DirectDirect mail emails[type eq "work"].value NoNo Always (常に)Always
    Expression Join(" ", [givenName], [surname]) displayName NoNo Always (常に)Always
    Expression Switch([IsSoftDeleted], , "False", "True", "True", "False") active NoNo Always (常に)Always

    完了すると、属性マッピングの一覧は次のようになります。When you’re done, your Attribute Mappings list will look like this:

    user 属性マッピング user attribute mappings

  8. 保存 をクリックして、< > ウィンドウに戻り、グループの属性をマップします。Click Save and return to the pane to map your group attributes.

  9. [マッピング] セクションにアクセスし、[ Azure Active Directory グループを customappsso に同期] をクリックします。Go to the Mappings section and click Synchronize Azure Active Directory Groups to customappsso.

  10. [属性マッピング] セクションで、次のグループマッピング属性を削除します。In the Attribute Mappings section, delete the following group mapping attributes:

    • objectIDobjectID
    • mailmail
    • mailEnabledmailEnabled
    • securityEnabledsecurityEnabled
  11. 次のプロパティを使用して、新しい属性extensionAttribute1を追加します。Add a new attribute, extensionAttribute1, with the following properties:

    マッピングの種類Mapping Type 基になる属性/式Source attribute / Expression Default valueDefault value ターゲット属性Target attribute 属性を使用した Match オブジェクトMatch object using attribute 照合の優先順位Matching precedence このマッピングを適用するApply this mapping
    DirectDirect extensionAttribute1 id はい。Yes 22 Always (常に)Always

    完了すると、属性マッピングの一覧は次のようになります。When you’re done, your Attribute Mappings list will look like this:

    group 属性マッピング group attribute mappings

  12. [保存] をクリックします。Click Save.

所有者を追加してプロビジョニングを開始するAdd owners and start provisioning

  1. [< >] ウィンドウで、 [> 所有者の管理] にアクセスします。On the pane, go to Manage > Owners.

  2. プロビジョニング統合の管理を可能にする必要があるユーザーとその他のユーザーを追加します。Add yourself and any other users who should be able to manage the provisioning integration.

  3. > のプロビジョニングの管理 にアクセスし、設定 で、割り当てられたユーザーとグループのみを同期するスコープを選択します。Go to Manage > Provisioning and, under Settings, select the scope to Sync only assigned users and groups.

    このオプションを選択すると、エンタープライズアプリケーションに割り当てられたユーザーとグループのみが同期されます。この方法をお勧めします。This option syncs only users and groups assigned to the enterprise application, and is our recommended approach.

  4. Azure AD から Azure Databricks へのユーザーとグループの同期を開始するには、 [プロビジョニングの状態] スイッチを [オン] に設定します。To start the synchronization of users and groups from Azure AD to Azure Databricks, set the Provisioning Status switch to On.

  5. [保存] をクリックします。Click Save.

  6. プロビジョニングのセットアップをテストします。Test your provisioning setup: a. Manage > Users and groups」を参照してください。Go to Manage > Users and groups. b.b. いくつかのユーザーとグループを追加します ( [追加] をクリックし、ユーザーとグループ を選択し、 [割り当て] ボタンをクリックします)。 c.Add some users and groups (click Add, select the users and groups, and click the Assign button.) c. [> のプロビジョニングの管理] にアクセスし、 [現在の状態をクリアし、同期を再開] します を選択します。Go to Manage > Provisioning and select Clear current state and restart synchronization. d.d. 数分待ってから、ユーザーとグループが Azure Databricks ワークスペースに追加されていることを確認します。Wait a few minutes and check that the users and groups have been added to your Azure Databricks workspace.

追加して割り当てた追加のユーザーとグループは、Azure AD が次の同期をスケジュールするときに自動的にプロビジョニングされます。Any additional users and groups that you add and assign will automatically be provisioned when Azure AD schedules the next sync.

重要

このエンタープライズアプリケーションをセットアップするためにシークレットトークン (ベアラートークン) が使用されていた Azure Databricks 管理者を割り当てないでください。Do not assign the Azure Databricks admin whose secret token (bearer token) was used to set up this enterprise application.

プロビジョニングのヒントProvisioning tips

  • プロビジョニングを有効にする前に Azure Databricks に存在していたユーザーとグループは、プロビジョニング同期時に次の動作を示します。Users and groups that existed in Azure Databricks prior to enabling provisioning exhibit the following behavior upon provisioning sync:
    • この Azure AD enterprise アプリケーションにも存在する場合はマージされます。Are merged if they also exist in this Azure AD enterprise application.
    • この Azure AD エンタープライズアプリケーションに存在しない場合、は無視されます。Are ignored if they don’t exist in this Azure AD enterprise application.
  • 個別に割り当てられ、グループのメンバーシップによって重複しているユーザーのアクセス許可は、ユーザーのグループメンバーシップが削除された後も保持されます。User permissions that are assigned individually and are duplicated through membership in a group remain after the group membership is removed for the user.
  • ユーザーは、Azure Databricks 管理コンソールを使用して、Azure Databricks ワークスペースから直接削除されます。Users removed from an Azure Databricks workspace directly, using the Azure Databricks Admin console:
    • その Azure Databricks ワークスペースにアクセスできなくなりますが、他の Azure Databricks ワークスペースにアクセスできる可能性があります。Lose access to that Azure Databricks workspace but may still have access to other Azure Databricks workspaces.
    • エンタープライズアプリケーションに保持されている場合でも、Azure AD プロビジョニングを使用して再同期されることはありません。Will not be synced again using Azure AD provisioning, even if they remain in the enterprise application.
  • 初期 Azure AD 同期は、プロビジョニングを有効にした直後にトリガーされます。The initial Azure AD sync is triggered immediately after you turn on provisioning. 後続の同期は、アプリケーション内のユーザーとグループの数に応じて、20-40 分ごとにトリガーされます。Subsequent syncs are triggered every 20-40 minutes, depending on the number of users and groups in the application. Azure AD ドキュメントの「プロビジョニングの概要レポート」を参照してください。See Provisioning summary report in the Azure AD documentation.
  • "管理者" グループは Azure Databricks の予約グループであり、削除することはできません。The “admins” group is a reserved group in Azure Databricks and cannot be removed.
  • Azure Databricks; でグループの名前を変更することはできません。Azure AD で名前を変更しないようにしてください。Groups cannot be renamed in Azure Databricks; do not attempt to rename them in Azure AD.
  • Azure Databricks GROUPS APIまたはgroups UIを使用して、任意の Azure Databricks グループのメンバーの一覧を取得できます。You can use the Azure Databricks Groups API or the Groups UI to get a list of members of any Azure Databricks group.
  • Azure Databricks のユーザー名と電子メールアドレスを更新することはできません。You cannot update Azure Databricks usernames and email addresses.

トラブルシューティングTroubleshooting

ユーザーとグループが同期されないUsers and groups do not sync

通常、これは、ユーザーとグループの属性マッピングが正しくないために発生します。Usually this happens because the attribute mappings for users and groups are not correct. このトピックで推奨されているマッピングを設定したものと比較して検証し、推奨されていないマッピング要素をすべて削除します。Validate the mappings recommended in this topic against what you have set, and remove any unrecommended mapping elements. この問題は、個人用アクセストークンを使用して Azure AD に接続するために使用されている Azure Databricks 管理者が、管理者の状態を失ったか、または無効なトークンを持っている可能性があります。そのユーザーとして Azure Databricks 管理コンソールにログインし、まだ管理者であることを確認してください。 アクセストークンはまだ有効です。The issue could also be that the Azure Databricks admin user whose personal access token is being used to connect to Azure AD has lost admin status or has an invalid token: log in to the Azure Databricks Admin console as that user and validate that you are still an admin and your access token is still valid.

初期同期後、ユーザーとグループが同期していないAfter initial sync the users and groups are not syncing

初期同期後、Azure AD は、ユーザーとグループの割り当てに対する変更がすぐには同期されません。After the initial sync, Azure AD does not sync immediately upon changes to user and group assignments. 遅延後 (ユーザーとグループの数によって異なります)、アプリケーションとの同期をスケジュールします。It schedules a sync with the application after a delay (depending on the number of users and groups). エンタープライズアプリケーションの > のプロビジョニングを管理し、[現在の状態をクリアして同期を再開する] を選択して即時同期を開始することができます。You can go to Manage > Provisioning for the enterprise application and select Clear current state and restart synchronization to initiate an immediate sync.