Microsoft Azure Active Directory の SCIM プロビジョニングを 構成する Configure SCIM provisioning for Microsoft Azure Active Directory

Azure Active Directory (Azure AD) を使用して Azure Databricks へのプロビジョニングを有効にするには、Azure Databricks ワークスペースごとにエンタープライズアプリケーションを作成する必要があります。To enable provisioning to Azure Databricks using Azure Active Directory (Azure AD) you must create an enterprise application for each Azure Databricks workspace.

注意

プロビジョニングの構成は、Azure Databricks ワークスペースの認証と条件付きアクセスを設定するプロセスとはまったく別のものです。Provisioning configuration is entirely separate from the process of setting up authentication and conditional access for Azure Databricks workspaces. Azure Databricks の認証は、OpenID Connect プロトコルフローを使用して Azure Active Directory によって自動的に処理されます。Authentication for Azure Databricks is handled automatically by Azure Active Directory, using the OpenID Connect protocol flow. 条件付きアクセス。 multi-factor authentication を要求する規則を作成したり、ローカルネットワークへのログインを制限したりできます。サービスレベルで確立できます。Conditional access, which lets you create rules to require multi-factor authentication or restrict logins to local networks, can be established at the service level. 手順については、「 条件付きアクセス」を参照してください。For instructions, see Conditional access.

要件 Requirements

Azure AD アカウントは Premium edition アカウントである必要があります。プロビジョニングを有効にするには、そのアカウントのグローバル管理者である必要があります。Your Azure AD account must be a Premium edition account, and you must be a global administrator for that account to enable provisioning.

エンタープライズアプリケーションを作成し、Azure Databricks SCIM API に接続するCreate an enterprise application and connect to the Azure Databricks SCIM API

以下の例では、<databricks-instance> を Azure Databricks デプロイのワークスペース URL に置き換えます。In the following examples, replace <databricks-instance> with the workspace URL of your Azure Databricks deployment.

  1. Azure Databricks に 個人用アクセストークン を生成し、それをコピーします。Generate a personal access token in Azure Databricks and copy it. 後続の手順で Azure AD するには、このトークンを指定します。You provide this token to Azure AD in a subsequent step.

    重要

    このトークンは、Azure AD enterprise アプリケーションで管理さ れない Azure Databricks 管理者として生成します。Generate this token as an Azure Databricks admin who will not be managed by the Azure AD enterprise application. このエンタープライズアプリケーションで管理されている Azure Databricks 管理者ユーザーは、Azure AD を使用してプロビジョニング解除できます。これにより、SCIM プロビジョニングの統合が無効になります。An Azure Databricks admin user who is managed by this enterprise application can be deprovisioned using Azure AD, which would cause your SCIM provisioning integration to be disabled.

  2. Azure portal で、[ Azure Active Directory > エンタープライズアプリケーション] にアクセスします。In your Azure portal, go to Azure Active Directory > Enterprise Applications.

  3. アプリケーションの一覧の上にある [ + 新規アプリケーション ] をクリックします。Click + New Application above the application list,. ギャラリーから [追加] で、[ Azure Databricks SCIM Provisioning Connector] を検索して選択します。Under Add from the gallery, search for and select Azure Databricks SCIM Provisioning Connector.

  4. アプリケーションの 名前 を入力し、[ 追加] をクリックします。Enter a Name for the application and click Add. のように、管理者が見つけやすい名前を使用し <workspace-name>-provisioning ます。Use a name that will help administrators find it, like <workspace-name>-provisioning.

  5. [ 管理 ] メニューの [ プロビジョニング] をクリックします。Under the Manage menu, click Provisioning.

  6. [ プロビジョニングモード ] ドロップダウンから、[ 自動] を選択します。From the Provisioning Mode drop-down, select Automatic.

  7. テナントの URL を入力してください:Enter the Tenant URL:

    https://<databricks-instance>/api/2.0/preview/scim
    

    <databricks の> を Azure Databricks デプロイの ワークスペースの URL に置き換えます。Replace with the workspace URL of your Azure Databricks deployment. ワークスペース、クラスター、ノートブック、モデル、およびジョブ識別子を取得する」を参照してください。See Get workspace, cluster, notebook, model, and job identifiers.

  8. [ シークレットトークン ] フィールドに、手順1で生成した Azure Databricks 個人用アクセストークンを入力します。In the Secret Token field, enter the Azure Databricks personal access token that you generated in step 1.

  9. [ 接続テスト ] をクリックし、資格情報がプロビジョニングを有効にすることが承認されていることを確認するメッセージが表示されるまで待ちます。Click Test Connection and wait for the message that confirms that the credentials are authorized to enable provisioning.

  10. 必要に応じて、SCIM プロビジョニングで重大なエラーの通知を受信するための通知電子メールを入力します。Optionally, enter a notification email to receive notifications of critical errors with SCIM provisioning.

  11. [保存] をクリックします。Click Save.

アプリケーションにユーザーとグループを割り当てるAssign users and groups to the application

  1. > のプロビジョニングの管理」にアクセスし、[設定] で、[割り当てられたユーザーとグループのみを同期 する] に スコープ を設定します。Go to Manage > Provisioning and, under Settings, set the Scope to Sync only assigned users and groups.

    このオプションを選択すると、エンタープライズアプリケーションに割り当てられたユーザーとグループのみが同期されます。この方法をお勧めします。This option syncs only users and groups assigned to the enterprise application, and is our recommended approach.

    注意

    Azure Active Directory は、Azure Databricks への入れ子になったグループの自動プロビジョニングをサポートしていません。Azure Active Directory does not support the automatic provisioning of nested groups to Azure Databricks. 明示的に割り当てられたグループの直接のメンバーであるユーザーを読み取り、プロビジョニングすることはできません。It is only able to read and provision users that are immediate members of the explicitly assigned group. 対処法として、プロビジョニングする必要のあるユーザーを含んだグループを明示的に割り当てる (またはそれ以外の場合ではスコープする) 必要があります。As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned. 詳細については、 この FAQを参照してください。For more information, see this FAQ.

  2. Azure AD から Azure Databricks へのユーザーとグループの同期を開始するには、[ プロビジョニングの状態 ] を [オン] に切り替えます。To start the synchronization of users and groups from Azure AD to Azure Databricks, toggle Provisioning Status on.

  3. [保存] をクリックします。Click Save.

  4. プロビジョニングの設定をテストします。Test your provisioning setup:

    1. Manage > Users and groups」を参照してください。Go to Manage > Users and groups.
    2. いくつかのユーザーとグループを追加します。Add some users and groups. [ ユーザーの追加] をクリックし、[ユーザーとグループ] を選択して、[ 割り当て ] ボタンをクリックします。Click Add user, select the users and groups, and click the Assign button.
    3. 数分待ってから、ユーザーとグループが Azure Databricks ワークスペースに追加されていることを確認します。Wait a few minutes and check that the users and groups have been added to your Azure Databricks workspace.

追加して割り当てた追加のユーザーとグループは、Azure AD が次の同期をスケジュールするときに自動的にプロビジョニングされます。Any additional users and groups that you add and assign will automatically be provisioned when Azure AD schedules the next sync.

重要

このエンタープライズアプリケーションをセットアップするためにシークレットトークン (ベアラートークン) が使用されていた Azure Databricks 管理者を割り当てないでください。Do not assign the Azure Databricks admin whose secret token (bearer token) was used to set up this enterprise application.

プロビジョニングのヒントProvisioning tips

  • プロビジョニングを有効にする前に Azure Databricks に存在していたユーザーとグループは、プロビジョニング同期時に次の動作を示します。Users and groups that existed in Azure Databricks prior to enabling provisioning exhibit the following behavior upon provisioning sync:
    • この Azure AD enterprise アプリケーションにも存在する場合はマージされます。Are merged if they also exist in this Azure AD enterprise application.
    • この Azure AD エンタープライズアプリケーションに存在しない場合、は無視されます。Are ignored if they don’t exist in this Azure AD enterprise application.
  • 個別に割り当てられ、グループのメンバーシップによって重複しているユーザーのアクセス許可は、ユーザーのグループメンバーシップが削除された後も保持されます。User permissions that are assigned individually and are duplicated through membership in a group remain after the group membership is removed for the user.
  • ユーザーは、Azure Databricks 管理コンソールを使用して、Azure Databricks ワークスペースから直接削除されます。Users removed from an Azure Databricks workspace directly, using the Azure Databricks Admin console:
    • その Azure Databricks ワークスペースにアクセスできなくなりますが、他の Azure Databricks ワークスペースにアクセスできる可能性があります。Lose access to that Azure Databricks workspace but may still have access to other Azure Databricks workspaces.
    • エンタープライズアプリケーションに保持されている場合でも、Azure AD プロビジョニングを使用して再同期されることはありません。Will not be synced again using Azure AD provisioning, even if they remain in the enterprise application.
  • 初期 Azure AD 同期は、プロビジョニングを有効にした直後にトリガーされます。The initial Azure AD sync is triggered immediately after you turn on provisioning. 後続の同期は、アプリケーション内のユーザーとグループの数に応じて、20-40 分ごとにトリガーされます。Subsequent syncs are triggered every 20-40 minutes, depending on the number of users and groups in the application. Azure AD ドキュメントの「 プロビジョニングの概要レポート 」を参照してください。See Provisioning summary report in the Azure AD documentation.
  • "管理者" グループは Azure Databricks の予約グループであり、削除することはできません。The “admins” group is a reserved group in Azure Databricks and cannot be removed.
  • Azure Databricks; でグループの名前を変更することはできません。Azure AD で名前を変更しないようにしてください。Groups cannot be renamed in Azure Databricks; do not attempt to rename them in Azure AD.
  • Azure Databricks GROUPS API または groups UI を使用して、任意の Azure Databricks グループのメンバーの一覧を取得できます。You can use the Azure Databricks Groups API or the Groups UI to get a list of members of any Azure Databricks group.
  • Azure Databricks のユーザー名と電子メールアドレスを更新することはできません。You cannot update Azure Databricks usernames and email addresses.

トラブルシューティングTroubleshooting

ユーザーとグループが同期されないUsers and groups do not sync

この問題は、個人用アクセストークンが Azure AD に接続するために使用されている Azure Databricks 管理者が、管理者の状態を失ったか、無効なトークンを持っている可能性があります。 Azure Databricks 管理者コンソールにそのユーザーとしてログインし、まだ管理者であり、アクセストークンが有効であることを確認します。The issue could be that the Azure Databricks admin user whose personal access token is being used to connect to Azure AD has lost admin status or has an invalid token: log in to the Azure Databricks Admin console as that user and validate that you are still an admin and your access token is still valid.

また、Azure AD の自動プロビジョニングではサポートされていない入れ子になったグループを同期しようとしている可能性もあります。Another possibility is that you are trying to sync nested groups, which are not supported by Azure AD automatic provisioning. この FAQを参照してください。See this FAQ.

初期同期後、ユーザーとグループが同期していないAfter initial sync the users and groups are not syncing

初期同期後、Azure AD は、ユーザーとグループの割り当てに対する変更がすぐには同期されません。After the initial sync, Azure AD does not sync immediately upon changes to user and group assignments. 遅延後 (ユーザーとグループの数によって異なります)、アプリケーションとの同期をスケジュールします。It schedules a sync with the application after a delay (depending on the number of users and groups). エンタープライズアプリケーションの > のプロビジョニングを管理 し、[現在の 状態をクリアして同期を再開 する] を選択して即時同期を開始することができます。You can go to Manage > Provisioning for the enterprise application and select Clear current state and restart synchronization to initiate an immediate sync.