Microsoft Entra ID에서 사용자 및 그룹 동기화

이 문서에서는 SCIM 또는 사용자 프로비저닝을 자동화할 수 있는 개방형 표준인 System for Cross-domain Identity Management를 사용하여 사용자 및 그룹을 Azure Databricks에 프로비저닝하도록 IdP(ID 공급자) 및 Azure Databricks를 구성하는 방법을 설명합니다.

Azure Databricks에서 SCIM 프로비저닝에 대한 정보

SCIM을 통해 IdP(ID 공급자)를 사용하여 Azure Databricks에서 사용자를 만들고, 적절한 수준의 액세스 권한을 부여하고, 사용자가 퇴사하거나 Azure Databricks에 더 이상 액세스할 필요가 없으면 액세스 권한을 제거(프로비전 해제)할 수 있습니다.

IdP에서 SCIM 프로비저닝 커넥터를 사용하거나 SCIM 그룹 API를 호출하여 프로비저닝을 관리할 수 있습니다. 이러한 API를 사용하여 IdP 없이 Azure Databricks에서 직접 ID를 관리할 수도 있습니다.

계정 수준 및 작업 영역 수준 SCIM 프로비저닝

계정 수준 SCIM 프로비저닝을 사용하여 Microsoft Entra ID에서 Azure Databricks 계정으로 하나의 SCIM 프로비저닝 커넥터를 구성하거나 작업 영역 수준 SCIM 프로비저닝을 사용하여 각 작업 영역에 대한 별도의 SCIM 프로비저닝 커넥터를 구성할 수 있습니다.

• 계정 수준 SCIM 프로비저닝: Databricks는 계정 수준 SCIM 프로비저닝을 사용하여 계정에서 모든 사용자를 만들고, 업데이트하고, 삭제하는 것이 좋습니다. Azure Databricks 내의 작업 영역에 대한 사용자 및 그룹의 할당을 관리합니다. 사용자의 작업 영역 할당을 관리하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다.

• 작업 영역 수준 SCIM 프로비전(레거시 및 공개 미리 보기): ID 페더레이션에 사용하도록 설정되지 않은 작업 영역의 경우 계정 수준 및 작업 영역 수준 SCIM 프로비저닝을 병렬로 관리해야 합니다. ID 페더레이션을 사용하도록 설정된 작업 영역에는 작업 영역 수준 SCIM 프로비저닝이 필요하지 않습니다.

  작업 영역에 대해 작업 영역 수준 SCIM 프로비저닝을 이미 설정한 경우 Databricks는 ID 페더레이션을 위해 작업 영역을 사용하도록 설정하고, 계정 수준 SCIM 프로비저닝을 설정하고, 작업 영역 수준 SCIM 프로비저닝을 해제하는 것이 좋습니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요.

요구 사항

SCIM을 사용하여 사용자 및 그룹을 Azure Databricks에 프로비저닝하려면 다음을 수행합니다.

• Azure Databricks 계정에 프리미엄 플랜이 있어야 합니다.
• SCIM(SCIM REST API 포함)을 사용하여 Azure Databricks 계정에 사용자를 프로비저닝하려면 Azure Databricks 계정 관리자여야 합니다.
• SCIM(SCIM REST API 포함)을 사용하여 Azure Databricks 작업 영역에 사용자를 프로비전하려면 Azure Databricks 작업 영역 관리자여야 합니다.

관리자 권한에 대한 자세한 내용은 사용자, 서비스 주체 및 그룹 관리를 참조하세요.

계정에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5000개 그룹을 포함할 수 있습니다. 각 작업 영역에 최대 10,000개의 결합된 사용자 및 서비스 주체와 5000개 그룹을 포함할 수 있습니다.

Azure Databricks 계정에 ID 프로비저닝

SCIM을 사용하여 SCIM 프로비저닝 커넥터를 사용하거나 SCIM API를 직접 사용하여 Microsoft Entra ID에서 Azure Databricks 계정으로 사용자 및 그룹을 프로비전할 수 있습니다.

Microsoft Entra ID(이전의 Azure Active Directory)를 사용하여 Azure Databricks 계정에 사용자 및 그룹 추가

SCIM 프로비저닝 커넥터를 사용하여 Microsoft Entra ID 테넌트에서 Azure Databricks로 계정 수준 ID를 동기화할 수 있습니다.

Important

ID를 작업 영역에 직접 동기화하는 SCIM 커넥터가 이미 있는 경우 계정 수준 SCIM 커넥터를 사용할 때 해당 SCIM 커넥터를 사용하지 않도록 설정해야 합니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요.

전체 지침은 Microsoft Entra ID를 사용하여 Azure Databricks 계정에 ID 프로비전을 참조하세요.

참고 항목

계정 수준 SCIM 커넥터에서 사용자를 제거하면 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 사용자가 계정 및 모든 작업 영역에서 비활성화됩니다. 계정 수준 SCIM 커넥터에서 그룹을 제거하면 해당 그룹의 모든 사용자가 액세스 권한이 있는 모든 작업 영역에서 비활성화됩니다(다른 그룹의 구성원이거나 계정 수준 SCIM 커넥터에 대한 액세스 권한이 직접 부여되지 않은 경우).

SCIM API를 사용하여 계정에 사용자, 서비스 주체 및 그룹 추가

계정 관리자는 계정 SCIM API를 사용하여 Azure Databricks 계정에 사용자, 서비스 주체 및 그룹을 추가할 수 있습니다. 계정 관리자는 accounts.azuredatabricks.net API({account_domain}/api/2.0/accounts/{account_id}/scim/v2/)를 호출하고 SCIM 토큰 또는 Microsoft Entra ID 토큰을 사용하여 인증할 수 있습니다.

참고 항목

SCIM 토큰은 계정 SCIM API /api/2.0/accounts/{account_id}/scim/v2/ 로 제한되며 다른 Databricks REST API에 인증하는 데 사용할 수 없습니다.

SCIM 토큰을 얻으려면 다음을 수행합니다.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.

2. 사이드바에서 설정 클릭합니다.

3. 사용자 프로비저닝을 클릭합니다.

   프로비저닝을 사용하도록 설정하지 않은 경우 사용자 프로비저닝 사용을 클릭하고 토큰을 복사합니다.

   프로비저닝을 이미 사용하도록 설정한 경우 토큰 다시 생성을 클릭하고 토큰을 복사합니다.

Microsoft Entra ID 토큰을 사용하여 인증하려면 Microsoft Entra ID 서비스 주체 인증을 참조하세요.

작업 영역 관리자는 동일한 API를 사용하여 사용자 및 서비스 주체를 추가할 수 있습니다. 작업 영역 관리자는 작업 영역에서 API를 호출합니다기본{workspace-domain}/api/2.0/account/scim/v2/.

계정 수준 SCIM 토큰 회전

계정 수준 SCIM 토큰이 손상되었거나 인증 토큰을 주기적으로 회전해야 하는 비즈니스 요구 사항이 있는 경우 SCIM 토큰을 회전할 수 있습니다.

1. Azure Databricks 계정 관리자로서 계정 콘솔에 로그인합니다.
2. 사이드바에서 설정 클릭합니다.
3. 사용자 프로비저닝을 클릭합니다.
4. 토큰 다시 생성을 클릭합니다. 새 토큰을 기록해 둡니다. 이전 토큰은 24시간 동안 계속 작동합니다.
5. 24시간 이내에 새 SCIM 토큰을 사용하도록 SCIM 애플리케이션을 업데이트합니다.

계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션

계정 수준 SCIM 프로비저닝을 사용하도록 설정하고 일부 작업 영역에 대해 작업 영역 수준 SCIM 프로비저닝을 이미 설정한 경우 Databricks는 작업 영역 수준 SCIM 프로비저닝을 해제하고 대신 사용자 및 그룹을 계정 수준으로 동기화하는 것이 좋습니다.

1. 작업 영역 수준 SCIM 커넥터를 사용하여 현재 Azure Databricks에 프로비전하는 모든 사용자 및 그룹을 포함하는 그룹을 Microsoft Entra ID로 만듭니다.

   Databricks는 이 그룹에 계정의 모든 작업 영역에 있는 모든 사용자를 포함하는 것이 좋습니다.

2. Azure Databricks 계정에 ID 프로비저닝의 지침에 따라 사용자 및 그룹을 계정에 프로비저닝하도록 새 SCIM 프로비저닝 커넥터를 구성합니다.

   1단계에서 만든 그룹을 사용합니다. 기존 계정 사용자와 사용자 이름(전자 메일 주소)을 공유하는 사용자를 추가하면 해당 사용자가 병합됩니다. 계정의 기존 그룹은 영향을 받지 않습니다.

3. 새 SCIM 프로비저닝 커넥터가 사용자 및 그룹을 계정에 성공적으로 프로비저닝하고 있는지 확인합니다.

4. 작업 영역에 사용자 및 그룹을 프로비저닝하는 이전 작업 영역 수준 SCIM 커넥터를 종료합니다.

   사용자 및 그룹을 종료하기 전에 작업 영역 수준 SCIM 커넥터에서 제거하지 마세요. SCIM 커넥터에서 액세스를 취소하면 Azure Databricks 작업 영역에서 사용자가 비활성화됩니다. 자세한 내용은 Azure Databricks 작업 영역에서 사용자 비활성화를 참조하세요.

5. 작업 영역 로컬 그룹을 계정 그룹으로 마이그레이션합니다.

   작업 영역에 레거시 그룹이 있는 경우 작업 영역-로컬 그룹이라고 합니다. 계정 수준 인터페이스를 사용하여 작업 영역-로컬 그룹을 관리할 수 없습니다. Databricks에서는 계정 그룹으로 변환하는 것이 좋습니다. 작업 영역 로컬 그룹을 계정 그룹으로 마이그레이션을 참조하세요.

Azure Databricks 작업 영역에 ID 프로비전(레거시)

Important

이 기능은 공개 미리 보기 상태입니다.

IdP 커넥터를 사용하여 사용자 및 그룹을 프로비저닝할 계획이고 ID 페더레이션 작업 영역이 있는 경우 작업 영역 수준에서 SCIM 프로비저닝을 구성해야 합니다.

참고 항목

작업 영역 수준 SCIM은 ID 페더레이션 작업 영역에 할당된 계정 그룹을 인식하지 못하며, 계정 그룹을 포함하는 경우 작업 영역 수준 SCIM API 호출이 실패합니다. 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 Databricks는 작업 영역 수준 SCIM API 대신 계정 수준 SCIM API를 사용하고 계정 수준 SCIM 프로비저닝을 설정하고 작업 영역 수준 SCIM 프로비저닝을 해제하는 것이 좋습니다. 자세한 지침은 작업 영역 수준 SCIM 프로비저닝을 계정 수준으로 마이그레이션을 참조하세요.

IdP 프로비저닝 커넥터를 사용하여 작업 영역에 사용자 및 그룹 추가

적절한 IdP 관련 문서의 지침을 따릅니다.

• Microsoft Entra ID(Azure Active Directory)를 사용하여 SCIM 프로비저닝 구성

SCIM API를 사용하여 작업 영역에 사용자, 그룹 및 서비스 주체 추가

작업 영역 관리자는 작업 영역 수준 SCIM API를 사용하여 Azure Databricks 계정에 사용자, 그룹 및 서비스 주체를 추가할 수 있습니다. 작업 영역 사용자 API, 작업 영역 그룹 API 및 작업 영역 서비스 주체 API 참조