Microsoft Entra ID(Azure Active Directory)를 사용하여 SCIM 프로비저닝 구성

  • 아티클

이 문서에서는 Microsoft Entra ID(이전의 Azure Active Directory)를 사용하여 Azure Databricks에 프로비저닝을 설정하는 방법을 설명합니다.

Azure Databricks 계정 수준 또는 Azure Databricks 작업 영역 수준에서 Microsoft Entra ID를 사용하여 Azure Databricks에 프로비저닝을 설정할 수 있습니다.

Databricks에서는 계정 수준에서 사용자, 서비스 주체 및 그룹을 프로비저닝하고 Azure Databricks 내의 작업 영역에 대한 사용자 및 그룹 할당을 관리하는 것이 좋습니다. 작업 영역에 대한 사용자 할당을 관리하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. ID 페더레이션에 사용하도록 설정되지 않은 작업 영역이 있는 경우 계속해서 사용자, 서비스 주체 및 그룹을 해당 작업 영역에 직접 프로비저닝해야 합니다.

참고 항목

프로비저닝이 구성된 방식은 Azure Databricks 작업 영역 또는 계정에 대한 인증 및 조건부 액세스를 구성하는 것과 완전히 별개입니다. Azure Databricks에 대한 인증은 OpenID 커넥트 프로토콜 흐름을 사용하여 Microsoft Entra ID에 의해 자동으로 처리됩니다. 서비스 수준에서 다단계 인증을 요구하거나 로컬 네트워크에 대한 로그인을 제한하는 규칙을 만들 수 있는 조건부 액세스를 구성할 수 있습니다.

Microsoft Entra ID를 사용하여 Azure Databricks 계정에 ID 프로비전

SCIM 프로비저닝 커넥터를 사용하여 Microsoft Entra ID 테넌트에서 Azure Databricks로 계정 수준 사용자 및 그룹을 동기화할 수 있습니다.

Important

ID를 작업 영역에 직접 동기화하는 SCIM 커넥터가 이미 있는 경우 계정 수준 SCIM 커넥터를 사용할 때 해당 SCIM 커넥터를 사용하지 않도록 설정해야 합니다. 계정 수준으로 작업 영역 수준 SCIM 프로비저닝 마이그레이션을 참조하세요.

요구 사항

  • Azure Databricks 계정에 프리미엄 플랜있어야 합니다.
  • Microsoft Entra ID에는 클라우드 애플리케이션 관리istrator 역할이 있어야 합니다.
  • 그룹을 프로비전하려면 Microsoft Entra ID 계정이 Premium Edition 계정이어야 합니다. 프로비저닝 사용자는 모든 Microsoft Entra ID 버전에 사용할 수 있습니다.
  • Azure Databricks 계정 관리자여야 합니다.

참고 항목

계정 콘솔을 사용하도록 설정하고 첫 번째 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조하세요.

1단계: Azure Databricks 구성

  1. Azure Databricks 계정 관리자로 Azure Databricks 계정에 로그인합니다.
  2. 사용자 설정 아이콘설정을 클릭합니다.
  3. 사용자 프로비저닝을 클릭합니다.
  4. 사용자 프로비저닝 사용을 클릭합니다.

SCIM 토큰 및 계정 SCIM URL을 복사합니다. 이를 사용하여 Microsoft Entra ID 애플리케이션을 구성합니다.

참고 항목

SCIM 토큰은 계정 SCIM API /api/2.0/accounts/{account_id}/scim/v2/ 로 제한되며 다른 Databricks REST API에 인증하는 데 사용할 수 없습니다.

2단계: 엔터프라이즈 애플리케이션 구성

이러한 지침에는 Azure Portal에서 엔터프라이즈 애플리케이션을 만들고 해당 애플리케이션을 프로비저닝에 사용하는 방법이 설명되어 있습니다. 기존 엔터프라이즈 애플리케이션이 있는 경우 Microsoft Graph를 사용하여 SCIM 프로비저닝을 자동화하도록 수정할 수 있습니다. 이렇게 하면 Azure Portal에서 별도의 프로비저닝 애플리케이션이 필요하지 않습니다.

다음 단계에 따라 Microsoft Entra ID가 사용자 및 그룹을 Azure Databricks 계정과 동기화할 수 있도록 합니다. 이 구성은 사용자 및 그룹을 작업 영역에 동기화하기 위해 만든 구성과는 별개입니다.

  1. Azure Portal에서 Microsoft Entra ID > 엔터프라이즈 애플리케이션으로 이동합니다.
  2. 애플리케이션 목록 위에 있는 + 새 애플리케이션을 클릭합니다. 갤러리에서 추가 아래에서 Azure Databricks SCIM 프로비저닝 커넥터를 검색하여 선택합니다.
  3. 애플리케이션의 이름을 입력하고 추가를 클릭합니다.
  4. 관리 메뉴에서 프로비저닝을 클릭합니다.
  5. 프로비전 모드를 자동으로 설정합니다.
  6. SCIM API 엔드포인트 URL을 이전에 복사한 계정 SCIM URL로 설정합니다.
  7. 비밀 토큰을 이전에 생성한 Azure Databricks SCIM 토큰으로 설정합니다.
  8. 연결 테스트를 클릭하고 자격 증명이 프로비저닝을 사용하도록 설정할 권한이 있는지 확인하는 메시지를 기다립니다.
  9. 저장을 클릭합니다.

3단계: 애플리케이션에 사용자 및 그룹 할당

SCIM 애플리케이션에 할당된 사용자 및 그룹은 Azure Databricks 계정에 프로비저닝됩니다. 기존 Azure Databricks 작업 영역이 있는 경우 Databricks는 해당 작업 영역의 모든 기존 사용자 및 그룹을 SCIM 애플리케이션에 추가하는 것이 좋습니다.

참고 항목

Microsoft Entra ID는 Azure Databricks에 대한 서비스 주체의 자동 프로비저닝을 지원하지 않습니다. 계정의 서비스 주체 관리에 따라 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.

Microsoft Entra ID는 Azure Databricks에 중첩된 그룹의 자동 프로비저닝을 지원하지 않습니다. Microsoft Entra ID는 명시적으로 할당된 그룹의 직위 멤버인 사용자만 읽고 프로비전할 수 있습니다. 이 문제를 해결하려면 프로비저닝해야 하는 사용자를 포함하는 그룹을 명시적으로 할당(또는 범위 지정)합니다. 자세한 내용은 이 FAQ를 참조하세요.

  1. 속성 관리 > 로 이동합니다.
  2. 배정 필요를 아니요설정합니다. Databricks는 모든 사용자가 Azure Databricks 계정에 로그인할 수 있도록 하는 이 옵션을 권장합니다.
  3. 관리 > 프로비저닝으로 이동합니다.
  4. Microsoft Entra ID 사용자 및 그룹을 Azure Databricks에 동기화하기 시작하려면 프로비전 상태 토글을 켜기로 설정합니다.
  5. 저장을 클릭합니다.
  6. 관리 > 사용자 및 그룹으로 이동합니다.
  7. 사용자/그룹 추가를 클릭하고 사용자 및 그룹을 선택한 다음 할당 단추를 클릭합니다.
  8. 몇 분 정도 기다렸다가 사용자 및 그룹이 Azure Databricks 계정에 있는지 확인합니다.

추가 및 할당하는 사용자 및 그룹은 Microsoft Entra ID가 다음 동기화를 예약할 때 Azure Databricks 계정에 자동으로 프로비전됩니다.

참고 항목

계정 수준 SCIM 애플리케이션에서 사용자를 제거하면 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 사용자가 계정 및 해당 작업 영역에서 비활성화됩니다.

Microsoft Entra ID(레거시)를 사용하여 Azure Databricks 작업 영역에 ID 프로비전

Important

이 기능은 공개 미리 보기 상태입니다.

ID 페더레이션에 사용하도록 설정되지 않은 작업 영역이 있는 경우 계속해서 사용자, 서비스 주체 및 그룹을 해당 작업 영역에 직접 프로비저닝해야 합니다. 이 섹션에서는 이렇게 하는 방법을 설명합니다.

다음 예제에서는 Azure Databricks 배포의 작업 영역 URL로 바꿉 <databricks-instance> 니다.

요구 사항

  • Azure Databricks 계정에 프리미엄 플랜있어야 합니다.
  • Microsoft Entra ID에는 클라우드 애플리케이션 관리istrator 역할이 있어야 합니다.
  • 그룹을 프로비전하려면 Microsoft Entra ID 계정이 Premium Edition 계정이어야 합니다. 프로비저닝 사용자는 모든 Microsoft Entra ID 버전에 사용할 수 있습니다.
  • Azure Databricks 작업 영역 관리자여야 합니다.

1단계: 엔터프라이즈 애플리케이션을 만들고 Azure Databricks SCIM API에 연결

Microsoft Entra ID를 사용하여 Azure Databricks 작업 영역에 직접 프로비저닝을 설정하려면 각 Azure Databricks 작업 영역에 대한 엔터프라이즈 애플리케이션을 만듭니다.

이러한 지침에는 Azure Portal에서 엔터프라이즈 애플리케이션을 만들고 해당 애플리케이션을 프로비저닝에 사용하는 방법이 설명되어 있습니다. 기존 엔터프라이즈 애플리케이션이 있는 경우 Microsoft Graph를 사용하여 SCIM 프로비저닝을 자동화하도록 수정할 수 있습니다. 이렇게 하면 Azure Portal에서 별도의 프로비저닝 애플리케이션이 필요하지 않습니다.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.

  2. 개인용 액세스 토큰을 생성하고 복사합니다. 이후 단계에서 Microsoft Entra ID에 이 토큰을 제공합니다.

    Important

    이 토큰을 Microsoft Entra ID 엔터프라이즈 애플리케이션에서 관리하지 않는 Azure Databricks 작업 영역 관리자로 생성합니다. 개인 액세스 토큰을 소유한 Azure Databricks 관리 사용자가 Microsoft Entra ID를 사용하여 프로비저닝을 해제하면 SCIM 프로비저닝 애플리케이션이 비활성화됩니다.

  3. Azure Portal에서 Microsoft Entra ID > 엔터프라이즈 애플리케이션으로 이동합니다.

  4. 애플리케이션 목록 위에 있는 + 새 애플리케이션을 클릭합니다. 갤러리에서 추가 아래에서 Azure Databricks SCIM 프로비저닝 커넥터를 검색하여 선택합니다.

  5. 애플리케이션의 이름을 입력하고 추가를 클릭합니다. 관리자가 쉽게 찾을 수 있는 이름(예: <workspace-name>-provisioning)을 사용합니다.

  6. 관리 메뉴에서 프로비저닝을 클릭합니다.

  7. 프로비전 모드자동으로 설정합니다.

  8. SCIM API 엔드포인트 URL을 입력합니다. 작업 영역 URL에 /api/2.0/preview/scim을 추가합니다.

    https://<databricks-instance>/api/2.0/preview/scim

    <databricks-instance>를 Azure Databricks 배포의 작업 영역 URL로 바꿉니다. 작업 영역 개체의 식별자 가져오기를 참조 하세요.

  9. 비밀 토큰을 1단계에서 생성한 Azure Databricks 개인용 액세스 토큰으로 설정합니다.

  10. 연결 테스트를 클릭하고 자격 증명이 프로비저닝을 사용하도록 설정할 권한이 있는지 확인하는 메시지를 기다립니다.

  11. 필요에 따라 알림 이메일을 입력하여 SCIM 프로비저닝과 관련된 오류 알림을 수신합니다.

  12. 저장을 클릭합니다.

2단계: 애플리케이션에 사용자 및 그룹 할당

참고 항목

Microsoft Entra ID는 Azure Databricks에 대한 서비스 주체의 자동 프로비저닝을 지원하지 않습니다. 작업 영역에서 서비스 주체 관리에 따라 Azure Databricks 작업 영역에 서비스 주체를 추가할 수 있습니다.

Microsoft Entra ID는 Azure Databricks에 중첩된 그룹의 자동 프로비저닝을 지원하지 않습니다. Microsoft Entra ID는 명시적으로 할당된 그룹의 직위 멤버인 사용자만 읽고 프로비전할 수 있습니다. 이 문제를 해결하려면 프로비저닝해야 하는 사용자를 포함하는 그룹을 명시적으로 할당(또는 범위 지정)합니다. 자세한 내용은 이 FAQ를 참조하세요.

  1. 속성 관리 > 로 이동합니다.
  2. 필수 할당을 예설정합니다. Databricks는 엔터프라이즈 애플리케이션에 할당된 사용자 및 그룹만 동기화하는 이 옵션을 권장합니다.
  3. 관리 > 프로비저닝으로 이동합니다.
  4. Microsoft Entra ID 사용자 및 그룹을 Azure Databricks에 동기화하기 시작하려면 프로비전 상태 토글을 켜기로 설정합니다.
  5. 저장을 클릭합니다.
  6. 관리 > 사용자 및 그룹으로 이동합니다.
  7. 사용자/그룹 추가를 클릭하고 사용자 및 그룹을 선택한 다음 할당 단추를 클릭합니다.
  8. 몇 분 정도 기다렸다가 사용자 및 그룹이 Azure Databricks 계정에 있는지 확인합니다.

나중에 추가 및 할당하는 사용자 및 그룹은 Microsoft Entra ID가 다음 동기화를 예약할 때 자동으로 프로비전됩니다.

Important

Azure Databricks SCIM 프로비저닝 커넥터 애플리케이션을 구성하는 데 개인용 액세스 토큰이 사용된 Azure Databricks 작업 영역 관리자를 할당하지 마세요.

(선택 사항) Microsoft Graph를 사용하여 SCIM 프로비저닝 자동화

Microsoft Graph에는 SCIM 프로비저닝 커넥터 애플리케이션을 구성하는 대신 Azure Databricks 계정 또는 작업 영역에 대한 사용자 및 그룹 프로비저닝을 자동화하기 위해 애플리케이션에 통합할 수 있는 인증 및 권한 부여 라이브러리가 포함되어 있습니다.

  1. Microsoft Graph에 애플리케이션을 등록하기 위한 지침을 따릅니다. 해당 애플리케이션의 애플리케이션 ID테넌트 ID를 기록해 둡니다.
  2. 애플리케이션의 개요 페이지로 이동합니다. 해당 페이지에서 다음을 수행합니다.
    1. 애플리케이션에 대한 클라이언트 암호를 구성하고 해당 비밀을 기록해 둡니다.
    2. 애플리케이션에 다음 권한을 부여합니다.
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Microsoft Entra ID 관리자에게 관리자 동의요청합니다.
  4. 애플리케이션 코드를 업데이트하여 Microsoft Graph에 대한 지원을 추가합니다.

프로비전 팁

  • 프로비저닝을 사용하도록 설정하기 전에 Azure Databricks 작업 영역에 존재했던 사용자 및 그룹은 프로비전 동기화 시 다음과 같은 동작을 보여 줍니다.
    • Microsoft Entra ID에도 있는 경우 병합됩니다.
    • Microsoft Entra ID에 없는 경우 무시됩니다.
  • 개별적으로 할당되고 그룹의 멤버 자격을 통해 복제된 사용자 권한은 해당 사용자에 대한 그룹 멤버 자격이 제거된 후에도 유지됩니다.
  • Azure Databricks 작업 영역 관리자 설정 페이지를 사용하여 사용자가 Azure Databricks 작업 영역에서 직접 제거되었습니다.
    • 해당 Azure Databricks 작업 영역에 대한 액세스 권한은 상실되지만 다른 Azure Databricks 작업 영역에는 계속 액세스 할 수 있습니다.
    • 엔터프라이즈 애플리케이션에서 기본 경우에도 Microsoft Entra ID 프로비저닝을 사용하여 다시 동기화되지 않습니다.
  • 초기 Microsoft Entra ID 동기화는 프로비저닝을 사용하도록 설정한 직후에 트리거됩니다. 후속 동기화는 애플리케이션의 사용자 및 그룹 수에 따라 20-40분마다 트리거됩니다. Microsoft Entra ID 설명서의 프로비전 요약 보고서를 참조하세요.
  • Azure Databricks 작업 영역 사용자의 사용자 이름 또는 이메일 주소를 업데이트할 수 없습니다.
  • admins 그룹은 Azure Databricks에서 예약된 그룹이며 제거할 수 없습니다.
  • Azure Databricks 그룹 API 또는 그룹 UI 를 사용하여 Azure Databricks 작업 영역 그룹의 멤버 목록을 가져올 수 있습니다.
  • Azure Databricks SCIM 프로비저닝 커넥트or 애플리케이션에서 중첩된 그룹 또는 Microsoft Entra ID 서비스 주체를 동기화할 수 없습니다. Databricks는 엔터프라이즈 애플리케이션을 사용하여 사용자 및 그룹을 동기화하고 Azure Databricks 내에서 중첩된 그룹 및 서비스 주체를 관리하는 것이 좋습니다. 그러나 중첩된 그룹 또는 Microsoft Entra ID 서비스 주체를 동기화하기 위해 Azure Databricks SCIM API를 대상으로 하는 Databricks Terraform 공급자 또는 사용자 지정 스크립트를 사용할 수도 있습니다.

문제 해결

사용자 및 그룹이 동기화되지 않음

  • Azure Databricks SCIM 프로비저닝 커넥트or 애플리케이션을 사용하는 경우:
    • 작업 영역 수준 프로비전의 경우: Azure Databricks 관리자 설정 페이지에서 Azure Databricks SCIM Provisioning 커넥트or 애플리케이션에서 개인 액세스 토큰을 사용하고 있는 Azure Databricks 사용자가 여전히 Azure Databricks의 작업 영역 관리자 사용자이며 토큰이 여전히 유효한지 확인합니다.
    • 계정 수준 프로비저닝인 경우: 계정 콘솔에서 프로비저닝을 설정하는 데 사용된 Azure Databricks SCIM 토큰이 여전히 유효한지 확인합니다.
  • Microsoft Entra ID 자동 프로비저닝에서 지원되지 않는 중첩된 그룹을 동기화하지 마세요. 자세한 내용은 이 FAQ를 참조하세요.

Microsoft Entra ID 서비스 주체가 동기화되지 않음

  • Azure Databricks SCIM 프로비저닝 커넥터 애플리케이션은 서비스 주체 동기화를 지원하지 않습니다.

초기 동기화 후 사용자 및 그룹이 동기화를 중지합니다.

Azure Databricks SCIM 프로비저닝 커넥트or 애플리케이션을 사용하는 경우: 초기 동기화 후 사용자 또는 그룹 할당을 변경한 직후 Microsoft Entra ID가 동기화되지 않습니다. 사용자 및 그룹 수에 따라 지연 후 애플리케이션과의 동기화를 예약합니다. 즉시 동기화를 요청하려면 엔터프라이즈 애플리케이션의 관리 > 프로비저닝으로 이동하여 현재 상태 지우기 및 동기화 다시 시작을 선택합니다.

Microsoft Entra 프로비저닝 서비스 IP 범위에 액세스할 수 없음

Microsoft Entra ID 프로비저닝 서비스는 특정 IP 범위에서 작동합니다. 네트워크 액세스를 제한해야 하는 경우 이 IP 범위 파일에서 AzureActiveDirectory에 대한 IP 주소의 트래픽을 허용해야 합니다. 자세한 내용은 IP 범위를 참조하세요.