Синхронизация пользователей и групп из Microsoft Entra ID

В этой статье описывается, как настроить поставщика удостоверений (IdP) и Azure Databricks для подготовки пользователей и групп в Azure Databricks с помощью SCIM (системы для управления междоменных удостоверений) — открытого стандарта, позволяющего автоматизировать подготовку пользователей.

Сведения о подготовке SCIM в Azure Databricks

SCIM позволяет с помощью поставщика удостоверений (IdP) создавать пользователей в Azure Databricks, предоставлять им нужный уровень доступа, а также отменять (отзывать) доступ пользователей, которые покинули организацию или больше не нуждаются в доступе к Azure Databricks.

Соединитель подготовки SCIM можно использовать в idP или вызвать API групп SCIM для управления подготовкой. Эти API также можно использовать для управления удостоверениями в Azure Databricks напрямую без поставщика удостоверений.

Подготовка SCIM на уровне учетной записи и рабочей области

Можно настроить один соединитель подготовки SCIM из идентификатора Microsoft Entra в учетную запись Azure Databricks, используя подготовку SCIM на уровне учетной записи или настроить отдельные соединители подготовки SCIM для каждой рабочей области с помощью подготовки SCIM на уровне рабочей области.

• Подготовка SCIM на уровне учетной записи. Databricks рекомендует использовать подготовку SCIM на уровне учетной записи для создания, обновления и удаления всех пользователей из учетной записи. Вы управляете назначением пользователей и групп рабочим областям в Azure Databricks. Рабочие области должны быть включены для федерации удостоверений для управления назначениями рабочих областей пользователей.

• Подготовка SCIM на уровне рабочей области (устаревшая версия и общедоступная предварительная версия ): для рабочих областей, которые не включены для федерации удостоверений, необходимо параллельно управлять подготовкой SCIM на уровне учетной записи и уровня рабочей области. Не требуется подготовка SCIM на уровне рабочей области для рабочих областей, которые включены для федерации удостоверений.

  Если у вас уже настроена подготовка SCIM на уровне рабочей области, Databricks рекомендует включить рабочую область для федерации удостоверений, настроить подготовку SCIM на уровне учетной записи и отключить средство подготовки SCIM на уровне рабочей области. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Требования

Для подготовки пользователей и групп в Azure Databricks с использованием SCIM:

• Учетная запись Azure Databricks должна иметь план Premium.
• Чтобы подготовить пользователей В учетной записи Azure Databricks с помощью SCIM (включая REST API SCIM), необходимо быть администратором учетной записи Azure Databricks.
• Чтобы подготовить пользователей к рабочей области Azure Databricks с помощью SCIM (включая ИНТЕРФЕЙСы REST API SCIM), необходимо быть администратором рабочей области Azure Databricks.

Дополнительные сведения о привилегиях администратора см. в разделе "Управление пользователями,субъектами-службами" и группами.

Учетная запись может содержать максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп. В каждой рабочей области может быть максимум 10 000 совокупных пользователей и субъектов-служб, а также 5000 групп.

Подготовка удостоверений для учетной записи Azure Databricks

Вы можете использовать SCIM для подготовки пользователей и групп из идентификатора Microsoft Entra в учетную запись Azure Databricks с помощью соединителя подготовки SCIM или непосредственно с помощью API SCIM.

Добавление пользователей и групп в учетную запись Azure Databricks с помощью идентификатора Microsoft Entra (ранее — Azure Active Directory)

Удостоверения уровня учетной записи можно синхронизировать с клиентом Идентификатора Microsoft Entra в Azure Databricks с помощью соединителя подготовки SCIM.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Полные инструкции см. в разделе "Подготовка удостоверений" для учетной записи Azure Databricks с помощью идентификатора Microsoft Entra.

Примечание.

При удалении пользователя из соединителя SCIM на уровне учетной записи этот пользователь деактивирован из учетной записи и всех рабочих областей независимо от того, включена ли федерация удостоверений. При удалении группы из соединителя SCIM уровня учетной записи все пользователи в этой группе деактивируются из учетной записи и из любых рабочих областей, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к соединителю SCIM уровня учетной записи).

Добавление пользователей, субъектов-служб и групп в учетную запись с помощью API SCIM

Администраторы учетных записей могут добавлять пользователей, субъектов-служб и группы в учетную запись Azure Databricks с помощью API SCIM учетной записи. Администраторы учетных записей вызывают API в accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) и могут использовать маркер SCIM или маркер идентификатора Microsoft Entra для проверки подлинности.

Примечание.

Маркер SCIM ограничен API /api/2.0/accounts/{account_id}/scim/v2/ SCIM учетной записи и не может использоваться для проверки подлинности в других REST API Databricks.

Чтобы получить маркер SCIM, выполните следующие действия.

1. Войдите в консоль учетной записи с правами администратора учетных записей.

2. На боковой панели щелкните Параметры.

3. Щелкните Подготовка пользователей.

   Если подготовка не включена, нажмите кнопку "Настройка подготовки пользователей" и скопируйте маркер.

   Если подготовка уже включена, нажмите кнопку Повторно создать маркер и скопируйте маркер.

Чтобы использовать маркер идентификатора Microsoft Entra для проверки подлинности, ознакомьтесь с проверкой подлинности субъекта-службы Идентификатора Microsoft Entra.

Администраторы рабочей области могут добавлять пользователей и субъектов-служб с помощью одного API. Администраторы рабочей области вызывают API в домене {workspace-domain}/api/2.0/account/scim/v2/рабочей области.

Смена маркера SCIM на уровне учетной записи

Если маркер SCIM на уровне учетной записи скомпрометирован или у вас действуют бизнес-требования для периодической смены маркеров аутентификации, вы можете сменить маркер SCIM.

1. Как администратор учетной записи Azure Databricks войдите в консоль учетной записи.
2. На боковой панели щелкните Параметры.
3. Щелкните Подготовка пользователей.
4. Щелкните Повторно создать маркер. Запишите новый маркер. Предыдущий маркер будет действовать еще 24 часа.
5. В течение 24 часов обновите приложение SCIM в Azure AD, чтобы использовать новый маркер SCIM.

Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи

Если вы включаете подготовку SCIM на уровне учетной записи и уже настроили подготовку SCIM на уровне рабочей области для некоторых рабочих областей, Databricks рекомендует отключить средство подготовки SCIM на уровне рабочей области, а вместо этого синхронизировать пользователей и группу с уровнем учетной записи.

1. Создайте группу в идентификаторе Microsoft Entra, которая включает всех пользователей и групп, которые вы в настоящее время подготавливаете в Azure Databricks с помощью соединителей SCIM на уровне рабочей области.

   Databricks рекомендует включить всех пользователей во все рабочие области в учетную запись.

2. Настройте новый соединитель подготовки SCIM для подготовки пользователей и групп для учетной записи, используя инструкции в разделе Подготовка удостоверений для учетной записи Azure Databricks.

   Используйте группы, созданные в шаге 1. При добавлении пользователя, который использует имя пользователя (адрес электронной почты) с существующим пользователем учетной записи, эти пользователи объединяются. Существующие группы в учетной записи не затрагиваются.

3. Убедитесь, что новый соединитель подготовки SCIM успешно подготавливает пользователей и группы для вашей учетной записи.

4. Завершите работу старых соединителей SCIM на уровне рабочей области, которые подготавливали пользователей и группы для рабочих областей.

   Не удаляйте пользователей и группы из соединителей SCIM на уровне рабочей области перед завершением работы. Отмена доступа из соединителя SCIM деактивирует пользователя в рабочей области Azure Databricks. Дополнительные сведения см. в разделе "Деактивация пользователя" в рабочей области Azure Databricks.

5. Перенос локальных групп рабочей области в группы учетных записей.

   Если у вас есть устаревшие группы в рабочих областях, они называются локальными группами рабочей области. Нельзя управлять локальными группами рабочей области с помощью интерфейсов уровня учетной записи. Databricks рекомендует преобразовать их в группы учетных записей. См. статью о переносе локальных групп рабочей области в группы учетных записей

Подготовка удостоверений в рабочей области Azure Databricks (устаревшая версия)

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Если вы хотите использовать соединитель Поставщика удостоверений для подготовки пользователей и групп и у вас есть рабочая область, которая не является федеративной удостоверением, необходимо настроить подготовку SCIM на уровне рабочей области.

Примечание.

SCIM уровня рабочей области не распознает группы учетных записей, назначенные федеративной рабочей области и вызовы API SCIM на уровне рабочей области, если они включают группы учетных записей. Если рабочая область включена для федерации удостоверений, Databricks рекомендует использовать API SCIM на уровне учетной записи вместо API SCIM на уровне рабочей области и настроить подготовку SCIM на уровне учетной записи и отключить средство подготовки SCIM на уровне рабочей области. Подробные инструкции см. в разделе "Миграция подготовки SCIM на уровне рабочей области" на уровень учетной записи.

Добавление пользователей и групп в рабочую область с помощью соединителя подготовки поставщика удостоверений

Следуйте инструкциям в соответствующей статье, относящейся к поставщику удостоверений:

• Настройка подготовки SCIM с помощью идентификатора Microsoft Entra (Azure Active Directory)

Добавление пользователей, групп и субъектов-служб в рабочую область с помощью API SCIM

Администраторы рабочей области могут добавлять пользователей, группы и субъекты-службы в учетную запись Azure Databricks с помощью API SCIM на уровне рабочей области. См. API пользователей рабочей области, API групп рабочих областей и API субъектов-служб рабочей области