Настройка подготовки SCIM с помощью идентификатора Microsoft Entra (Azure Active Directory)

  • Статья

В этой статье описывается настройка подготовки в Azure Databricks с помощью идентификатора Microsoft Entra (ранее — Azure Active Directory).

Вы можете настроить подготовку в Azure Databricks с помощью идентификатора Microsoft Entra на уровне учетной записи Azure Databricks или на уровне рабочей области Azure Databricks.

Databricks рекомендует подготовить пользователей, субъектов-служб и групп на уровне учетной записи и управлять назначением пользователей и групп рабочим областям в Azure Databricks. Чтобы управлять назначением пользователей рабочим областям, необходимо включить рабочие области для федерации удостоверений. Если у вас есть рабочие области, которые не включены для федерации удостоверений, следует продолжить подготовку пользователей, субъектов-служб и групп непосредственно в этих рабочих областях.

Примечание.

Метод настройки подготовки не связан с настройкой проверки подлинности и условного доступа для рабочих областей или учетных записей Azure Databricks. Проверка подлинности для Azure Databricks выполняется автоматически с помощью идентификатора Microsoft Entra с помощью потока протокола OpenID Подключение. Вы настраиваете условный доступ, который позволяет создавать правила, требующие многофакторной проверки подлинности или ограничения учетных данных для входа в локальные сети на уровне службы.

Подготовка удостоверений в учетной записи Azure Databricks с помощью идентификатора Microsoft Entra

Вы можете синхронизировать пользователей и группы на уровне учетной записи из клиента Идентификатора Майкрософт в Azure Databricks с помощью соединителя подготовки SCIM.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Требования

  • Учетная запись Azure Databricks должна иметь план Premium.
  • Необходимо иметь роль облачного приложения Администратор istrator в идентификаторе Microsoft Entra.
  • Учетная запись идентификатора Microsoft Entra должна быть учетной записью выпуска Premium для подготовки групп. Пользователи подготовки доступны для любого выпуска Идентификатора Microsoft Entra.
  • Вы должны быть администратором учетных записей в Azure Databricks.

Примечание.

Чтобы включить консоль учетной записи и установить первого администратора учетной записи, см. статью "Установка первого администратора учетной записи".

Шаг 1. Настройка Azure Databricks

  1. Войдите в консоль учетной записи Azure Databricks с правами администратора учетных записей Azure Databricks.
  2. Щелкните Значок Параметры пользователяПараметры.
  3. Щелкните Подготовка пользователей.
  4. Нажмите кнопку "Настройка подготовки пользователей".

Скопируйте маркер SCIM и URL-адрес SCIM учетной записи. Вы будете использовать их для настройки приложения Идентификатора Microsoft Entra.

Примечание.

Маркер SCIM ограничен API /api/2.0/accounts/{account_id}/scim/v2/ SCIM учетной записи и не может использоваться для проверки подлинности в других REST API Databricks.

Шаг 2. Настройка корпоративного приложения

В этих инструкциях показано, как создать корпоративное приложение на портале Azure и использовать это приложение для подготовки. Если у вас есть существующее приложение, можно изменить его, чтобы автоматизировать подготовку SCIM с помощью Microsoft Graph. Благодаря этому можно не использовать отдельное приложение подготовки на портале Azure.

Выполните следующие действия, чтобы включить идентификатор Microsoft Entra для синхронизации пользователей и групп с учетной записью Azure Databricks. Эта конфигурация отделена от всех конфигураций, созданных для синхронизации пользователей и групп с рабочими областями.

  1. В портал Azure перейдите к корпоративным приложениям Microsoft Entra ID>.
  2. Щелкните + Создать приложение над списком приложений. В разделе Добавить из коллекции найдите и выберите Соединитель подготовки Azure Databricks SCIM.
  3. Введите Имя приложения и нажмите Добавить.
  4. В меню Управление выберите Подготовка.
  5. Для параметра Режим подготовки к работе выберите значение "Автоматически".
  6. Задайте для параметра URL-адрес конечной точки API SCIM значение URL-адреса SCIM учетной записи, скопированное ранее.
  7. Задайте для параметра Секретный токен значение маркера SCIM Azure Databricks, созданного ранее.
  8. Нажмите кнопку Проверить подключение и дождитесь сообщения о том, что учетные данные имеют разрешения для включения подготовки.
  9. Нажмите кнопку Сохранить.

Шаг 3. Назначение пользователей и групп для приложения

Пользователи и группы, назначенные приложению SCIM, будут подготовлены в учетной записи Azure Databricks. Если у вас есть рабочие области Azure Databricks, Databricks рекомендует добавить всех существующих пользователей и группы в этих рабочих областях в приложение SCIM.

Примечание.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку субъектов-служб в Azure Databricks. Вы можете добавить субъекты-службы в учетную запись Azure Databricks после управления субъектами-службами в вашей учетной записи.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку вложенных групп в Azure Databricks. Идентификатор Microsoft Entra может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Чтобы обойти это ограничение, следует явно назначить (или другим способом указать область) группы, содержащие пользователей, которых нужно подготовить. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

  1. Перейдите к разделу "Управление свойствами>".
  2. Задайте значение "Назначение ", необходимое для no. Databricks рекомендует этот параметр, который позволяет всем пользователям входить в учетную запись Azure Databricks.
  3. См. раздел Управление >подготовкой.
  4. Чтобы начать синхронизацию пользователей и групп идентификатора Microsoft Entra с Azure Databricks, установите переключатель "Состояние подготовки" в положение "Вкл.".
  5. Нажмите кнопку Сохранить.
  6. Перейдите в раздел Управление >пользователями и группами.
  7. Нажмите кнопку "Добавить пользователя или группу", выберите пользователей и группы и нажмите кнопку "Назначить ".
  8. Подождите несколько минут, а затем проверьте существуют ли пользователи и группы в учетной записи Azure Databricks.

Пользователи и группы, которые вы добавляете и назначаете, автоматически подготавливаются к учетной записи Azure Databricks, когда идентификатор Microsoft Entra id планирует следующую синхронизацию.

Примечание.

Если удалить пользователя из приложения SCIM на уровне учетной записи, этот пользователь деактивирован из учетной записи и из рабочих областей независимо от того, включена ли федерация удостоверений.

Подготовка удостоверений в рабочей области Azure Databricks с помощью идентификатора Microsoft Entra (устаревшая версия)

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Если у вас нет рабочих областей, не включенных для федерации удостоверений, необходимо подготовить пользователей, субъектов-служб и групп непосредственно в этих рабочих областях. В этом разделе описано, как это сделать.

В следующих примерах замените <databricks-instance>URL-адресом рабочей области развертывания Azure Databricks.

Требования

  • Учетная запись Azure Databricks должна иметь план Premium.
  • Необходимо иметь роль облачного приложения Администратор istrator в идентификаторе Microsoft Entra.
  • Учетная запись идентификатора Microsoft Entra должна быть учетной записью выпуска Premium для подготовки групп. Пользователи подготовки доступны для любого выпуска Идентификатора Microsoft Entra.
  • Вы должны быть администратором рабочей области в Azure Databricks.

Шаг 1. Создание корпоративного приложения и подключение к Azure Databricks SCIM API

Чтобы настроить подготовку непосредственно в рабочих областях Azure Databricks с помощью идентификатора Microsoft Entra, создайте корпоративное приложение для каждой рабочей области Azure Databricks.

В этих инструкциях показано, как создать корпоративное приложение на портале Azure и использовать это приложение для подготовки. Если у вас есть существующее приложение, можно изменить его, чтобы автоматизировать подготовку SCIM с помощью Microsoft Graph. Благодаря этому можно не использовать отдельное приложение подготовки на портале Azure.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

  2. Создайте личный маркер доступа и скопируйте его. Этот маркер предоставляется идентификатору Microsoft Entra на следующем шаге.

    Внимание

    Создайте этот токен как администратор рабочей области Azure Databricks, который не управляется корпоративным приложением Microsoft Entra ID. Если пользователь администратора Azure Databricks, которому принадлежит личный маркер доступа, отменяется с помощью идентификатора Microsoft Entra, приложение подготовки SCIM будет отключено.

  3. В портал Azure перейдите к корпоративным приложениям Microsoft Entra ID>.

  4. Щелкните + Создать приложение над списком приложений. В разделе Добавить из коллекции найдите и выберите Соединитель подготовки Azure Databricks SCIM.

  5. Введите Имя приложения и нажмите Добавить. Укажите имя, по которому администраторы смогут его найти, например, <workspace-name>-provisioning.

  6. В меню Управление выберите Подготовка.

  7. Для параметра Режим подготовки к работе выберите значение Автоматически.

  8. Введите URL-адрес конечной точки API SCIM. Добавьте /api/2.0/preview/scim к URL-адресу рабочей области:

    https://<databricks-instance>/api/2.0/preview/scim

    Замените <databricks-instance>URL-адресом рабочей области для развертывания Azure Databricks. См. сведения о получении идентификаторов для объектов рабочей области.

  9. Задайте Маркет безопасности секрета для личного маркера доступа Azure Databricks, созданного на шаге 1.

  10. Нажмите кнопку Проверить подключение и дождитесь сообщения о том, что учетные данные имеют разрешения для включения подготовки.

  11. При необходимости укажите адрес электронной почты, чтобы получать уведомления о критических ошибках при подготовке SCIM.

  12. Нажмите кнопку Сохранить.

Шаг 2. Назначение пользователей и групп для приложения

Примечание.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку субъектов-служб в Azure Databricks. Вы можете добавить субъекты-службы в рабочую область Azure Databricks после управления субъектами-службами в рабочей области.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку вложенных групп в Azure Databricks. Идентификатор Microsoft Entra может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Чтобы обойти это ограничение, следует явно назначить (или другим способом указать область) группы, содержащие пользователей, которых нужно подготовить. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

  1. Перейдите к разделу "Управление свойствами>".
  2. Задайте значение "Назначение", необходимое для "Да". В Databricks рекомендуется использовать этот параметр, который синхронизирует только пользователей и группы, назначенные корпоративному приложению.
  3. См. раздел Управление >подготовкой.
  4. Чтобы начать синхронизацию пользователей и групп идентификатора Microsoft Entra с Azure Databricks, установите переключатель "Состояние подготовки" в положение "Вкл.".
  5. Нажмите кнопку Сохранить.
  6. Перейдите в раздел Управление >пользователями и группами.
  7. Нажмите кнопку "Добавить пользователя или группу", выберите пользователей и группы и нажмите кнопку "Назначить ".
  8. Подождите несколько минут, а затем проверьте существуют ли пользователи и группы в учетной записи Azure Databricks.

В будущем пользователи и группы, которые вы добавляете и назначаете, автоматически подготавливаются при планировании следующей синхронизации идентификатора Microsoft Entra.

Внимание

Не назначайте администратора рабочей области Azure Databricks, чей личный маркер доступа использовался для настройки приложения Соединитель подготовки Azure Databricks SCIM.

(Необязательно) Автоматизация подготовки с помощью Microsoft Graph

Microsoft Graph включает библиотеки проверки подлинности и авторизации, которые можно интегрировать в приложение для автоматизации подготовки пользователей и групп в учетной записи Azure Databricks или рабочих областей, а не для настройки приложения соединителя подготовки SCIM.

  1. Следуйте инструкциям по регистрации приложения с использованием Microsoft Graph. Запишите идентификатор приложения и идентификатор арендатора для приложения.
  2. Перейдите на страницу обзора приложений. На этой странице:
    1. Настройте секрет клиента для приложения и запишите секретный код.
    2. Предоставьте приложению следующие разрешения:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Попросите администратора идентификатора Microsoft Entra предоставить согласие администратора.
  4. Обновите код приложения, чтобы добавить поддержку для Microsoft Graph.

Советы по подготовке

  • Пользователи и группы, которые существовали в рабочей области Azure Databricks до включения подготовки, демонстрируют следующее поведение при синхронизации подготовки:
    • Объединены, если они также существуют в идентификаторе Microsoft Entra
    • Игнорируются, если они не существуют в идентификаторе Microsoft Entra
  • Разрешения пользователя, которые назначаются по отдельности и дублируются через членство в группе, сохраняются после удаления членства в группе для пользователя.
  • Пользователи, удаленные из рабочей области Azure Databricks напрямую, с помощью страницы параметров администратора рабочей области Azure Databricks:
    • Теряют доступ к этой рабочей области Azure Databricks, но по-прежнему имеют доступ к другим рабочим областям Azure Databricks.
    • Не будет синхронизировано повторно с помощью подготовки идентификатора Microsoft Entra, даже если они остаются в корпоративном приложении.
  • Начальная синхронизация идентификаторов Microsoft Entra активируется сразу после включения подготовки. Последующие операции синхронизации активируются каждые 20-40 минут в зависимости от числа пользователей и групп в приложении. См . сводный отчет о подготовке в документации по идентификатору Microsoft Entra.
  • Невозможно обновить имя пользователя или адрес электронной почты пользователя рабочей области Azure Databricks.
  • Группа admins является зарезервированной группой в Azure Databricks, и ее нельзя удалить.
  • Api групп Azure Databricks или пользовательский интерфейс групп можно использовать для получения списка участников любой группы рабочей области Azure Databricks.
  • Не удается синхронизировать вложенные группы или субъекты-службы идентификатора Microsoft Entra из приложения подготовки SCIM Azure Databricks Подключение or. Databricks рекомендует использовать корпоративное приложение для синхронизации пользователей и групп и управления вложенными группами и субъектами-службами в Azure Databricks. Однако можно также использовать поставщик Databricks Terraform или пользовательские скрипты, предназначенные для API SCIM Azure Databricks для синхронизации вложенных групп или субъектов-служб Идентификатора Майкрософт.

Устранение неполадок

Пользователи и группы не синхронизируются

  • Если вы используете приложение подготовки SCIM для Azure Databricks, Подключение or:
    • Для подготовки на уровне рабочей области. На странице параметров администратора Azure Databricks убедитесь, что пользователь Azure Databricks, личный маркер доступа которого используется приложением подготовки SCIM Azure Databricks Подключение or, по-прежнему является пользователем администратора рабочей области в Azure Databricks и что маркер по-прежнему действителен.
    • Для подготовки на уровне учетной записи: в консоли учетной записи убедитесь, что маркер SCIM Azure Databricks, который использовался для настройки подготовки, по-прежнему действителен.
  • Не пытайтесь синхронизировать вложенные группы, которые не поддерживаются автоматической подготовкой идентификатора Microsoft Entra. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

Субъекты-службы идентификатора Microsoft Entra не синхронизируются

  • Приложение подготовки SCIM azure Databricks Подключение or не поддерживает синхронизацию субъектов-служб.

После начальной синхронизации пользователи и группы прекращают синхронизацию

Если вы используете приложение подготовки SCIM Azure Databricks Подключение or: после начальной синхронизации идентификатор Microsoft Entra не синхронизируется сразу после изменения назначений пользователей или групп. Он планирует синхронизацию с приложением по истечении задержки с учетом числа пользователей и групп. Чтобы запросить немедленную синхронизацию, перейдите в раздел Управление > подготовкой корпоративного приложения и выберите Очистить текущее состояние и перезапустить синхронизацию.

Недоступен диапазон IP-адресов службы подготовки Microsoft Entra ID

Служба подготовки идентификаторов Microsoft Entra работает в определенных диапазонах IP-адресов. Если требуется ограничить доступ к сети, необходимо разрешить трафик с IP-адресов для AzureActiveDirectory в этом диапазоне IP-адресов. Дополнительные сведения см. в разделе Диапазоны IP-адресов.