Настройка подготовки scim для Microsoft Azure Active Directory

Важно!

Эта функция предоставляется в режиме общедоступной предварительной версии.

Чтобы включить подготовку для Azure Databricks с помощью Azure Active Directory (Azure AD), необходимо создать корпоративное приложение для каждой рабочей области Azure Databricks.

Примечание

Способ настройки подготовки полностью отделен от настройки проверки подлинности и условного доступа для Azure Databricks рабочих областей. Проверка подлинности для Azure Databricks выполняется автоматически Azure Active Directory с использованием потока протокола OpenID Connect Connect. Вы настраиваете Условный доступ, который позволяет создавать правила для требования многофакторной проверки подлинности или ограничения имен входа в локальные сети на уровне службы.

Предварительные требования

  • У учетной записи Azure Databricks должен быть план Azure Databricks уровня "Премиум".
  • Ваша учетная запись Azure Active Directory должна быть учетной записью выпуска Premium.
  • Для учетной записи Azure Active Directory необходимо быть глобальным администратором.

Настроить подготовку можно двумя способами.

Использование корпоративного приложения Azure Active Directory

В следующих примерах замените <databricks-instance> URL-адресом рабочей области развертывания Azure Databricks.

Создание корпоративного приложения и его подключение к Azure Databricks API SCIM

  1. Создайте личный маркер доступа в Azure Databricks и скопируйте его. Вы предоставляете этот маркер для Azure Active Directory на последующем шаге.

    Важно!

    Создайте этот маркер в качестве администратора Azure Databricks, который не управляется Azure Active Directory корпоративным приложением. Если пользователь Azure Databricks администратора, которому принадлежит личный маркер доступа, отменяется при помощи Azure Active Directory, приложение SCIM подготовка будет отключено.

  2. В портал Azure перейдите в раздел Azure Active Directory > корпоративные приложения.

  3. Щелкните + создать приложение над списком приложений. В разделе Добавить из коллекции найдите и выберите Azure Databricks scim подготовка соединителя.

  4. Введите имя приложения и нажмите кнопку Добавить. Укажите имя, которое поможет администраторам найти его, например <workspace-name>-provisioning .

  5. В меню Управление выберите Подготовка.

  6. Для параметра Режим подготовки к работе выберите значение Автоматически.

  7. Введите URL-адрес клиента:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Замените <databricks-instance> URL-адресом рабочей области развертывания Azure Databricks. См. статью получение идентификаторов рабочих областей, кластеров, записных книжек, моделей и заданий.

  8. Задайте секретный токен для Azure Databricks личного маркера доступа, созданного на шаге 1.

  9. Нажмите кнопку проверить подключение и дождитесь сообщения о том, что учетные данные разрешены для включения подготовки.

  10. При необходимости введите уведомление по электронной почте, чтобы получать уведомления о критических ошибках с помощью подготовки SCIM.

  11. Щелкните Сохранить.

Назначение пользователей и групп для приложения

  1. Перейдите к разделу управление > подготовки.

  2. В разделе Параметры задайте для параметра область значение синхронизировать только назначенные пользователи и группы.

    Модульные подсети рекомендуют этот параметр, который синхронизирует только пользователей и группы, назначенные корпоративному приложению.

    Примечание

    Azure Active Directory не поддерживает автоматическую подготовку вложенных групп для Azure Databricks. Azure Active Directory может читать и подготавливать только пользователей, которые являются непосредственными членами явно назначенной группы. В качестве обходного решения можно явно назначить (или иным образом область в) группы, содержащие пользователей, которые должны быть подготовлены. Дополнительные сведения см. в разделе часто задаваемые вопросы.

  3. Чтобы начать синхронизацию Azure Active Directory пользователей и групп для Azure Databricks, щелкните переключатель состояние подготовки .

  4. Щелкните Сохранить.

  5. Протестируйте настройку подготовки:

    1. Перейдите к разделу управление > пользователей и групп.
    2. Добавьте некоторых пользователей и группы. Щелкните Добавить пользователя, выберите Пользователи и группы и нажмите кнопку назначить .
    3. Подождите несколько минут и убедитесь, что пользователи и группы существуют в рабочей области Azure Databricks.

В будущем пользователи и группы, добавляемые и назначаемые, автоматически подготавливаются, когда Azure Active Directory планирует следующую синхронизацию.

Важно!

Не назначайте Azure Databricks администратору, чей персональный маркер доступа использовался для настройки приложения Azure DATABRICKS scim подготовки соединителя .

Автоматизация подготовки SCIM с помощью Microsoft Graph

Microsoft Graph включает библиотеки проверки подлинности и авторизации, которые можно интегрировать в приложение для автоматизации подготовки пользователей и групп к Azure Databricks, вместо настройки приложения СОЕДИНИТЕЛЯ подготовки scim.

  1. Следуйте инструкциям по регистрации приложения с Microsoft Graph. Запишите идентификатор приложения и идентификатор клиента для приложения.
  2. Перейдите на страницу обзора приложений. На этой странице:
    1. Настройте секрет клиента для приложения и запишите секретный код.
    2. Предоставьте приложению следующие разрешения:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Попросите администратора Azure Active Directory предоставить согласие администратора.
  4. Обновите код приложения, чтобы Добавить поддержку для Microsoft Graph.

Советы по подготовке

  • Пользователи и группы, которые существовали в Azure Databricks до включения подготовки, ведут к следующим действиям при подготовке синхронизации:
    • Объединяются, если они также существуют в Azure Active Directory
    • Не учитываются, если они не существуют в Azure Active Directory
  • Разрешения пользователя, которые назначаются по отдельности и дублируются через членство в группе, остаются после удаления членства в группе для пользователя.
  • Пользователи, удаленные из рабочей области Azure Databricks напрямую, с помощью консоли администрирования Azure Databricks:
    • Потеря доступа к этой рабочей области Azure Databricks, но по-прежнему может иметь доступ к другим Azure Databricks рабочим областям.
    • Не будет синхронизироваться повторно с помощью подготовки Azure Active Directory, даже если они остаются в корпоративном приложении.
  • Начальная Azure Active Directory синхронизация запускается сразу после включения подготовки. Последующие операции синхронизации активируются каждые 20-40 минут в зависимости от числа пользователей и групп в приложении. См. сводный отчет о подготовке в документации по Azure Active Directory.
  • Невозможно обновить имя пользователя или адрес электронной почты Azure Databricks пользователя.
  • adminsГруппа является зарезервированной группой в Azure Databricks и не может быть удалена.
  • Группы не могут быть переименованы в Azure Databricks; не пытайтесь переименовать их в Azure Active Directory.
  • Вы можете использовать API групп Azure Databricks или Пользовательский интерфейс групп , чтобы получить список членов любой группы Azure Databricks.

Устранение неполадок

Пользователи и группы не синхронизируются

  • Если вы используете приложение Azure DATABRICKS scim для соединителя подготовки : в консоли администрирования Azure Databricks убедитесь, что Azure Databricks пользователь, чей личный маркер доступа используется приложением соединителя Azure Databricks scim подготовки , по-прежнему является администратором в Azure Databricks и что маркер по-прежнему действителен.
  • Не пытайтесь синхронизировать вложенные группы, которые не поддерживаются Azure Active Directory автоматической подготовкой. Дополнительные сведения см. в разделе часто задаваемые вопросы.

После начальной синхронизации пользователи и группы прекращают синхронизацию

Если вы используете приложение Azure DATABRICKS scim подготовки соединителя : после начальной синхронизации Azure Active Directory не синхронизируется сразу же после изменения назначений пользователей или групп. Он планирует синхронизацию с приложением после задержки, в зависимости от числа пользователей и групп. Чтобы запросить немедленную синхронизацию, перейдите в раздел управление > подготовки для корпоративного приложения и выберите очистить текущее состояние и перезапустить синхронизацию.

Диапазон IP-адресов службы подготовки Azure Active Directory недоступен

Служба подготовки Azure Active Directory работает с конкретными диапазонами IP-адресов. Если необходимо ограничить доступ к сети, необходимо разрешить трафик с IP-адресов для AzureActiveDirectory в этом файле диапазона. Дополнительные сведения см. в разделе диапазоны IP-адресов.