Konfigurera SCIM-etablering för Microsoft Azure Active Directory

Viktigt

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Om du vill aktivera etablering till Azure Databricks med Azure Active Directory (Azure AD) måste du skapa ett företagsprogram för varje Azure-Databricks arbetsyta.

Anteckning

Etableringen är helt separat från konfigurationen av autentisering och villkorlig åtkomst för Azure Databricks arbetsytor. Autentisering för Azure Databricks hanteras automatiskt av Azure Active Directory med hjälp av OpenID-Anslut protokollflödet. Du konfigurerar villkorlig åtkomst, vilket gör att du kan skapa regler för att kräva multifaktorautentisering eller begränsa inloggningar till lokala nätverk på tjänstnivå.

Krav

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Ditt Azure Active Directory-konto måste vara ett Premium edition-konto.
  • Du måste vara global administratör för Azure Active Directory-kontot.

Det finns två sätt att konfigurera etablering:

Använda ett Azure Active Directory företagsprogram

I följande exempl ersätter du <workspace-url> med URL för arbetsyta för din Azure Databricks-distribution.

I det här avsnittet:

Skapa företagsprogrammet och anslut det till Azure Databricks SCIM-API:et

  1. Generera en personlig åtkomsttoken i Azure Databricks och kopiera den. Du anger den här token för att Azure Active Directory i ett efterföljande steg.

    Viktigt

    Generera den här token som en Azure-Databricks administratör som inte hanteras av Azure Active Directory företagsprogram. Om Azure Databricks administratörsanvändare som äger den personliga åtkomsttoken avetableras med Azure Active Directory inaktiveras SCIM-etableringsprogrammet.

  2. I Azure Portal går du till Azure Active Directory > Enterprise-program.

  3. Klicka på + Nytt program ovanför programlistan. Under Lägg till från galleriet söker du efter och väljer Azure Databricks SCIM Provisioning Connector.

  4. Ange ett namn för programmet och klicka på Lägg till. Använd ett namn som hjälper administratörer att hitta det, till exempel <workspace-name>-provisioning.

  5. Under menyn Hantera klickar du på Etablering.

  6. Ange Etableringsläge till Automatisk.

  7. Ange URL:en för SCIM API-slutpunkten. /api/2.0/preview/scim Lägg till i din arbetsyte-URL:

    https://<workspace-url>/api/2.0/preview/scim
    

    Ersätt <workspace-url> med arbetsytans URL för din Azure-Databricks distribution. Se Hämta arbetsyta, kluster, anteckningsbok, mapp, modell och jobbidentifierare.

  8. Ange hemlig token till Den Personliga Åtkomsttoken för Azure Databricks som du genererade i steg 1.

  9. Klicka på Testa anslutning och vänta på meddelandet som bekräftar att autentiseringsuppgifterna har behörighet att aktivera etablering.

  10. Du kan också ange ett e-postmeddelande för att ta emot meddelanden om kritiska fel med SCIM-etablering.

  11. Klicka på Spara.

Tilldela användare och grupper till programmet

  1. Gå till Hantera > etablering.

  2. Under Inställningar anger du Omfång till Synkronisera endast tilldelade användare och grupper.

    Databricks rekommenderar det här alternativet, som endast synkroniserar användare och grupper som tilldelats till företagsprogrammet.

    Anteckning

    Azure Active Directory stöder inte automatisk etablering av kapslade grupper till Azure Databricks. Azure Active Directory kan bara läsa och etablera användare som är omedelbart medlemmar i den uttryckligen tilldelade gruppen. Som en lösning kan du uttryckligen tilldela (eller på annat sätt omfång i) de grupper som innehåller de användare som behöver etableras. Mer information finns i vanliga frågor och svar.

  3. Om du vill börja synkronisera Azure Active Directory användare och grupper till Azure Databricks klickar du på växlingsknappen Etableringsstatus.

  4. Klicka på Spara.

  5. Testa konfigurationen av etableringen:

    1. Gå till Hantera > användare och grupper.
    2. Lägg till några användare och grupper. Klicka på Lägg till användare, välj användare och grupper och klicka på knappen Tilldela .
    3. Vänta några minuter och kontrollera att användarna och grupperna finns på din Azure Databricks-arbetsyta.

I framtiden etableras användare och grupper som du lägger till och tilldelar automatiskt när Azure Active Directory schemalägger nästa synkronisering.

Viktigt

Tilldela inte Den Azure Databricks-administratör vars personliga åtkomsttoken användes för att konfigurera Azure Databricks SCIM Provisioning Connector-programmet.

Automatisera SCIM-etablering med Microsoft Graph

Microsoft Graph innehåller autentiserings- och auktoriseringsbibliotek som du kan integrera i ditt program för att automatisera etableringen av användare och grupper till Azure Databricks, i stället för att konfigurera ett SCIM-etableringsanslutningsprogram.

  1. Följ anvisningarna för att registrera ett program med Microsoft Graph. Anteckna program-ID :t och klientorganisations-ID :t för programmet
  2. Gå till programmets översiktssida. På den sidan:
    1. Konfigurera en klienthemlighet för programmet och anteckna hemligheten.
    2. Ge programmet följande behörigheter:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Be en Azure Active Directory administratör att bevilja administratörsmedgivande.
  4. Uppdatera programmets kod för att lägga till stöd för Microsoft Graph.

Etableringstips

  • Användare och grupper som fanns i Azure Databricks innan etablering aktiverades uppvisar följande beteende vid etableringssynkronisering:
    • Slås samman om de också finns i Azure Active Directory
    • Ignoreras om de inte finns i Azure Active Directory
  • Användarbehörigheter som tilldelas individuellt och dupliceras via medlemskap i en grupp finns kvar när gruppmedlemskapet har tagits bort för användaren.
  • Användare som tagits bort från en Azure Databricks-arbetsyta direkt med hjälp av Azure Databricks Admin-konsolen:
    • Förlora åtkomsten till den Azure Databricks-arbetsytan men kan fortfarande ha åtkomst till andra Azure Databricks-arbetsytor.
    • Synkroniseras inte igen med Azure Active Directory etablering, även om de finns kvar i företagsprogrammet.
  • Den första Azure Active Directory synkroniseringen utlöses omedelbart efter att du har aktiverat etablering. Efterföljande synkroniseringar utlöses var 20–40:e minut, beroende på antalet användare och grupper i programmet. Se Sammanfattningsrapport för etablering i Azure Active Directory dokumentationen.
  • Du kan inte uppdatera användarnamnet eller e-postadressen för en Azure Databricks-användare.
  • Gruppen admins är en reserverad grupp i Azure Databricks och kan inte tas bort.
  • Det går inte att byta namn på grupper i Azure Databricks. Försök inte byta namn på dem i Azure Active Directory.
  • Du kan använda Azure Databricks Groups API 2.0 eller användargränssnittet Grupper för att hämta en lista över medlemmar i valfri Azure Databricks-grupp.

Felsökning

Användare och grupper synkroniseras inte

  • Om du använder Azure Databricks SCIM Provisioning Connector-programmet: I Administratörskonsolen för Azure Databricks kontrollerar du att Den Azure Databricks-användare vars personliga åtkomsttoken används av Azure Databricks SCIM Provisioning Connector-programmet fortfarande är en administratörsanvändare i Azure Databricks och att token fortfarande är giltig.
  • Försök inte synkronisera kapslade grupper, som inte stöds av Azure Active Directory automatisk etablering. Mer information finns i vanliga frågor och svar.

Efter den första synkroniseringen slutar användare och grupper att synkronisera

Om du använder Azure Databricks SCIM Provisioning Connector-programmet: Efter den första synkroniseringen synkroniseras Azure Active Directory inte omedelbart efter att du har ändrat användar- eller grupptilldelningar. Den schemalägger en synkronisering med programmet efter en fördröjning, baserat på antalet användare och grupper. Om du vill begära en omedelbar synkronisering går du till Hantera > etablering för företagsprogrammet och väljer Rensa aktuellt tillstånd och omstartssynkronisering.

Azure Active Directory etableringstjänstens IP-intervall är inte tillgängligt

Den Azure Active Directory etableringstjänsten fungerar under specifika IP-intervall. Om du behöver begränsa nätverksåtkomsten måste du tillåta trafik från IP-adresserna för AzureActiveDirectory i den här IP-intervallfilen. Mer information finns i IP-intervall.