Konfigurera scim-etablering för Microsoft Azure Active Directory

Om du vill aktivera etablering för att Azure Databricks med Azure Active Directory (Azure AD) måste du skapa ett företags program för varje Azure Databricks-arbetsyta.

Anteckning

Etablerings konfigurationen är helt separat från processen att konfigurera autentisering och villkorlig åtkomst för Azure Databricks arbets ytor. Autentisering för Azure Databricks hanteras automatiskt av Azure Active Directory med OpenID Connect Protocol-flödet. Villkorlig åtkomst, som gör att du kan skapa regler som kräver Multi-Factor Authentication eller begränsa inloggningar till lokala nätverk, kan upprättas på tjänst nivå. Instruktioner finns i villkorlig åtkomst.

Krav

Ditt Azure AD-konto måste vara ett Premium Edition-konto och du måste vara en global administratör för kontot för att kunna aktivera etableringen.

Skapa ett företags program och Anslut till Azure Databricks SCIM-API: et

I följande exempl ersätter du <databricks-instance> med URL för arbetsyta för din Azure Databricks-distribution.

  1. Skapa en personlig åtkomsttoken i Azure Databricks och kopiera den. Du anger den här token till Azure AD i ett senare steg.

    Viktigt

    Generera denna token som en Azure Databricks administratör som inte ska hanteras av Azure AD Enterprise-programmet. En Azure Databricks administratörs användare som hanteras av den här företags applikationen kan avetableras med hjälp av Azure AD, vilket gör att din SCIM etablerings integrering inaktive ras.

  2. I Azure Portal går du till Azure Active Directory > företags program.

  3. Klicka på + ny applikation ovanför program listan. Under Lägg till från galleriet söker du efter och väljer Azure Databricks scim Provisioning Connector.

  4. Ange ett namn för programmet och klicka på Lägg till. Använd ett namn som hjälper administratörer att hitta det, t <workspace-name>-provisioning . ex..

  5. Under menyn Hantera klickar du på etablering.

  6. I list rutan etablerings läge väljer du Automatisk.

  7. Ange klient-URL:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Ersätt med arbets ytans URL för din Azure Databricks-distribution. Se Hämta arbets yta, kluster, Notebook, modell och jobb identifierare.

  8. I fältet hemlig token anger du Azure Databricks personlig åtkomsttoken som du skapade i steg 1.

  9. Klicka på Testa anslutning och vänta på meddelandet som bekräftar att autentiseringsuppgifterna har behörighet att aktivera etableringen.

  10. Alternativt kan du ange ett e-postmeddelande för avisering om du vill få meddelanden om kritiska fel med SCIM-etablering.

  11. Klicka på Spara.

Tilldela användare och grupper till programmet

  1. Gå till hantera > etablering och under inställningar anger du omfånget så att endast tilldelade användare och grupper synkroniseras.

    Med det här alternativet synkroniseras endast användare och grupper som har tilldelats till företags programmet, och det är vår rekommenderade metod.

    Anteckning

    Azure Active Directory stöder inte automatisk etablering av kapslade grupper i Azure Databricks. Det går bara att läsa och etablera användare som är omedelbara medlemmar i den uttryckligen tilldelade gruppen. Som en lösning bör du uttryckligen tilldela (eller på annat sätt omfång i) grupper som innehåller de användare som behöver vara etablerade. Mer information finns i vanliga frågor och svar.

  2. Om du vill starta synkroniseringen av användare och grupper från Azure AD till Azure Databricks växlar du etablerings status på.

  3. Klicka på Spara.

  4. Testa etablerings konfigurationen:

    1. Gå till hantera > användare och grupper.
    2. Lägg till vissa användare och grupper. Klicka på Lägg till användare, Välj användare och grupper och klicka på knappen tilldela .
    3. Vänta några minuter och kontrol lera att användare och grupper har lagts till i din Azure Databricks-arbetsyta.

Eventuella ytterligare användare och grupper som du lägger till och tilldelar kommer automatiskt att tillhandahållas när Azure AD schemalägger nästa synkronisering.

Viktigt

Tilldela inte Azure Databricks admin vars hemliga token (Bearer token) användes för att konfigurera det här företags programmet.

Etablerings tips

  • Användare och grupper som fanns i Azure Databricks innan etableringen aktive ras har följande beteende vid etablering av synkronisering:
    • Slås samman om de också finns i det här Azure AD Enterprise-programmet.
    • Ignoreras om de inte finns i det här Azure AD Enterprise-programmet.
  • Användar behörigheter som tilldelas individuellt och dupliceras genom medlemskap i en grupp förblir efter att grupp medlemskapet har tagits bort för användaren.
  • Användare som har tagits bort från en Azure Databricks-arbetsyta direkt, med hjälp av Azure Databricks-administratörs konsolen:
    • Att förlora åtkomsten till den Azure Databricks arbets ytan men kan fortfarande ha åtkomst till andra Azure Databricks arbets ytor.
    • Kommer inte att synkroniseras igen med hjälp av Azure AD-etablering, även om de finns kvar i företags programmet.
  • Den första Azure AD-synkroniseringen utlöses omedelbart efter att du har aktiverat etableringen. Efterföljande synkroniseringar utlöses var 20-40: e minut, beroende på antalet användare och grupper i programmet. Se sammanfattnings rapporten för etablering i Azure AD-dokumentationen.
  • Gruppen "administratörer" är en reserverad grupp i Azure Databricks och kan inte tas bort.
  • Det går inte att byta namn på grupper i Azure Databricks; Försök inte att byta namn på dem i Azure AD.
  • Du kan använda API: et för Azure Databricks grupper eller användar gränssnittet för att hämta en lista över medlemmar i någon Azure Databricks grupp.
  • Du kan inte uppdatera Azure Databricks användar namn och e-postadresser.

Felsökning

Användare och grupper synkroniseras inte

Problemet kan vara att Azure Databricks administratörs användare vars personliga åtkomsttoken används för att ansluta till Azure AD har förlorat administratörs status eller har en ogiltig token: Logga in på administratörs konsolen för Azure Databricks som den användaren och kontrol lera att du fortfarande är administratör och din åtkomsttoken fortfarande är giltig.

En annan möjlighet är att du försöker synkronisera kapslade grupper, vilket inte stöds av automatisk etablering i Azure AD. Se denna vanliga frågor och svar.

Efter den första synkroniseringen synkroniseras inte användare och grupper

Efter den inledande synkroniseringen synkroniserar Azure AD inte omedelbart efter ändringar i användar-och grupp tilldelningar. Den schemalägger en synkronisering med programmet efter en fördröjning (beroende på antalet användare och grupper). Du kan gå till hantera > etablering för företags programmet och välja Rensa nuvarande status och starta om synkronisering för att påbörja en omedelbar synkronisering.