Microsoft Azure Active Directory için SCIM sağlamasını yapılandırma

Önemli

Bu özellik Genel Önizlemededir.

Azure Active Directory (Azure AD) kullanarak Azure Databricks sağlamayı etkinleştirmek için, her bir Azure Databricks çalışma alanı için bir kurumsal uygulama oluşturmanız gerekir.

Not

Sağlama yöntemi, Azure Databricks çalışma alanları için kimlik doğrulama ve koşullu erişimi yapılandırmadan tamamen farklıdır. Azure Databricks kimlik doğrulaması, OpenID Connect protokol akışı kullanılarak Azure Active Directory tarafından otomatik olarak işlenir. Koşullu erişimi, çok faktörlü kimlik doğrulaması gerektirmek veya oturum açma işlemlerini yerel ağlarla kısıtlamak için hizmet düzeyinde yapılandırabilirsiniz.

Önkoşullar

  • Azure Databricks hesabınızın Azure Databricks Premium planıolmalıdır.
  • Azure Active Directory hesabınızın bir Premium sürümü hesabı olması gerekir.
  • Azure Active Directory hesabı için bir genel yönetici olmanız gerekir.

Sağlamayı yapılandırmanın iki yolu vardır:

Azure Active Directory Kurumsal uygulama kullanma

Aşağıdaki örneklerde <databricks-instance> değerini Azure Databricks dağıtımınızın çalışma alanı URL’siyle değiştirin.

Kurumsal uygulamayı oluşturun ve Azure Databricks SCıM API 'sine bağlayın

  1. Azure Databricks bir kişisel erişim belirteci oluşturun ve kopyalayın. Bu belirteci sonraki bir adımda Azure Active Directory sağlarsınız.

    Önemli

    Bu belirteci, Azure Active Directory Kurumsal uygulama tarafından yönetilmeyen bir Azure Databricks Yöneticisi olarak oluşturun. Kişisel erişim belirtecinin sahibi olan Azure Databricks Yönetici Kullanıcı Azure Active Directory kullanılarak sağlanmamışsa, SCıM sağlama uygulaması devre dışı bırakılır.

  2. Azure portal Kurumsal uygulamalar > Azure Active Directory gidin.

  3. Uygulama listesinin üstünde + Yeni uygulama ' ya tıklayın. Galeriden Ekle' nin altında, Azure Databricks SCIM sağlama Bağlayıcısı' nı arayıp seçin.

  4. Uygulama için bir ad girin ve Ekle' ye tıklayın. Yöneticilerin, gibi bulmasına yardımcı olacak bir ad kullanın <workspace-name>-provisioning .

  5. Yönet menüsünde, sağlama' ya tıklayın.

  6. Sağlama modunu Otomatik olarak ayarlayın.

  7. Kiracı URL 'sini girin:

    https://<databricks-instance>/api/2.0/preview/scim
    

    <databricks-instance>Azure Databricks dağıtımınızın çalışma alanı URL 'siyle değiştirin. Bkz. çalışma alanı, küme, Not defteri, model ve iş tanımlayıcılarını edinme.

  8. Parola belirtecini , 1. adımda oluşturduğunuz kişisel erişim belirtecine Azure Databricks ayarlayın.

  9. Bağlantıyı Sına ' ya tıklayın ve kimlik bilgilerinin sağlamayı etkinleştirmek için yetkilendirilmiş olduğunu doğrulayan iletiyi bekleyin.

  10. İsteğe bağlı olarak, SCıM sağlama ile ilgili kritik hataların bildirimlerini almak için bir bildirim e-postası girin.

  11. Kaydet’e tıklayın.

Uygulamaya kullanıcı ve grup atama

  1. > sağlamayı Yönet' e gidin.

  2. Ayarlar ' ın altında , kapsamı yalnızca atanan kullanıcıları ve grupları Eşitle olarak ayarlayın.

    Databricks bu seçeneği önerir ve yalnızca kurumsal uygulamaya atanan kullanıcıları ve grupları eşitler.

    Not

    Azure Active Directory, iç içe grupların Azure Databricks otomatik olarak sağlamasını desteklemez. Azure Active Directory yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça atayın (veya başka bir şekilde kapsamına koyun). Daha fazla bilgi için Bu SSSbölümüne bakın.

  3. Azure Databricks Azure Active Directory Kullanıcıları ve grupları eşitlemeye başlamak için sağlama durumu geçişine tıklayın.

  4. Kaydet’e tıklayın.

  5. Sağlama kurulumunuzu test edin:

    1. > kullanıcıları ve grupları yönet ' e gidin.
    2. Bazı kullanıcılar ve gruplar ekleyin. Kullanıcı Ekle' ye tıklayın, kullanıcılar ve gruplar ' ı seçin ve ata düğmesine tıklayın.
    3. Birkaç dakika bekleyin ve Azure Databricks çalışma alanınızda kullanıcıların ve grupların mevcut olup olmadığını denetleyin.

Gelecekte, eklediğiniz ve atadığınız kullanıcılar ve gruplar, Azure Active Directory bir sonraki eşitlemeyi zamanlamadığı zaman otomatik olarak sağlanır.

Önemli

Kişisel erişim belirteci Azure Databricks SCIM sağlama bağlayıcı uygulamasını yapılandırmak için kullanılan Azure Databricks yöneticisini atamayın.

Microsoft Graph kullanarak SCıM sağlamasını otomatikleştirme

Microsoft Graph , BIR SCIM sağlama bağlayıcı uygulaması yapılandırmak yerine, Kullanıcı ve grupların Azure Databricks sağlamayı otomatik hale getirmek için uygulamanızla tümleştirebileceğiniz kimlik doğrulama ve yetkilendirme kitaplıklarını içerir.

  1. Microsoft Graph ile uygulama kaydetme yönergeleriniizleyin. Uygulamanın uygulama kimliğini ve Kiracı kimliğini bir yere göz önünde oluşturun
  2. Uygulamaların genel bakış sayfasına gidin. Bu sayfada:
    1. Uygulama için bir istemci gizli anahtarı yapılandırın ve parolayı bir yere göz önünde yapın.
    2. Uygulamaya şu izinleri verin:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Yönetici onayı vermesiniAzure Active Directory yöneticiden sorun.
  4. Microsoft Graph için destek eklemeküzere uygulamanızın kodunu güncelleştirin.

Hazırlama ipuçları

  • Sağlama etkinleştirilmeden önce Azure Databricks var olan kullanıcılar ve gruplar eşitleme sağlamak için aşağıdaki davranışı gösterir:
    • Azure Active Directory de varsa birleştirilir
    • Azure Active Directory yok sayılır
  • Ayrı ayrı atanan ve bir gruptaki üyelik aracılığıyla çoğaltılan Kullanıcı izinleri Kullanıcı için Grup üyeliği kaldırıldıktan sonra kalır.
  • Azure Databricks Yönetici Konsolu kullanılarak Azure Databricks çalışma alanından doğrudan kaldırılan kullanıcılar:
    • Bu Azure Databricks çalışma alanına erişimi kaybeder, ancak yine de diğer Azure Databricks çalışma alanlarına erişimi olabilir.
    • , Kurumsal uygulamada kalsalar bile Azure Active Directory sağlama kullanılarak yeniden eşitlenmez.
  • İlk Azure Active Directory eşitleme, sağlamayı etkinleştirdikten hemen sonra tetiklenir. Sonraki eşitlemeler, uygulamadaki Kullanıcı ve grupların sayısına bağlı olarak her 20-40 dakikada bir tetiklenir. Azure Active Directory belgelerinde bkz. sağlama Özeti raporu .
  • Azure Databricks kullanıcının Kullanıcı adını veya e-posta adresini güncelleştiremezsiniz.
  • adminsGrup, Azure Databricks bir ayrılmış gruptur ve kaldırılamaz.
  • Gruplar Azure Databricks yeniden adlandırılamıyor; Azure Active Directory ' de yeniden adlandırmayı denemeyin.
  • Herhangi bir Azure Databricks grubunun üyelerinin listesini almak için Azure Databricks Groups API 'Sini veya gruplar Kullanıcı arabirimini kullanabilirsiniz.

Sorun giderme

Kullanıcılar ve gruplar eşitlenmez

  • Azure DATABRICKS SCIM sağlama bağlayıcı uygulamasını kullanıyorsanız: Azure Databricks Yönetici Konsolu 'nda, kişisel erişim belirteci Azure Databricks SCIM sağlama bağlayıcı uygulaması tarafından kullanılmakta olan Azure Databricks kullanıcının hala Azure Databricks Yönetici kullanıcısı olduğunu ve belirtecin hala geçerli olduğunu doğrulayın.
  • Azure Active Directory otomatik sağlama tarafından desteklenmeyen iç içe grupları eşitlemeye çalışmayın. Daha fazla bilgi için Bu SSSbölümüne bakın.

İlk eşitlemeden sonra kullanıcılar ve gruplar eşitlemeyi durdurur

Azure Databricks SCIM sağlama bağlayıcı uygulamasını kullanıyorsanız: Ilk eşitlemeden sonra, Kullanıcı veya grup atamalarını değiştirdikten sonra Azure Active Directory hemen eşitlenmez. Kullanıcı ve grup sayısına göre bir gecikmeden sonra uygulamayla eşitleme zamanlar. Anında eşitleme istemek için kurumsal uygulama için > sağlamayı Yönet ' e gidin ve geçerli durumu temizle ve eşitlemeyi yeniden Başlat' ı seçin.

Azure Active Directory sağlama hizmeti IP aralığı erişilebilir değil

Azure Active Directory sağlama hizmeti belirli IP aralıkları altında çalışır. Ağ erişimini kısıtlamanız gerekiyorsa, AzureActiveDirectory Bu IP aralığı dosyasındaiçin IP adreslerinden gelen trafiğe izin vermeniz gerekir. Daha fazla bilgi için bkz. IP aralıkları.