Microsoft Entra Id (Azure Active Directory) kullanarak SCIM sağlamayı yapılandırma

  • Makale

Bu makalede, Microsoft Entra Id (eski adıyla Azure Active Directory) kullanılarak Azure Databricks'e sağlamanın nasıl ayarlanacağı açıklanır.

Microsoft Entra Id kullanarak Azure Databricks'e sağlamayı Azure Databricks hesap düzeyinde veya Azure Databricks çalışma alanı düzeyinde ayarlayabilirsiniz.

Databricks, hesap düzeyine kullanıcı, hizmet sorumlusu ve grup sağlamanızı ve Azure Databricks içindeki çalışma alanlarına kullanıcı ve grup atamasını yönetmenizi önerir. Kullanıcıların çalışma alanlarına atanmalarını yönetmek için çalışma alanlarınızın kimlik federasyonu için etkinleştirilmesi gerekir. Kimlik federasyonu için etkinleştirilmemiş çalışma alanlarınız varsa, kullanıcıları, hizmet sorumlularını ve grupları doğrudan bu çalışma alanlarına sağlamaya devam etmelisiniz.

Not

Sağlamanın yapılandırılma şekli, Azure Databricks çalışma alanları veya hesapları için kimlik doğrulamasını ve koşullu erişimi yapılandırmaktan tamamen ayrıdır. Azure Databricks kimlik doğrulaması, OpenID Bağlan protokol akışı kullanılarak Microsoft Entra ID tarafından otomatik olarak işlenir. Çok faktörlü kimlik doğrulaması gerektirecek kurallar oluşturmanıza veya yerel ağlarda oturum açma işlemlerini hizmet düzeyinde kısıtlamanıza olanak tanıyan koşullu erişimi yapılandırabilirsiniz.

Microsoft Entra Id kullanarak Azure Databricks hesabınıza kimlik sağlama

Hesap düzeyindeki kullanıcıları ve grupları Bir SCIM sağlama bağlayıcısı kullanarak Microsoft Entra ID kiracınızdan Azure Databricks'e eşitleyebilirsiniz.

Önemli

Kimlikleri doğrudan çalışma alanlarınızla eşitleyen SCIM bağlayıcılarınız zaten varsa, hesap düzeyi SCIM bağlayıcısı etkinleştirildiğinde bu SCIM bağlayıcılarını devre dışı bırakmanız gerekir. Bkz . Çalışma alanı düzeyinde SCIM sağlamayı hesap düzeyine geçirme.

Gereksinim -leri

  • Azure Databricks hesabınızın Premium planı olmalıdır.
  • Microsoft Entra Id'de Bulut Uygulaması Yönetici istrator rolüne sahip olmanız gerekir.
  • Microsoft Entra Id hesabınızın grupları sağlamak için bir Premium sürüm hesabı olması gerekir. Kullanıcıları sağlama, herhangi bir Microsoft Entra ID sürümünde kullanılabilir.
  • Azure Databricks hesap yöneticisi olmanız gerekir.

Not

Hesap konsolunu etkinleştirmek ve ilk hesap yöneticinizi oluşturmak için bkz . İlk hesap yöneticinizi oluşturma.

1. Adım: Azure Databricks'i yapılandırma

  1. Azure Databricks hesap yöneticisi olarak Azure Databricks hesap konsolunda oturum açın.
  2. Ayarlar'e tıklayınKullanıcı Ayarlar Simgesi.
  3. Kullanıcı Sağlama'ya tıklayın.
  4. Kullanıcı sağlamayı ayarla'ya tıklayın.

SCIM belirtecini ve Hesap SCIM URL'sini kopyalayın. Microsoft Entra Id uygulamanızı yapılandırmak için bunları kullanacaksınız.

Not

SCIM belirteci Hesap SCIM API'sine /api/2.0/accounts/{account_id}/scim/v2/ sınırlıdır ve diğer Databricks REST API'lerinde kimlik doğrulaması yapmak için kullanılamaz.

2. Adım: Kurumsal uygulamayı yapılandırma

Bu yönergeler, Azure portalında kurumsal uygulama oluşturma ve bu uygulamayı sağlama için kullanma hakkında bilgi sağlar. Mevcut bir kurumsal uygulamanız varsa, Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirmek için uygulamayı değiştirebilirsiniz. Bu, Azure Portal'da ayrı bir sağlama uygulaması gereksinimini ortadan kaldırır.

Microsoft Entra Id'nin kullanıcıları ve grupları Azure Databricks hesabınızla eşitlemesini sağlamak için bu adımları izleyin. Bu yapılandırma, kullanıcıları ve grupları çalışma alanlarıyla eşitlemek için oluşturduğunuz tüm yapılandırmalardan ayrıdır.

  1. Azure portalınızda Microsoft Entra ID > Enterprise Applications'a gidin.
  2. Uygulama listesinin üst kısmındaki + Yeni Uygulama'ya tıklayın. Galeriden ekle'nin altında Azure Databricks SCIM Sağlama Bağlan veya öğesini arayın ve seçin.
  3. Uygulama için bir Ad girin ve Ekle'ye tıklayın.
  4. Yönet menüsünün altında Sağlama'ya tıklayın.
  5. Sağlama Modu'nu Otomatik olarak ayarlayın.
  6. SCIM API uç noktası URL'sini daha önce kopyaladığınız Hesap SCIM URL'si olarak ayarlayın.
  7. Gizli Dizi Belirteci'ni daha önce oluşturduğunuz Azure Databricks SCIM belirtecine ayarlayın.
  8. Bağlan sınama'ya tıklayın ve kimlik bilgilerinin sağlamayı etkinleştirme yetkisi olduğunu onaylayan iletiyi bekleyin.
  9. Kaydet'e tıklayın.

3. Adım: Uygulamaya kullanıcı ve grup atama

SCIM uygulamasına atanan kullanıcılar ve gruplar Azure Databricks hesabına sağlanacaktır. Mevcut Azure Databricks çalışma alanlarınız varsa Databricks, bu çalışma alanlarındaki tüm mevcut kullanıcıları ve grupları SCIM uygulamasına eklemenizi önerir.

Not

Microsoft Entra Id, hizmet sorumlularının Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Azure Databricks hesabınıza hizmet sorumlularını hesabınızdaki hizmet sorumlularını yönet'i izleyerek ekleyebilirsiniz.

Microsoft Entra Id, iç içe grupların Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Microsoft Entra Id yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça atayın (veya içinde başka bir kapsam belirleyin). Daha fazla bilgi için bu SSS bölümüne bakın.

  1. Özellikleri Yönet'e > gidin.
  2. Atama gerekli seçeneğini Hayır olarak ayarlayın. Databricks, tüm kullanıcıların Azure Databricks hesabında oturum açmasına olanak tanıyan bu seçeneği önerir.
  3. Sağlamayı Yönet'e > gidin.
  4. Microsoft Entra ID kullanıcılarını ve gruplarını Azure Databricks ile eşitlemeye başlamak için Sağlama Durumu iki durumlu düğmesini Açık olarak ayarlayın.
  5. Kaydet'e tıklayın.
  6. Kullanıcıları ve grupları yönet'e > gidin.
  7. Kullanıcı/grup ekle'ye tıklayın, kullanıcıları ve grupları seçin ve Ata düğmesine tıklayın.
  8. Birkaç dakika bekleyin ve kullanıcıların ve grupların Azure Databricks hesabınızda mevcut olup olmadığını denetleyin.

Ekleyip atadığınız kullanıcılar ve gruplar, Microsoft Entra Id bir sonraki eşitlemeyi zamanladığında Azure Databricks hesabına otomatik olarak sağlanır.

Not

Bir kullanıcıyı hesap düzeyi SCIM uygulamasından kaldırırsanız, kimlik federasyonunun etkinleştirilip etkinleştirilmediğine bakılmaksızın bu kullanıcı hesaptan ve çalışma alanlarından devre dışı bırakılır.

Microsoft Entra Id (eski) kullanarak Azure Databricks çalışma alanınıza kimlik sağlama

Önemli

Bu özellik Genel Önizlemededir.

Kimlik federasyonu için etkinleştirilmemiş çalışma alanlarınız varsa kullanıcıları, hizmet sorumlularını ve grupları doğrudan bu çalışma alanlarına sağlamalısınız. Bu bölümde bunun nasıl yapacağı açıklanmaktadır.

Aşağıdaki örneklerde <databricks-instance> değerini Azure Databricks dağıtımınızın çalışma alanı URL’siyle değiştirin.

Gereksinim -leri

  • Azure Databricks hesabınızın Premium planı olmalıdır.
  • Microsoft Entra Id'de Bulut Uygulaması Yönetici istrator rolüne sahip olmanız gerekir.
  • Microsoft Entra Id hesabınızın grupları sağlamak için bir Premium sürüm hesabı olması gerekir. Kullanıcıları sağlama, herhangi bir Microsoft Entra ID sürümünde kullanılabilir.
  • Azure Databricks çalışma alanı yöneticisi olmanız gerekir.

1. Adım: Kurumsal uygulamayı oluşturma ve Azure Databricks SCIM API'sine bağlama

Microsoft Entra Id kullanarak doğrudan Azure Databricks çalışma alanlarına sağlamayı ayarlamak için her Azure Databricks çalışma alanı için bir kurumsal uygulama oluşturursunuz.

Bu yönergeler, Azure portalında kurumsal uygulama oluşturma ve bu uygulamayı sağlama için kullanma hakkında bilgi sağlar. Mevcut bir kurumsal uygulamanız varsa, Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirmek için uygulamayı değiştirebilirsiniz. Bu, Azure Portal'da ayrı bir sağlama uygulaması gereksinimini ortadan kaldırır.

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanınızda oturum açın.

  2. Kişisel erişim belirteci oluşturup kopyalayın. Sonraki bir adımda bu belirteci Microsoft Entra Id'ye sağlarsınız.

    Önemli

    Bu belirteci Microsoft Entra ID kurumsal uygulaması tarafından yönetilmeyen bir Azure Databricks çalışma alanı yöneticisi olarak oluşturun. Kişisel erişim belirtecinin sahibi olan Azure Databricks yönetici kullanıcısının yetkisi Microsoft Entra Kimliği kullanılarak kaldırılırsa SCIM sağlama uygulaması devre dışı bırakılır.

  3. Azure portalınızda Microsoft Entra ID > Enterprise Applications'a gidin.

  4. Uygulama listesinin üst kısmındaki + Yeni Uygulama'ya tıklayın. Galeriden ekle'nin altında Azure Databricks SCIM Sağlama Bağlan veya'yı arayın ve seçin.

  5. Uygulama için bir Ad girin ve Ekle'ye tıklayın. Yöneticilerin bu adı bulmasına yardımcı olacak bir ad kullanın( gibi <workspace-name>-provisioning).

  6. Yönet menüsünün altında Sağlama'ya tıklayın.

  7. Sağlama Modu'nu Otomatik olarak ayarlayın.

  8. SCIM API uç noktası URL'sini girin. Çalışma alanı URL'nize ekleyin /api/2.0/preview/scim :

    https://<databricks-instance>/api/2.0/preview/scim

    değerini Azure Databricks dağıtımınızın çalışma alanı URL'si ile değiştirin<databricks-instance>. Bkz. Çalışma alanı nesneleri için tanımlayıcıları alma.

  9. Gizli Dizi Belirteci'ni, 1. adımda oluşturduğunuz Azure Databricks kişisel erişim belirtecine ayarlayın.

  10. Bağlan sınama'ya tıklayın ve kimlik bilgilerinin sağlamayı etkinleştirme yetkisi olduğunu onaylayan iletiyi bekleyin.

  11. İsteğe bağlı olarak, SCIM sağlama ile ilgili kritik hataların bildirimlerini almak için bir bildirim e-postası girin.

  12. Kaydet'e tıklayın.

2. Adım: Uygulamaya kullanıcı ve grup atama

Not

Microsoft Entra Id, hizmet sorumlularının Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Çalışma alanınızdaki hizmet sorumlularını yönet'i izleyerek Azure Databricks çalışma alanınıza hizmet sorumluları ekleyebilirsiniz.

Microsoft Entra Id, iç içe grupların Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Microsoft Entra Id yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça atayın (veya içinde başka bir kapsam belirleyin). Daha fazla bilgi için bu SSS bölümüne bakın.

  1. Özellikleri Yönet'e > gidin.
  2. Atama gerekli'yi Evet olarak ayarlayın. Databricks, yalnızca kurumsal uygulamaya atanan kullanıcıları ve grupları eşitleyen bu seçeneği önerir.
  3. Sağlamayı Yönet'e > gidin.
  4. Microsoft Entra ID kullanıcılarını ve gruplarını Azure Databricks ile eşitlemeye başlamak için Sağlama Durumu iki durumlu düğmesini Açık olarak ayarlayın.
  5. Kaydet'e tıklayın.
  6. Kullanıcıları ve grupları yönet'e > gidin.
  7. Kullanıcı/grup ekle'ye tıklayın, kullanıcıları ve grupları seçin ve Ata düğmesine tıklayın.
  8. Birkaç dakika bekleyin ve kullanıcıların ve grupların Azure Databricks hesabınızda mevcut olup olmadığını denetleyin.

Gelecekte, Ekleyip atadığınız kullanıcılar ve gruplar, Microsoft Entra Id bir sonraki eşitlemeyi zamanladığında otomatik olarak sağlanır.

Önemli

Kişisel erişim belirteci Azure Databricks SCIM Sağlama Bağlan veya uygulamasını yapılandırmak için kullanılan Azure Databricks çalışma alanı yöneticisini atamayın.

(İsteğe bağlı) Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirme

Microsoft Graph , SCIM sağlama bağlayıcısı uygulaması yapılandırmak yerine Azure Databricks hesabınıza veya çalışma alanlarınıza kullanıcı ve grup sağlamayı otomatikleştirmek için uygulamanızla tümleştirebileceğiniz kimlik doğrulama ve yetkilendirme kitaplıkları içerir.

  1. Bir uygulamayı Microsoft Graph'e kaydetme yönergelerini izleyin. Uygulamanın Uygulama Kimliğini ve Kiracı Kimliğini not edin
  2. Uygulamaların Genel Bakış sayfasına gidin. Bu sayfada:
    1. Uygulama için bir istemci gizli dizisi yapılandırın ve gizli diziyi not edin.
    2. Uygulamaya şu izinleri verin:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Bir Microsoft Entra ID yöneticisine yönetici onayı vermesini isteyin.
  4. Microsoft Graph desteği eklemek için uygulamanızın kodunu güncelleştirin.

Sağlama ipuçları

  • Sağlamayı etkinleştirmeden önce Azure Databricks çalışma alanında bulunan kullanıcılar ve gruplar, sağlama eşitlemesi sırasında aşağıdaki davranışı gösterir:
    • Microsoft Entra Id'de de varsa birleştirilir
    • Microsoft Entra Id'de yoksayılır
  • Tek tek atanan ve bir gruptaki üyelik aracılığıyla çoğaltılan kullanıcı izinleri, kullanıcı için grup üyeliği kaldırıldıktan sonra kalır.
  • Azure Databricks çalışma alanı yönetici ayarları sayfasını kullanarak doğrudan Azure Databricks çalışma alanından kaldırılan kullanıcılar:
    • Bu Azure Databricks çalışma alanına erişimi kaybedersiniz, ancak diğer Azure Databricks çalışma alanlarına erişmeye devam edebilir.
    • Kurumsal uygulamada kalsalar bile Microsoft Entra Id sağlama kullanılarak yeniden eşitlenmez.
  • İlk Microsoft Entra Id eşitlemesi, sağlamayı etkinleştirdikten hemen sonra tetiklenir. Sonraki eşitlemeler, uygulamadaki kullanıcı ve grup sayısına bağlı olarak her 20-40 dakikada bir tetiklenir. Microsoft Entra Id belgelerindeki Sağlama özeti raporuna bakın.
  • Azure Databricks çalışma alanı kullanıcısının kullanıcı adını veya e-posta adresini güncelleştiremezsiniz.
  • Grup admins , Azure Databricks'te ayrılmış bir grup olup kaldırılamaz.
  • Herhangi bir Azure Databricks çalışma alanı grubunun üyelerinin listesini almak için Azure Databricks Groups API'sini veya Gruplar kullanıcı arabirimini kullanabilirsiniz.
  • Azure Databricks SCIM Sağlama Bağlan veya uygulamasından iç içe grupları veya Microsoft Entra ID hizmet sorumlularını eşitleyemezsiniz. Databricks, kullanıcıları ve grupları eşitlemek ve Azure Databricks içinde iç içe grupları ve hizmet sorumlularını yönetmek için kurumsal uygulamayı kullanmanızı önerir. Ancak iç içe grupları veya Microsoft Entra ID hizmet sorumlularını eşitlemek için Databricks Terraform sağlayıcısını veya Azure Databricks SCIM API'sini hedefleyen özel betikleri de kullanabilirsiniz.

Sorun giderme

Kullanıcılar ve gruplar eşitlenmiyor

  • Azure Databricks SCIM Sağlama Bağlan veya uygulamasını kullanıyorsanız:
    • Çalışma alanı düzeyinde sağlama için: Azure Databricks yönetici ayarları sayfasında, kişisel erişim belirteci Azure Databricks SCIM Sağlama Bağlan veya uygulaması tarafından kullanılan Azure Databricks kullanıcısının Azure Databricks'te çalışma alanı yöneticisi kullanıcısı olduğunu ve belirtecin hala geçerli olduğunu doğrulayın.
    • Hesap düzeyinde sağlama için: Hesap konsolunda, sağlamayı ayarlamak için kullanılan Azure Databricks SCIM belirtecinin hala geçerli olduğunu doğrulayın.
  • Microsoft Entra Id otomatik sağlama tarafından desteklenmeyen iç içe grupları eşitlemeyi denemeyin. Daha fazla bilgi için bu SSS bölümüne bakın.

Microsoft Entra ID hizmet sorumluları eşitlenmiyor

  • Azure Databricks SCIM Sağlama Bağlan or uygulaması hizmet sorumlularının eşitlenmesini desteklemez.

İlk eşitlemeden sonra kullanıcılar ve gruplar eşitlemeyi durduruyor

Azure Databricks SCIM Sağlama Bağlan or uygulamasını kullanıyorsanız: İlk eşitlemeden sonra, kullanıcı veya grup atamalarını değiştirdikten hemen sonra Microsoft Entra Id eşitlenmez. Kullanıcı ve grup sayısına göre, bir gecikmeden sonra, uygulamayla eşitleme zamanlar. Anında eşitleme istemek için Kurumsal uygulama için Sağlamayı Yönet'e > gidin ve Geçerli durumu temizle ve eşitlemeyi yeniden başlat'ı seçin.

Microsoft Entra ID sağlama hizmeti IP aralığı erişilebilir değil

Microsoft Entra Id sağlama hizmeti belirli IP aralıkları altında çalışır. Ağ erişimini kısıtlamanız gerekiyorsa, bu IP aralığı dosyasındaki IP adreslerinden gelen trafiğe AzureActiveDirectory izin vermeniz gerekir. Daha fazla bilgi için, bkz. IP Aralıkları.