Bagikan melalui

Mengonfigurasi provisi SCIM menggunakan MICROSOFT Entra ID (Azure Active Directory)

  • Artikel

Artikel ini menjelaskan cara menyiapkan provisi ke akun Azure Databricks menggunakan ID Microsoft Entra.

Anda juga dapat menyinkronkan pengguna dan grup dari ID Microsoft Entra menggunakan manajemen identitas otomatis (Pratinjau Umum). Manajemen identitas otomatis tidak mengharuskan Anda mengonfigurasi aplikasi di ID Microsoft Entra. Ini juga mendukung sinkronisasi prinsipal layanan Microsoft Entra ID dan grup tertanam ke Azure Databricks, yang tidak didukung oleh provisi SCIM. Untuk informasi selengkapnya, lihat Menyinkronkan pengguna dan grup secara otomatis dari ID Microsoft Entra.

Catatan

Cara provisi dikonfigurasi terpisah sepenuhnya dari mengonfigurasi autentikasi dan akses bersyarat untuk ruang kerja atau akun Azure Databricks. Autentikasi untuk Azure Databricks ditangani secara otomatis oleh MICROSOFT Entra ID, menggunakan alur protokol OpenID Connect. Anda dapat mengonfigurasi akses bersyarat, yang memungkinkan Anda membuat aturan untuk memerlukan autentikasi multifaktor atau membatasi login ke jaringan lokal, di tingkat layanan.

Memprovisikan identitas ke akun Azure Databricks Anda menggunakan ID Microsoft Entra

Anda dapat menyinkronkan pengguna dan grup tingkat akun dari tenant Microsoft Entra ID Anda ke Azure Databricks menggunakan konektor provisi SCIM.

Penting

Jika Anda sudah memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja, Anda harus menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Lihat Memigrasikan provisi SCIM tingkat ruang kerja ke tingkat akun.

Persyaratan

  • Akun Azure Databricks Anda harus memiliki paket Premium.
  • Anda harus memiliki peran Administrator Aplikasi Cloud di ID Microsoft Entra.
  • Akun ID Microsoft Entra Anda harus merupakan akun edisi Premium untuk memprovisikan grup. Provisi pengguna tersedia untuk edisi ID Microsoft Entra apa pun.
  • Anda harus menjadi admin akun Azure Databricks.

Catatan

Untuk mengaktifkan konsol akun dan menetapkan admin akun pertama Anda, lihat Menetapkan admin akun pertama Anda.

Langkah 1: Mengonfigurasi Azure Databricks

  1. Sebagai admin akun Azure Databricks, masuk ke konsol akun Azure Databricks.
  2. Klik Ikon Pengaturan PenggunaPengaturan.
  3. Klik Provisi Pengguna.
  4. Klik Siapkan pengaturan pengguna.

Salin token SCIM dan URL SCIM Akun. Anda akan menggunakannya untuk mengonfigurasi aplikasi ID Microsoft Entra Anda.

Catatan

Token SCIM dibatasi untuk API /api/2.1/accounts/{account_id}/scim/v2/ SCIM Akun dan tidak dapat digunakan untuk mengautentikasi ke API REST Databricks lainnya.

Langkah 2: Mengonfigurasi aplikasi perusahaan

Instruksi ini memberi tahu cara membuat aplikasi perusahaan di portal Azure dan menggunakan aplikasi tersebut untuk provisi. Apabila Anda memiliki aplikasi perusahaan yang sudah ada, Anda dapat memodifikasinya untuk mengotomatiskan provisi SCIM menggunakan Microsoft Graph. Ini menghilangkan kebutuhan akan aplikasi provisi terpisah di Portal Microsoft Azure.

Ikuti langkah-langkah ini untuk mengaktifkan ID Microsoft Entra untuk menyinkronkan pengguna dan grup ke akun Azure Databricks Anda. Konfigurasi ini terpisah dari konfigurasi apa pun yang telah Anda buat untuk menyinkronkan pengguna dan grup ke ruang kerja.

  1. Di portal Azure Anda, buka Microsoft Entra ID > Enterprise Applications.
  2. Klik + Aplikasi Baru di atas daftar aplikasi. Di bawah Tambahkan dari galeri, cari dan pilih Azure Databricks SCIM Provisioning Connector.
  3. Masukkan Nama untuk aplikasi dan klik Tambah.
  4. Di bawah menu Kelola, klik Provisi.
  5. Atur Mode Provisioning ke Otomatis.
  6. Atur URL titik akhir API SCIM ke URL SCIM Akun yang Anda salin sebelumnya.
  7. Atur Token Rahasia menjadi token SCIM Azure Databricks yang Anda buat sebelumnya.
  8. Klik Uji Koneksi dan tunggu pesan yang mengonfirmasi bahwa kredensial telah disahkan untuk mengaktifkan penyediaan.
  9. Klik Simpan.

Langkah 3: Menetapkan pengguna dan grup ke aplikasi

Pengguna dan grup yang ditetapkan ke aplikasi SCIM akan diprovisikan ke akun Azure Databricks. Jika Anda memiliki ruang kerja Azure Databricks yang sudah ada, Databricks menyarankan agar Anda menambahkan semua pengguna dan grup yang ada di ruang kerja tersebut ke aplikasi SCIM.

Catatan

MICROSOFT Entra ID tidak mendukung provisi otomatis perwakilan layanan ke Azure Databricks. Anda dapat menambahkan perwakilan layanan akun Azure Databricks Anda setelah Mengelola perwakilan layanan di akun Anda.

MICROSOFT Entra ID tidak mendukung provisi otomatis grup berlapis ke Azure Databricks. ID Microsoft Entra hanya dapat membaca dan memprovisikan pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit. Penyelesaiannya, langsung tetapkan (atau cakup dalam) grup yang berisi pengguna yang perlu diprovisikan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

  1. Buka Kelola > Properti.
  2. Atur Tugas yang diperlukan ke Tidak ada. Databricks merekomendasikan opsi ini, yang memungkinkan semua pengguna untuk masuk ke akun Azure Databricks.
  3. Buka Kelola > Provisi.
  4. Untuk mulai menyinkronkan pengguna dan grup ID Microsoft Entra ke Azure Databricks, atur tombol Status Provisi ke Di.
  5. Klik Simpan.
  6. Buka Mengelola > Pengguna dan grup.
  7. Klik Tambahkan pengguna/grup, pilih pengguna dan grup, dan klik tombol Tetapkan.
  8. Tunggu beberapa menit dan periksa apakah pengguna dan grup ada di akun Azure Databricks Anda.

Pengguna dan grup yang Anda tambahkan dan tetapkan akan secara otomatis disediakan ke akun Azure Databricks saat MICROSOFT Entra ID menjadwalkan sinkronisasi berikutnya.

Catatan

Jika Anda menghapus pengguna dari aplikasi SCIM tingkat akun, pengguna tersebut dinonaktifkan dari akun dan dari ruang kerja mereka, terlepas dari apakah federasi identitas telah diaktifkan atau tidak.

Tips provisi

  • Pengguna dan grup yang ada di akun Azure Databricks sebelum mengaktifkan pengaturan menunjukkan perilaku berikut setelah sinkronisasi pengaturan:
    • Pengguna dan grup digabungkan jika mereka juga ada di ID Microsoft Entra.
    • Pengguna dan grup diabaikan jika mereka tidak ada di ID Microsoft Entra. Pengguna yang tidak ada di MICROSOFT Entra ID tidak dapat masuk ke Azure Databricks.
  • Izin pengguna yang ditetapkan secara individual yang diduplikasi oleh keanggotaan dalam grup tetap ada bahkan setelah keanggotaan grup dihapus untuk pengguna.
  • Menghapus pengguna secara langsung dari akun Azure Databricks menggunakan konsol akun memiliki efek berikut:
    • Pengguna yang dihapus kehilangan akses ke akun Azure Databricks tersebut dan semua ruang kerja di akun tersebut.
    • Pengguna yang dihapus tidak akan disinkronkan lagi menggunakan provisi ID Microsoft Entra, bahkan jika mereka tetap berada di aplikasi perusahaan.
  • Sinkronisasi ID Microsoft Entra awal dipicu segera setelah Anda mengaktifkan penyediaan. Sinkronisasi berikutnya dipicu setiap 20-40 menit, tergantung pada jumlah pengguna dan grup dalam aplikasi. Lihat Laporan ringkasan provisi dalam dokumentasi ID Microsoft Entra.
  • Anda tidak dapat memperbarui alamat email pengguna Azure Databricks.
  • Anda tidak dapat menyinkronkan grup berlapis atau perwakilan layanan MICROSOFT Entra ID dari aplikasi Konektor Provisi SCIM Azure Databricks. Databricks merekomendasikan penggunaan aplikasi perusahaan untuk menyinkronkan pengguna dan grup dan mengelola grup berlapis dan perwakilan layanan dalam Azure Databricks. Namun, Anda juga dapat menggunakan penyedia Databricks Terraform atau skrip kustom yang menargetkan API SCIM Azure Databricks untuk menyinkronkan grup berlapis atau prinsipal layanan Microsoft Entra ID.
  • Pembaruan untuk nama grup di ID Microsoft Entra tidak disinkronkan ke Azure Databricks.
  • Parameter userName dan emails.value harus cocok. Ketidakcocokan dapat menyebabkan Azure Databricks menolak permintaan pembuatan pengguna dari aplikasi SCIM ID Microsoft Entra. Untuk kasus seperti pengguna eksternal atau email alias, Anda mungkin perlu mengubah pemetaan SCIM default aplikasi perusahaan untuk digunakan userPrincipalName daripada mail.

(Opsional) Mengotomatiskan provisi SCIM menggunakan Microsoft Graph

Microsoft Graph menyertakan pustaka autentikasi dan otorisasi yang dapat Anda integrasikan ke dalam aplikasi Anda untuk mengotomatiskan provisi pengguna dan grup ke akun atau ruang kerja Azure Databricks Anda, alih-alih mengonfigurasi aplikasi konektor provisi SCIM.

  1. Ikuti petunjuk untuk mendaftarkan aplikasi dengan Microsoft Graph. Catat ID Aplikasi dan ID Penyewa untuk aplikasi
  2. Buka halaman Gambaran Umum aplikasi. Pada halaman tersebut:
    1. Konfigurasikan rahasia klien untuk aplikasi, dan catat rahasianya.
    2. Berikan aplikasi izin ini:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Minta administrator ID Microsoft Entra untuk memberikan persetujuan admin.
  4. Perbarui kode aplikasi Anda untuk menambahkan dukungan untuk Microsoft Graph.

Pemecahan Masalah

Pengguna dan grup tidak disinkronkan

  • Jika Anda menggunakan aplikasi Konektor Provisi SCIM Azure Databricks:
    • Di konsol akun, verifikasi bahwa token SCIM Azure Databricks yang digunakan untuk menyiapkan provisi masih valid.
  • Jangan mencoba menyinkronkan grup berlapis, yang tidak didukung oleh provisi otomatis ID Microsoft Entra. Untuk informasi selengkapnya, lihat Tanya Jawab Umum ini.

Prinsipal layanan Microsoft Entra ID tidak disinkronkan

  • Aplikasi Konektor Provisi SCIM Azure Databricks tidak mendukung sinkronisasi perwakilan layanan.

Setelah sinkronisasi awal, pengguna dan grup berhenti menyinkronkan

Jika Anda menggunakan aplikasi Konektor Provisi SCIM Azure Databricks: Setelah sinkronisasi awal, ID Microsoft Entra tidak segera disinkronkan setelah Anda mengubah penetapan pengguna atau grup. Ini menjadwalkan sinkronisasi dengan aplikasi setelah penundaan, berdasarkan jumlah pengguna dan grup. Untuk meminta sinkronisasi segera, buka > Provisi untuk aplikasi perusahaan dan pilih Hapus status saat ini dan mulai ulang sinkronisasi.

Rentang IP layanan provisi ID Microsoft Entra tidak dapat diakses

Layanan provisi ID Microsoft Entra beroperasi di bawah rentang IP tertentu. Jika Anda perlu membatasi akses jaringan, Anda harus mengizinkan lalu lintas dari alamat IP AzureActiveDirectory di Rentang IP Azure dan Service Tags – Public Cloud file. Unduh dari situs unduhan Microsoft . Untuk informasi lebih lengkap, lihat Rentang IP.