Поделиться через

Настройка подготовки SCIM с помощью идентификатора Microsoft Entra (Azure Active Directory)

  • Статья

В этой статье описывается, как настроить провизию учетной записи Azure Databricks с помощью Microsoft Entra ID.

Вы также можете синхронизировать пользователей и группы из идентификатора Microsoft Entra с помощью автоматического управления удостоверениями (общедоступная предварительная версия). Автоматическое управление идентификацией не требует настройки приложения в Microsoft Entra ID. Она также поддерживает синхронизацию принципалов службы Microsoft Entra ID и вложенных групп с Azure Databricks, что не поддерживается через SCIM-подготовку. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.

Примечание.

Метод настройки подготовки не связан с настройкой проверки подлинности и условного доступа для рабочих областей или учетных записей Azure Databricks. Проверка подлинности для Azure Databricks выполняется автоматически с помощью идентификатора Microsoft Entra с помощью потока протокола OpenID Connect. Вы настраиваете условный доступ, который позволяет создавать правила, требующие многофакторной проверки подлинности или ограничения учетных данных для входа в локальные сети на уровне службы.

Подготовка удостоверений в учетной записи Azure Databricks с помощью идентификатора Microsoft Entra

Вы можете синхронизировать пользователей и группы с уровня учетной записи из клиента Microsoft Entra ID в Azure Databricks с помощью SCIM коннектора для предоставления ресурсов.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют идентификационные данные непосредственно с рабочими пространствами, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Требования

  • Учетная запись Azure Databricks должна иметь план Premium.
  • У вас должна быть роль администратора облачных приложений в идентификаторе Microsoft Entra.
  • Учетная запись идентификатора Microsoft Entra должна быть учетной записью выпуска Premium для подготовки групп. Пользователи подготовки доступны для любого выпуска Идентификатора Microsoft Entra.
  • Вы должны быть администратором учетных записей в Azure Databricks.

Примечание.

Чтобы включить консоль учетной записи и установить первого администратора учетной записи, см. статью "Установка первого администратора учетной записи".

Шаг 1. Настройка Azure Databricks

  1. Войдите в консоль учетной записи Azure Databricks с правами администратора учетных записей Azure Databricks.
  2. Нажмите кнопку "Значок параметров пользователяПараметры".
  3. Щелкните Подготовка пользователей.
  4. Щелкните Настройка подготовки пользователей.

Скопируйте маркер SCIM и URL-адрес SCIM учетной записи. Вы будете использовать их для настройки приложения Идентификатора Microsoft Entra.

Примечание.

Маркер SCIM ограничен API /api/2.1/accounts/{account_id}/scim/v2/ SCIM учетной записи и не может использоваться для проверки подлинности в других REST API Databricks.

Шаг 2. Настройка корпоративного приложения

В этих инструкциях показано, как создать корпоративное приложение на портале Azure и использовать это приложение для подготовки. Если у вас есть существующее приложение, можно изменить его, чтобы автоматизировать подготовку SCIM с помощью Microsoft Graph. Благодаря этому можно не использовать отдельное приложение подготовки на портале Azure.

Выполните следующие действия, чтобы включить идентификатор Microsoft Entra для синхронизации пользователей и групп с учетной записью Azure Databricks. Эта конфигурация отличается от всех конфигураций, созданных для синхронизации пользователей и групп с рабочими областями.

  1. В портал Azure перейдите к > Microsoft Entra ID.
  2. Щелкните + Создать новое приложение над списком приложений. В разделе Добавление из коллекции найдите и выберите соединитель подготовки SCIM Azure Databricks .
  3. Введите Имя приложения и нажмите Добавить.
  4. В меню Управление выберите Подготовка.
  5. Установите для режима подготовки значение "Автоматический".
  6. Задайте URL-адрес конечной точки API SCIM как URL-адрес учетной записи SCIM, который вы скопировали ранее.
  7. Задайте секретный токен маркеру AZURE Databricks SCIM, созданному ранее.
  8. Щелкните Тест подключения и дождитесь сообщения, подтверждающего, что учетные данные авторизованы для включения настройки.
  9. Нажмите кнопку Сохранить.

Шаг 3. Назначение пользователей и групп для приложения

Пользователи и группы, назначенные приложению SCIM, будут подготовлены в учетной записи Azure Databricks. Если у вас есть рабочие области Azure Databricks, Databricks рекомендует добавить всех существующих пользователей и группы в этих рабочих областях в приложение SCIM.

Примечание.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку субъектов-служб в Azure Databricks. Вы можете добавить субъекты-службы в учетную запись Azure Databricks после управления субъектами-службами в вашей учетной записи.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку вложенных групп в Azure Databricks. Идентификатор Microsoft Entra может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Чтобы обойти это ограничение, следует явно назначить (или другим способом указать область) группы, содержащие пользователей, которых нужно подготовить. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

  1. Перейдите к разделу "Управление свойствами>".
  2. Установите для обязательного задания до Нет. Databricks рекомендует этот параметр, который позволяет всем пользователям входить в учетную запись Azure Databricks.
  3. См. раздел Управление >подготовкой.
  4. Чтобы начать синхронизацию пользователей и групп идентификатора Microsoft Entra с Azure Databricks, установите переключатель состояние подготовки для On.
  5. Нажмите кнопку Сохранить.
  6. Перейдите в раздел Управление >пользователями и группами.
  7. Щелкните Добавить пользователя/группу, выберите пользователей и группы и нажмите кнопку Назначить.
  8. Подождите несколько минут, а затем проверьте существуют ли пользователи и группы в учетной записи Azure Databricks.

Пользователи и группы, которых вы добавляете и назначаете, будут автоматически предоставлены в учетную запись Azure Databricks, когда Microsoft Entra ID запланирует следующую синхронизацию.

Примечание.

Если исключить пользователя из SCIM-приложения на уровне учетной записи, этот пользователь будет деактивирован в учетной записи и рабочих областях, независимо от того, включена ли идентификационная федерация.

Советы по подготовке

  • Пользователи и группы, которые были в учетной записи Azure Databricks до включения предоставления, проявляют следующее поведение при синхронизации предоставления.
    • Пользователи и группы объединяются, если они также существуют в идентификаторе Microsoft Entra.
    • Пользователи и группы игнорируются, если они не существуют в идентификаторе Microsoft Entra. Пользователи, которые не существуют в идентификаторе Microsoft Entra, не могут войти в Azure Databricks.
  • Отдельно назначенные пользователям разрешения, дублирующиеся членством в группе, остаются даже после удаления членства в группе для пользователя.
  • Непосредственное удаление пользователей из учетной записи Azure Databricks с помощью консоли учетной записи имеет следующие последствия:
    • Удаленный пользователь теряет доступ к этой учетной записи Azure Databricks и всем рабочим областям в учетной записи.
    • Удаленный пользователь не будет синхронизироваться повторно с помощью подготовки идентификатора Microsoft Entra, даже если они остаются в корпоративном приложении.
  • Начальная синхронизация идентификаторов Microsoft Entra активируется сразу после включения настройки. Последующие операции синхронизации активируются каждые 20-40 минут в зависимости от числа пользователей и групп в приложении. См . сводный отчет о подготовке в документации по идентификатору Microsoft Entra.
  • Невозможно обновить адрес электронной почты пользователя Azure Databricks.
  • Не удается синхронизировать вложенные группы или учетные записи сервисов Microsoft Entra из соединителя подготовки SCIM Azure Databricks. Databricks рекомендует использовать корпоративное приложение для синхронизации пользователей и групп и управления вложенными группами и субъектами-службами в Azure Databricks. Однако вы также можете использовать провайдера Databricks Terraform или пользовательские скрипты, нацеленные на SCIM API Azure Databricks, для синхронизации вложенных групп или служебных принципалов Microsoft Entra ID.
  • Обновления имен групп в идентификаторе Microsoft Entra не синхронизируются с Azure Databricks.
  • Параметры userName и emails.value должны соответствовать. Несоответствие может привести к отказу Azure Databricks отклонить запросы на создание пользователей из приложения SCIM идентификатора Microsoft Entra ID. В таких случаях, как внешние пользователи или псевдонимы электронной почты, может потребоваться изменить сопоставление SCIM по умолчанию корпоративного приложения для использования userPrincipalName , а не mail.

(Необязательно) Автоматизация подготовки с помощью Microsoft Graph

Microsoft Graph включает библиотеки проверки подлинности и авторизации, которые можно интегрировать в приложение для автоматизации подготовки пользователей и групп в учетной записи Azure Databricks или рабочих областей, а не для настройки приложения соединителя подготовки SCIM.

  1. Следуйте инструкциям по регистрации приложения с использованием Microsoft Graph. Запишите идентификатор приложения и идентификатор арендатора для приложения.
  2. Перейдите на страницу обзора приложений. На этой странице:
    1. Настройте секрет клиента для приложения и запишите секретный код.
    2. Предоставьте приложению следующие разрешения:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Попросите администратора идентификатора Microsoft Entra предоставить согласие администратора.
  4. Обновите код приложения, чтобы добавить поддержку Microsoft Graph.

Устранение неполадок

Пользователи и группы не синхронизируются

  • Если вы используете приложение соединителя подготовки SCIM для Azure Databricks:
    • В консоли учетной записи убедитесь, что токен SCIM Azure Databricks, используемый для настройки провизирования, по-прежнему действителен.
  • Не пытайтесь синхронизировать вложенные группы, которые не поддерживаются автоматическим предоставлением Microsoft Entra ID. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

Учетные записи службы Microsoft Entra ID не синхронизируются

  • Приложение соединителя подготовки SCIM для Azure Databricks не поддерживает синхронизацию субъектов-служб.

После первоначальной синхронизации пользователи и группы перестают синхронизироваться

Если вы используете приложение для подготовки SCIM Azure Databricks: после начальной синхронизации Microsoft Entra ID не синхронизируется мгновенно после изменения назначений пользователей или групп. Он планирует синхронизацию с приложением после задержки на основе количества пользователей и групп. Чтобы запросить немедленную синхронизацию, перейдите в раздел Управление > подготовкой для корпоративного приложения и выберите Очистить текущее состояние и перезапустить синхронизацию.

Недоступен диапазон IP-адресов службы подготовки Microsoft Entra ID

Служба подготовки идентификаторов Microsoft Entra работает в определенных диапазонах IP-адресов. Если необходимо ограничить доступ к сети, необходимо разрешить трафик из IP-адресов для AzureActiveDirectory в файле диапазонов IP-адресов и тегов служб Azure — общедоступное облако. Скачайте с сайта загрузки Майкрософт. Дополнительные сведения см. в разделе Диапазоны IP-адресов.