Aracılığıyla paylaş

Microsoft Entra Id (Azure Active Directory) kullanarak SCIM sağlamayı yapılandırma

  • Makale

Bu makalede, Microsoft Entra Id kullanılarak Azure Databricks hesabına sağlamanın nasıl ayarlanacağı açıklanmaktadır.

Ayrıca, otomatik kimlik yönetimini (Genel Önizleme) kullanarak Microsoft Entra ID'den kullanıcıları ve grupları eşitleyebilirsiniz. Otomatik kimlik yönetimi, Microsoft Entra Id'de bir uygulama yapılandırmanızı gerektirmez. Ayrıca, SCIM sağlama kullanılarak desteklenmeyen Microsoft Entra ID hizmet sorumlularını ve iç içe grupları Azure Databricks ile eşitlemeyi de destekler. Daha fazla bilgi için bkz. Microsoft Entra ID'denkullanıcıları ve grupları otomatik olarak senkronize etme.

Not

Sağlamanın yapılandırılma şekli, Azure Databricks çalışma alanları veya hesapları için kimlik doğrulamasını ve koşullu erişimi yapılandırmaktan tamamen ayrıdır. Azure Databricks için kimlik doğrulaması, OpenID Connect protokol akışı kullanılarak Microsoft Entra ID tarafından otomatik olarak işlenir. Çok faktörlü kimlik doğrulaması gerektirecek kurallar oluşturmanıza veya yerel ağlarda oturum açma işlemlerini hizmet düzeyinde kısıtlamanıza olanak tanıyan koşullu erişimi yapılandırabilirsiniz.

Microsoft Entra Id kullanarak Azure Databricks hesabınıza kimlik sağlama

Hesap düzeyindeki kullanıcıları ve grupları Bir SCIM sağlama bağlayıcısı kullanarak Microsoft Entra ID kiracınızdan Azure Databricks'e eşitleyebilirsiniz.

Önemli

Kimlikleri doğrudan çalışma alanlarınızla eşitleyen SCIM bağlayıcılarınız zaten varsa, hesap düzeyi SCIM bağlayıcısı etkinleştirildiğinde bu SCIM bağlayıcılarını devre dışı bırakmanız gerekir. Bkz . Çalışma alanı düzeyinde SCIM sağlamayı hesap düzeyine geçirme.

Gereksinim -leri

  • Azure Databricks hesabınızın Premium planı olmalıdır.
  • Microsoft Entra Id'de Bulut Uygulaması Yöneticisi rolüne sahip olmanız gerekir.
  • Microsoft Entra Id hesabınızın grupları sağlamak için bir Premium sürüm hesabı olması gerekir. Kullanıcıları sağlama, herhangi bir Microsoft Entra ID sürümünde kullanılabilir.
  • Azure Databricks hesap yöneticisi olmanız gerekir.

Not

Hesap konsolunu etkinleştirmek ve ilk hesap yöneticinizi oluşturmak için bkz . İlk hesap yöneticinizi oluşturma.

1. Adım: Azure Databricks'i yapılandırma

  1. Azure Databricks hesap yöneticisi olarak Azure Databricks hesap konsolunda oturum açın.
  2. Ayarlar'a tıklayın Kullanıcı Ayarları Simgesi.
  3. Kullanıcı Sağlama'ya tıklayın.
  4. Kullanıcı sağlamayı ayarlamak içinöğesine tıklayın.

SCIM belirtecini ve Hesap SCIM URL'sini kopyalayın. Microsoft Entra Id uygulamanızı yapılandırmak için bunları kullanacaksınız.

Not

SCIM belirteci Hesap SCIM API'sine /api/2.1/accounts/{account_id}/scim/v2/ sınırlıdır ve diğer Databricks REST API'lerinde kimlik doğrulaması yapmak için kullanılamaz.

2. Adım: Kurumsal uygulamayı yapılandırma

Bu yönergeler, Azure portalında kurumsal uygulama oluşturma ve bu uygulamayı sağlama için kullanma hakkında bilgi sağlar. Mevcut bir kurumsal uygulamanız varsa, Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirmek için uygulamayı değiştirebilirsiniz. Bu, Azure Portal'da ayrı bir sağlama uygulaması gereksinimini ortadan kaldırır.

Microsoft Entra Id'nin kullanıcıları ve grupları Azure Databricks hesabınızla eşitlemesini sağlamak için bu adımları izleyin. Bu yapılandırma, kullanıcıları ve grupları çalışma alanlarıyla eşitlemek için oluşturduğunuz tüm yapılandırmalardan ayrıdır.

  1. Azure portalınızda Microsoft Entra ID > Enterprise Applications'a gidin.
  2. Uygulama listesinin üst kısmındaki + Yeni Uygulama'ne tıklayın. Galeriden altında ekleyin ve Azure Databricks SCIM Sağlama Bağlayıcısıöğesini arayın ve seçin.
  3. Uygulama için bir Ad girin ve Ekle'ye tıklayın.
  4. Yönet menüsünün altında Sağlama'ya tıklayın.
  5. Sağlama Modu Otomatik olarak ayarlayın.
  6. SCIM API uç nokta URL'sini daha önce kopyaladığınız Hesap SCIM URL'sine ayarlayın.
  7. Gizli Belirteci daha önce oluşturduğunuz Azure Databricks SCIM belirtecine ayarlayın.
  8. Bağlantıyı Test Et'e tıklayın ve kimlik bilgilerinin yetkilendirildiğini ve sağlama işleminin etkinleştirildiğini onaylayan mesajı bekleyin.
  9. Kaydet'e tıklayın.

3. Adım: Uygulamaya kullanıcı ve grup atama

SCIM uygulamasına atanan kullanıcılar ve gruplar Azure Databricks hesabına sağlanacaktır. Mevcut Azure Databricks çalışma alanlarınız varsa Databricks, bu çalışma alanlarındaki tüm mevcut kullanıcıları ve grupları SCIM uygulamasına eklemenizi önerir.

Not

Microsoft Entra Id, hizmet sorumlularının Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Azure Databricks hesabınıza hizmet sorumlularını hesabınızdaki hizmet sorumlularını yönet'i izleyerek ekleyebilirsiniz.

Microsoft Entra Id, iç içe grupların Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Microsoft Entra Id yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça atayın (veya içinde başka bir kapsam belirleyin). Daha fazla bilgi için bu SSS bölümüne bakın.

  1. Özellikleri> gidin.
  2. Atama gerekliHayırolarak ayarlayın. Databricks, tüm kullanıcıların Azure Databricks hesabında oturum açmasına olanak tanıyan bu seçeneği önerir.
  3. Sağlamayı> gidin.
  4. Microsoft Entra ID kullanıcılarını ve gruplarını Azure Databricks ile senkronize etmeye başlamak için Sağlama Durumu iki durumlu düğmesini Açıkolarak ayarlayın.
  5. Kaydet'e tıklayın.
  6. Kullanıcıları ve grupları> gidin.
  7. Kullanıcı/grupekle'ye tıklayın, kullanıcıları ve grupları seçin ve Ata düğmesine tıklayın.
  8. Birkaç dakika bekleyin ve kullanıcıların ve grupların Azure Databricks hesabınızda mevcut olup olmadığını denetleyin.

Ekleyip atadığınız kullanıcılar ve gruplar, Microsoft Entra Id bir sonraki eşitlemeyi zamanladığında Azure Databricks hesabına otomatik olarak sağlanır.

Not

Bir kullanıcıyı hesap düzeyi SCIM uygulamasından kaldırırsanız, kimlik federasyonunun etkinleştirilip etkinleştirilmediğine bakılmaksızın bu kullanıcı hesaptan ve çalışma alanlarından devre dışı bırakılır.

Sağlama ipuçları

  • Sağlamayı etkinleştirmeden önce Azure Databricks hesabında bulunan kullanıcılar ve gruplar, sağlama eşitlemesi sırasında aşağıdaki davranışı gösterir:
    • Kullanıcılar ve gruplar, Microsoft Entra Id'de de varsa birleştirilir.
    • Kullanıcılar ve gruplar Microsoft Entra Id'de yoksayılır. Microsoft Entra Id'de mevcut olmayan kullanıcılar Azure Databricks'te oturum açamaz.
  • Bir gruptaki üyelik tarafından çoğaltılan tek tek atanan kullanıcı izinleri, kullanıcı için grup üyeliği kaldırıldıktan sonra bile kalır.
  • Hesap konsolunu kullanarak azure databricks hesabından kullanıcıları doğrudan kaldırmanın aşağıdaki etkileri vardır:
    • Kaldırılan kullanıcı bu Azure Databricks hesabına ve hesaptaki tüm çalışma alanlarına erişimi kaybeder.
    • Kaldırılan kullanıcı, kurumsal uygulamada kalsa bile Microsoft Entra Id sağlama kullanılarak yeniden eşitlenmez.
  • İlk Microsoft Entra Id eşitlemesi, sağlamayı etkinleştirdikten hemen sonra tetiklenir. Sonraki eşitlemeler, uygulamadaki kullanıcı ve grup sayısına bağlı olarak her 20-40 dakikada bir tetiklenir. Microsoft Entra Id belgelerindeki Sağlama özeti raporuna bakın.
  • Azure Databricks kullanıcısının e-posta adresini güncelleştiremezsiniz.
  • Azure Databricks SCIM Sağlama Bağlayıcısı uygulaması iç içe grupları veya Microsoft Entra ID hizmet sorumlularını eşitleyemezsiniz. Databricks, kullanıcıları ve grupları eşitlemek ve Azure Databricks içinde iç içe grupları ve hizmet sorumlularını yönetmek için kurumsal uygulamanın kullanılmasını önerir. Ancak, iç içe geçmiş grupları veya Microsoft Entra ID hizmet sorumlularını eşitlemek için, Azure Databricks SCIM API'sini hedefleyen özel betikler veya Databricks Terraform sağlayıcısını da kullanabilirsiniz.
  • Microsoft Entra Id'deki grup adlarında yapılan güncelleştirmeler Azure Databricks ile eşitlenmez.
  • userName ve emails.value parametreleri eşleşmelidir. Uyuşmazlık, Azure Databricks'in Microsoft Entra ID SCIM uygulamasından gelen kullanıcı oluşturma isteklerini reddetmesine neden olabilir. Dış kullanıcılar veya diğer ad kullanılan e-postalar gibi durumlarda, kurumsal uygulamanın varsayılan SCIM eşlemesini yerine userPrincipalNamekullanacak mail şekilde değiştirmeniz gerekebilir.

(İsteğe bağlı) Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirme

Microsoft Graph , SCIM sağlama bağlayıcısı uygulaması yapılandırmak yerine Azure Databricks hesabınıza veya çalışma alanlarınıza kullanıcı ve grup sağlamayı otomatikleştirmek için uygulamanızla tümleştirebileceğiniz kimlik doğrulama ve yetkilendirme kitaplıkları içerir.

  1. Bir uygulamayı Microsoft Graph'e kaydetme yönergelerini izleyin. Uygulamanın Uygulama Kimliğini ve Kiracı Kimliğini not edin
  2. Uygulamaların Genel Bakış sayfasına gidin. Bu sayfada:
    1. Uygulama için bir istemci gizli dizisi yapılandırın ve gizli diziyi not edin.
    2. Uygulamaya şu izinleri verin:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Microsoft Entra ID yöneticisine yönetici onayı vermesini isteyin.
  4. Microsoft Graphiçin destek eklemek uygulamanızın kodunu güncelleştirin.

Sorun giderme

Kullanıcılar ve gruplar eşitlenmiyor

  • Azure Databricks SCIM Sağlama Bağlayıcısı uygulamasını kullanıyorsanız:
    • Hesap konsolunda, sağlamayı ayarlamak için kullanılan Azure Databricks SCIM belirtecinin hala geçerli olduğunu doğrulayın.
  • Microsoft Entra ID otomatik sağlama özelliği tarafından desteklenmeyen iç içe geçmiş grupları eşitlemeyi denemeyin. Daha fazla bilgi için bu SSS bölümüne bakın.

Microsoft Entra ID hizmet sorumluları eşitlenmiyor

  • Azure Databricks SCIM Sağlama Bağlayıcısı uygulaması, hizmet sorumlularının eşitlenmesini desteklemez.

İlk eşitlemeden sonra kullanıcılar ve gruplar eşitlemeyi durdurur

Azure Databricks SCIM Sağlama Bağlayıcısı uygulamasını kullanıyorsanız: İlk eşitlemeden sonra, kullanıcı veya grup atamalarını değiştirdikten sonra Microsoft Entra ID hemen eşitlenmez. Bir gecikme sonrasında, kullanıcı ve grup sayısına göre uygulamayla eşitleme planlar. Anında eşitleme talep etmek için, kurumsal uygulama için Yönet > Sağlama kısmına gidin ve Geçerli durumu temizle ve eşitlemeyi yeniden başlat seçeneğinitıklayın.

Microsoft Entra ID sağlama hizmeti IP aralığı erişilebilir değil

Microsoft Entra Id sağlama hizmeti belirli IP aralıkları altında çalışır. Ağ erişimini kısıtlamanız gerekiyorsa, Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut dosyasındaki AzureActiveDirectory için IP adreslerinden gelen trafiğe izin vermeniz gerekir. Microsoft indirme sitesi'nden indirin. Daha fazla bilgi için, bkz. IP Aralıkları.