Поделиться через

Настройка подготовки SCIM с помощью идентификатора Microsoft Entra (Azure Active Directory)

  • Статья

В этой статье описывается настройка подготовки к учетной записи Azure Databricks с помощью идентификатора Microsoft Entra.

Databricks рекомендует подготовить пользователей, субъектов-служб и групп на уровне учетной записи и управлять назначением пользователей и групп рабочим областям в Azure Databricks. Чтобы управлять назначением пользователей рабочим областям, необходимо включить рабочие области для федерации удостоверений.

Примечание.

Метод настройки подготовки не связан с настройкой проверки подлинности и условного доступа для рабочих областей или учетных записей Azure Databricks. Проверка подлинности для Azure Databricks выполняется автоматически с помощью идентификатора Microsoft Entra с помощью потока протокола OpenID Connect. Вы настраиваете условный доступ, который позволяет создавать правила, требующие многофакторной проверки подлинности или ограничения учетных данных для входа в локальные сети на уровне службы.

Подготовка удостоверений в учетной записи Azure Databricks с помощью идентификатора Microsoft Entra

Вы можете синхронизировать пользователей и группы на уровне учетной записи из клиента Идентификатора Майкрософт в Azure Databricks с помощью соединителя подготовки SCIM.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Требования

  • Учетная запись Azure Databricks должна иметь план Premium.
  • У вас должна быть роль администратора облачных приложений в идентификаторе Microsoft Entra.
  • Учетная запись идентификатора Microsoft Entra должна быть учетной записью выпуска Premium для подготовки групп. Пользователи подготовки доступны для любого выпуска Идентификатора Microsoft Entra.
  • Вы должны быть администратором учетных записей в Azure Databricks.

Примечание.

Чтобы включить консоль учетной записи и установить первого администратора учетной записи, см. статью "Установка первого администратора учетной записи".

Шаг 1. Настройка Azure Databricks

  1. Войдите в консоль учетной записи Azure Databricks с правами администратора учетных записей Azure Databricks.
  2. Нажмите кнопку "Значок параметров пользователяПараметры".
  3. Щелкните Подготовка пользователей.
  4. Нажмите кнопку "Настройка подготовки пользователей".

Скопируйте маркер SCIM и URL-адрес SCIM учетной записи. Вы будете использовать их для настройки приложения Идентификатора Microsoft Entra.

Примечание.

Маркер SCIM ограничен API /api/2.1/accounts/{account_id}/scim/v2/ SCIM учетной записи и не может использоваться для проверки подлинности в других REST API Databricks.

Шаг 2. Настройка корпоративного приложения

В этих инструкциях показано, как создать корпоративное приложение на портале Azure и использовать это приложение для подготовки. Если у вас есть существующее приложение, можно изменить его, чтобы автоматизировать подготовку SCIM с помощью Microsoft Graph. Благодаря этому можно не использовать отдельное приложение подготовки на портале Azure.

Выполните следующие действия, чтобы включить идентификатор Microsoft Entra для синхронизации пользователей и групп с учетной записью Azure Databricks. Эта конфигурация отделена от всех конфигураций, созданных для синхронизации пользователей и групп с рабочими областями.

  1. В портал Azure перейдите к корпоративным приложениям Microsoft Entra ID>.
  2. Щелкните + Создать приложение над списком приложений. В разделе Добавить из коллекции найдите и выберите Соединитель подготовки Azure Databricks SCIM.
  3. Введите Имя приложения и нажмите Добавить.
  4. В меню Управление выберите Подготовка.
  5. Для параметра Режим подготовки к работе выберите значение "Автоматически".
  6. Задайте для параметра URL-адрес конечной точки API SCIM значение URL-адреса SCIM учетной записи, скопированное ранее.
  7. Задайте для параметра Секретный токен значение маркера SCIM Azure Databricks, созданного ранее.
  8. Нажмите кнопку Проверить подключение и дождитесь сообщения о том, что учетные данные имеют разрешения для включения подготовки.
  9. Нажмите кнопку Сохранить.

Шаг 3. Назначение пользователей и групп для приложения

Пользователи и группы, назначенные приложению SCIM, будут подготовлены в учетной записи Azure Databricks. Если у вас есть рабочие области Azure Databricks, Databricks рекомендует добавить всех существующих пользователей и группы в этих рабочих областях в приложение SCIM.

Примечание.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку субъектов-служб в Azure Databricks. Вы можете добавить субъекты-службы в учетную запись Azure Databricks после управления субъектами-службами в вашей учетной записи.

Идентификатор Microsoft Entra не поддерживает автоматическую подготовку вложенных групп в Azure Databricks. Идентификатор Microsoft Entra может читать и подготавливать пользователей, которые являются непосредственными членами явно назначенной группы. Чтобы обойти это ограничение, следует явно назначить (или другим способом указать область) группы, содержащие пользователей, которых нужно подготовить. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

  1. Перейдите к разделу "Управление свойствами>".
  2. Задайте значение "Назначение ", необходимое для no. Databricks рекомендует этот параметр, который позволяет всем пользователям входить в учетную запись Azure Databricks.
  3. См. раздел Управление >подготовкой.
  4. Чтобы начать синхронизацию пользователей и групп идентификатора Microsoft Entra с Azure Databricks, установите переключатель "Состояние подготовки" в положение "Вкл.".
  5. Нажмите кнопку Сохранить.
  6. Перейдите в раздел Управление >пользователями и группами.
  7. Нажмите кнопку "Добавить пользователя или группу", выберите пользователей и группы и нажмите кнопку "Назначить ".
  8. Подождите несколько минут, а затем проверьте существуют ли пользователи и группы в учетной записи Azure Databricks.

Пользователи и группы, которые вы добавляете и назначаете, автоматически подготавливаются к учетной записи Azure Databricks, когда идентификатор Microsoft Entra id планирует следующую синхронизацию.

Примечание.

Если удалить пользователя из приложения SCIM на уровне учетной записи, этот пользователь деактивирован из учетной записи и из рабочих областей независимо от того, включена ли федерация удостоверений.

Советы по подготовке

  • Пользователи и группы, которые существовали в рабочей области Azure Databricks до включения подготовки, демонстрируют следующее поведение при синхронизации подготовки:
    • Объединены, если они также существуют в идентификаторе Microsoft Entra
    • Игнорируются, если они не существуют в идентификаторе Microsoft Entra
  • Отдельно назначенные пользователям разрешения, дублирующиеся членством в группе, остаются даже после удаления членства в группе для пользователя.
  • Пользователи, удаленные из рабочей области Azure Databricks напрямую, с помощью страницы параметров администратора рабочей области Azure Databricks:
    • Теряют доступ к этой рабочей области Azure Databricks, но по-прежнему имеют доступ к другим рабочим областям Azure Databricks.
    • Не будет синхронизировано повторно с помощью подготовки идентификатора Microsoft Entra, даже если они остаются в корпоративном приложении.
  • Начальная синхронизация идентификаторов Microsoft Entra активируется сразу после включения подготовки. Последующие операции синхронизации активируются каждые 20-40 минут в зависимости от числа пользователей и групп в приложении. См . сводный отчет о подготовке в документации по идентификатору Microsoft Entra.
  • Невозможно обновить имя пользователя или адрес электронной почты пользователя рабочей области Azure Databricks.
  • Группа admins является зарезервированной группой в Azure Databricks, и ее нельзя удалить.
  • Api групп Azure Databricks или пользовательский интерфейс групп можно использовать для получения списка участников любой группы рабочей области Azure Databricks.
  • Не удается синхронизировать вложенные группы или субъекты-службы идентификатора Microsoft Entra из приложения соединителя подготовки SCIM Azure Databricks. Databricks рекомендует использовать корпоративное приложение для синхронизации пользователей и групп и управления вложенными группами и субъектами-службами в Azure Databricks. Однако можно также использовать поставщик Databricks Terraform или пользовательские скрипты, предназначенные для API SCIM Azure Databricks для синхронизации вложенных групп или субъектов-служб Идентификатора Майкрософт.
  • Обновления имен групп в идентификаторе Microsoft Entra не синхронизируются с Azure Databricks.

(Необязательно) Автоматизация подготовки с помощью Microsoft Graph

Microsoft Graph включает библиотеки проверки подлинности и авторизации, которые можно интегрировать в приложение для автоматизации подготовки пользователей и групп в учетной записи Azure Databricks или рабочих областей, а не для настройки приложения соединителя подготовки SCIM.

  1. Следуйте инструкциям по регистрации приложения с использованием Microsoft Graph. Запишите идентификатор приложения и идентификатор арендатора для приложения.
  2. Перейдите на страницу обзора приложений. На этой странице:
    1. Настройте секрет клиента для приложения и запишите секретный код.
    2. Предоставьте приложению следующие разрешения:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Попросите администратора идентификатора Microsoft Entra предоставить согласие администратора.
  4. Обновите код приложения, чтобы добавить поддержку для Microsoft Graph.

Устранение неполадок

Пользователи и группы не синхронизируются

  • Если вы используете приложение соединителя подготовки SCIM для Azure Databricks:
    • В консоли учетной записи убедитесь, что маркер SCIM Azure Databricks, используемый для настройки подготовки, по-прежнему действителен.
  • Не пытайтесь синхронизировать вложенные группы, которые не поддерживаются автоматической подготовкой идентификатора Microsoft Entra. Дополнительные сведения см. в этом разделе «Вопросы и ответы».

Субъекты-службы идентификатора Microsoft Entra не синхронизируются

  • Приложение соединителя подготовки SCIM для Azure Databricks не поддерживает синхронизацию субъектов-служб.

После начальной синхронизации пользователи и группы прекращают синхронизацию

Если вы используете приложение соединителя подготовки SCIM Для Azure Databricks: после начальной синхронизации идентификатор Microsoft Entra не синхронизируется сразу после изменения назначений пользователей или групп. Он планирует синхронизацию с приложением по истечении задержки с учетом числа пользователей и групп. Чтобы запросить немедленную синхронизацию, перейдите в раздел Управление > подготовкой корпоративного приложения и выберите Очистить текущее состояние и перезапустить синхронизацию.

Недоступен диапазон IP-адресов службы подготовки Microsoft Entra ID

Служба подготовки идентификаторов Microsoft Entra работает в определенных диапазонах IP-адресов. Если требуется ограничить доступ к сети, необходимо разрешить трафик с IP-адресов для AzureActiveDirectory в этом диапазоне IP-адресов. Дополнительные сведения см. в разделе Диапазоны IP-адресов.