Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Ihren Identitätsanbieter (IdP) und Azure Databricks konfigurieren, um Benutzer und Gruppen mithilfe von SCIM (System for Cross-Domain Identity Management), einem offenen Standard, mit dem Sie die Bereitstellung von Benutzern automatisieren können, in Azure Databricks bereitzustellen.

Informationen zur SCIM-Bereitstellung in Azure Databricks

SCIM ermöglicht es Ihnen, mit einem Identitätsanbieter (IdP) Benutzer in Azure Databricks zu erstellen und ihnen die richtige Zugriffsebene zu gewähren bzw. den Zugriff zu entziehen, wenn sie das Unternehmen verlassen oder keinen Zugriff auf Azure Databricks mehr benötigen.

Sie können einen SCIM-Bereitstellungsconnector in Ihrem IdP verwenden oder die SCIM-Gruppen-API aufrufen, um die Bereitstellung zu verwalten. Sie können diese APIs auch verwenden, um Identitäten in Azure Databricks direkt ohne Identitätsanbieter zu verwalten.

SCIM-Bereitstellung auf Konto- und Arbeitsbereichsebene

Databricks empfiehlt, dass Sie die SCIM-Bereitstellung auf Kontoebene verwenden, um alle Benutzer unter dem Konto zu erstellen, zu aktualisieren und zu löschen. Sie verwalten die Zuweisung von Benutzern und Gruppen zu Arbeitsbereichen in Azure Databricks. Ihre Arbeitsbereiche müssen für den Identitätsverbund aktiviert sein, um die Arbeitsbereichszuweisungen von Benutzern zu verwalten.

Diagramm zu SCIM auf Kontoebene

Die SCIM-Bereitstellung auf Arbeitsbereichsebene ist eine Legacykonfiguration, die sich in Public Preview befindet. Wenn Sie bereits die SCIM-Bereitstellung auf Arbeitsbereichsebene für einen Arbeitsbereich eingerichtet haben, empfiehlt Databricks, den Arbeitsbereich für den Identitätsverbund zu aktivieren, die SCIM-Bereitstellung auf Kontoebene einzurichten und den SCIM-Bereitstellungsdienst auf Arbeitsbereichsebene zu deaktivieren. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene. Weitere Informationen zur SCIM-Bereitstellung auf Arbeitsbereichsebene finden Sie unter Bereitstellen von Identitäten für einen Azure Databricks-Arbeitsbereich (Vorversion).

Anforderungen

So stellen Sie Benutzer und Gruppen über SCIM für Azure Databricks bereit

  • Ihr Azure Databricks-Konto muss über den Premium-Plan verfügen.
  • Sie müssen ein Azure Databricks-Kontoadministrator sein.

Sie können maximal 10.000 kombinierte Benutzer und Dienstprinzipale und 5.000 Gruppen in einem Konto haben. Jeder Arbeitsbereich kann maximal 10.000 kombinierte Benutzer und Dienstprinzipale und 5.000 Gruppen haben.

Synchronisieren von Benutzern und Gruppen mit Ihrem Azure Databricks-Konto

Sie können Identitäten auf Kontoebene über Ihren Microsoft Entra ID-Mandanten mithilfe eines SCIM-Bereitstellungsconnectors mit Azure Databricks synchronisieren.

Wichtig

Wenn Sie bereits SCIM-Connectors haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren, müssen Sie diese SCIM-Connectors deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert wird. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.

Lesen Sie die vollständigen Anweisungen unter Konfigurieren der SCIM-Bereitstellung mithilfe von Microsoft Entra ID (Azure Active Directory). Nachdem Sie die SCIM-Bereitstellung auf Kontoebene konfiguriert haben, empfiehlt Databricks, allen Benutzern in Microsoft Entra ID den Zugriff auf das Azure Databricks-Konto zu ermöglichen. Siehe Ermöglichen des Zugriffs auf Azure Databricks für alle Microsoft Entra ID-Benutzer.

Hinweis

Wenn Sie Benutzer*innen auf Kontoebene vom SCIM-Connector entfernen, werden diese Benutzer*innen auch im Konto und allen ihren Arbeitsbereichen deaktiviert, unabhängig davon, ob der Identitätsverbund aktiviert wurde oder nicht. Wenn Sie eine Gruppe auf Kontoebene vom SCIM-Connector entfernen, werden alle Benutzer*innen in dieser Gruppe im Konto und allen Arbeitsbereichen deaktiviert, auf die sie Zugriff hatten, es sei denn, sie sind Mitglieder einer anderen Gruppe oder ihnen wurde direkt Zugriff auf den SCIM-Connector auf Kontoebene erteilt.

Drehen des SCIM-Tokens auf Kontoebene

Wenn das SCIM-Token auf Kontoebene kompromittiert ist oder geschäftliche Anforderungen bestehen, Authentifizierungstoken regelmäßig zu drehen, können Sie das SCIM-Token drehen.

  1. Melden Sie sich bei der Kontokonsole als Azure Databricks-Kontoadministrator an.
  2. Klicken Sie in der Seitenleiste auf Einstellungen.
  3. Klicken Sie auf Benutzerbereitstellung.
  4. Klicken Sie auf Token erneut generieren. Notieren Sie sich das neue Token. Das vorherige Token funktioniert weiterhin für 24 Stunden.
  5. Aktualisieren Sie Ihre SCIM-Anwendung innerhalb von 24 Stunden, um das neue SCIM-Token zu verwenden.

Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene

Wenn Sie die SCIM-Bereitstellung auf Kontoebene aktivieren und die SCIM-Bereitstellung auf Arbeitsbereichsebene für einige Arbeitsbereiche bereits eingerichtet haben, wird empfohlen, die SCIM-Bereitstellung auf Arbeitsbereichsebene zu deaktivieren und stattdessen Benutzer und Gruppen auf Kontoebene synchronisieren.

  1. Erstellen Sie eine Gruppe in Microsoft Entra ID, die alle Benutzer*innen und Gruppen enthält, die Sie derzeit mit Ihren SCIM-Connectors auf Arbeitsbereichsebene für Azure Databricks bereitstellen.

    Databricks empfiehlt, dass diese Gruppe alle Benutzer in allen Arbeitsbereichen in Ihrem Konto enthält.

  2. Konfigurieren Sie einen neuen SCIM-Bereitstellungsconnector, um Benutzer und Gruppen in Ihrem Konto bereitzustellen, indem Sie die Anweisungen in Synchronisieren von Benutzern und Gruppen mit Ihrem Azure Databricks-Konto verwenden.

    Verwenden Sie die Gruppe oder Gruppen, die Sie in Schritt 1 erstellt haben. Wenn Sie einen Benutzer hinzufügen, der denselben Benutzernamen (E-Mail-Adresse) hat wie ein vorhandener Kontobenutzer, werden diese Benutzer zusammengeführt. Vorhandene Gruppen im Konto sind nicht betroffen.

  3. Vergewissern Sie sich, dass der neue SCIM-Bereitstellungsconnector Benutzer und Gruppen erfolgreich für Ihr Konto bereitstellt.

  4. Beenden Sie die alten SCIM-Connectors auf Arbeitsbereichsebene, die Benutzer und Gruppen für Ihre Arbeitsbereiche bereitgestellt haben.

    Entfernen Sie keine Benutzer/Benutzerinnen oder Gruppen von den SCIM-Connectors auf Arbeitsbereichsebene, bevor Sie sie herunterfahren. Durch das Widerrufen des Zugriffs von einem SCIM-Connector wird der Benutzer bzw. die Benutzerin im Azure Databricks-Arbeitsbereich deaktiviert. Weitere Informationen finden Sie unter Deaktivieren von Benutzern/Benutzerinnen in Ihrem Azure Databricks-Arbeitsbereich.

  5. Migrieren Sie lokale Gruppe des Workspaces zu Kontogruppen.

    Wenn in Ihren Arbeitsbereichen Legacy-Gruppen vorhanden sind, werden diese als lokale Arbeitsbereichsgruppen bezeichnet. Sie können arbeitsbereichslokale Gruppen nicht mithilfe von Schnittstellen auf Kontoebene verwalten. Databricks empfiehlt, dass Sie sie in Kontogruppen konvertieren. Siehe lokale Gruppe des Workspace zu Kontogruppen migrieren