Konfigurieren der SCIM-Bereitstellung mithilfe von Microsoft Entra ID (Azure Active Directory)

In diesem Artikel wird beschrieben, wie Sie die Bereitstellung für das Azure Databricks-Konto mithilfe von Microsoft Entra ID einrichten.

Databricks empfiehlt, Benutzer, Dienstprinzipale und Gruppen auf Kontoebene bereitzustellen und die Zuweisung von Benutzern und Gruppen zu Arbeitsbereichen innerhalb von Azure Databricks zu verwalten. Ihre Arbeitsbereiche müssen für Identitätsföderation aktiviert sein, um die Zuweisung von Benutzern zu Arbeitsbereichen zu verwalten.

Hinweis

Die Art, in der die Bereitstellung konfiguriert wird, ist vollständig getrennt von der Konfiguration der Authentifizierung und des bedingten Zugriffs für Azure Databricks-Arbeitsbereiche oder -Konten. Die Authentifizierung für Azure Databricks wird automatisch von Microsoft Entra ID mithilfe des OpenID Connect-Protokollflusses ausgeführt. Sie können den bedingten Zugriff, mit dem Sie Regeln erstellen können, um eine Multi-Faktor-Authentifizierung vorauszusetzen oder Anmeldungen bei lokalen Netzwerken einzuschränken, auf Dienstebene konfigurieren.

Bereitstellen von Identitäten für Ihr Azure Databricks-Konto mithilfe von Microsoft Entra ID

Sie können Benutzer*innen und Gruppen auf Kontoebene über Ihren Microsoft Entra ID-Mandanten mithilfe eines SCIM-Bereitstellungsconnectors mit Azure Databricks synchronisieren.

Wichtig

Wenn Sie bereits SCIM-Connectors haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren, müssen Sie diese SCIM-Connectors deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert wird. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.

Anforderungen

  • Ihr Azure Databricks-Konto muss im Premium-Plan enthalten sein.
  • Sie müssen über die Rolle „Cloud-Anwendungsadministrator*in“ in Microsoft Entra ID verfügen.
  • Ihr Microsoft Entra ID-Konto muss ein Premium Edition-Konto sein, um Gruppen bereitzustellen. Die Bereitstellung von Benutzer*innen ist für jede Microsoft Entra ID-Edition verfügbar.
  • Sie müssen ein Azure Databricks-Kontoadministrator sein.

Hinweis

Informationen zum Aktivieren der Kontokonsole und Einrichten Ihres ersten Kontoadministrators finden Sie unter Einrichten des ersten Kontoadministrators.

Schritt 1: Konfigurieren von Azure Databricks

  1. Melden Sie sich in der Azure Databricks-Kontokonsole als Azure Databricks-Kontoadministrator an.
  2. Klicken Sie auf Symbol „Benutzereinstellungen“ Einstellungen.
  3. Klicken Sie auf Benutzerbereitstellung.
  4. Klicken Sie auf Set up user provisioning (Benutzerbereitstellung einrichten).

Kopieren Sie das SCIM-Token und die Konto-SCIM-URL. Sie verwenden diese, um Ihre Microsoft Entra ID-Anwendung zu konfigurieren.

Hinweis

Das SCIM-Token ist auf die SCIM-API für Konten „/api/2.1/accounts/{account_id}/scim/v2/” beschränkt und kann nicht für die Authentifizierung bei anderen Databricks-REST-APIs verwendet werden.

Schritt 2: Konfigurieren der Unternehmensanwendung

In dieser Anleitung erfahren Sie, wie Sie eine Unternehmensanwendung im Azure-Portal erstellen und diese Anwendung für die Bereitstellung verwenden. Wenn Sie über eine vorhandene Unternehmensanwendung verfügen, können Sie sie ändern, um die SCIM-Bereitstellung mithilfe von Microsoft Graph zu automatisieren. So ist keine separate Bereitstellungsanwendung im Azure-Portal mehr notwendig.

Führen Sie diese Schritte aus, um Microsoft Entra ID das Synchronisieren von Benutzer*innen und Gruppen mit Ihrem Azure Databricks-Konto zu ermöglichen. Diese Konfiguration unterscheidet sich von allen Konfigurationen, die Sie zum Synchronisieren von Benutzern und Gruppen mit Arbeitsbereichen erstellt haben.

  1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID > Unternehmensanwendungen.
  2. Klicken Sie oberhalb der Anwendungsliste auf + Neue Anwendung. Suchen Sie unter Aus Katalog hinzufügen nach dem SCIM-Bereitstellungsconnector für Azure Databricks, und wählen Sie ihn aus.
  3. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf Hinzufügen.
  4. Klicken Sie im Menü Verwalten auf Bereitstellung.
  5. Stellen Sie den Bereitstellungsmodus auf „Automatisch“ ein.
  6. Legen Sie die SCIM-API-Endpunkt-URL auf die zuvor kopierte Konto-SCIM-URL fest.
  7. Legen Sie Geheimnis-Token auf das zuvor generierte Azure Databricks SCIM-Token fest.
  8. Klicken Sie auf Verbindung testen, und warten Sie auf die Meldung, die bestätigt, dass die Anmeldeinformationen zum Aktivieren der Bereitstellung autorisiert sind.
  9. Klicken Sie auf Speichern.

Schritt 3: Zuweisen von Benutzern und Gruppen zur Anwendung

Benutzer und Gruppen, die der SCIM-Anwendung zugewiesen sind, werden dem Azure Databricks-Konto bereitgestellt. Wenn Sie über vorhandene Azure Databricks-Arbeitsbereiche verfügen, empfiehlt Databricks, alle vorhandenen Benutzer und Gruppen in diesen Arbeitsbereichen der SCIM-Anwendung hinzuzufügen.

Hinweis

Microsoft Entra ID unterstützt nicht die automatische Bereitstellung von Dienstprinzipalen für Azure Databricks. Sie können Ihrem Azure Databricks-Konto Dienstprinzipale hinzufügen, indem Sie die Anleitung unter Verwalten von Dienstprinzipalen in Ihrem Konto befolgen.

Microsoft Entra ID unterstützt die automatische Bereitstellung von geschachtelten Gruppen für Azure Databricks nicht. Microsoft Entra ID kann nur Benutzer*innen lesen und bereitstellen, die direkte Mitglieder der explizit zugewiesenen Gruppe sind. Weisen Sie als Problemumgehung die Gruppen, die die bereitzustellenden Benutzer enthalten, explizit zu (oder beziehen Sie sie auf andere Weise ein). Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

  1. Wechseln Sie zu Verwalten von > Eigenschaften.
  2. Legen Sie Zuweisung erforderlich? auf Nein fest. Databricks empfiehlt diese Option, welche es allen Benutzern ermöglicht, sich beim Azure Databricks-Konto anzumelden.
  3. Navigieren Sie zu Verwalten > Bereitstellung.
  4. Um mit der Synchronisierung von Microsoft Entra-ID-Benutzern und -Gruppen mit Azure Databricks zu beginnen, legen Sie den Bereitstellungsstatus fest, und schalten Sie auf Anum.
  5. Klicken Sie auf Speichern.
  6. Navigieren Sie zu Verwalten > Benutzer und Gruppen.
  7. Klicken Sie auf Benutze/Gruppe hinzufügen, wählen Sie die Benutzer und Gruppen aus, und klicken Sie auf die Schaltfläche Zuweisen.
  8. Warten Sie einige Minuten, und überprüfen Sie, ob die Benutzer und Gruppen in Ihrem Azure Databricks-Konto vorhanden sind.

Benutzer*innen und Gruppen, die Sie hinzufügen und zuweisen, werden automatisch für das Azure Databricks-Konto bereitgestellt, wenn Microsoft Entra ID die nächste Synchronisierung plant.

Hinweis

Wenn Sie eine*n Benutzer*in auf Kontoebene aus der SCIM-Anwendung entfernen, wird diese*r Benutzer*in im Konto und ihren/seinen Arbeitsbereichen deaktiviert, unabhängig davon, ob der Identitätsverbund aktiviert wurde oder nicht.

Bereitstellungstipps

  • Benutzer und Gruppen, die vor der Aktivierung der Bereitstellung im Azure Databricks-Arbeitsbereich vorhanden waren, zeigen bei der Bereitstellungssynchronisierung folgendes Verhalten:
    • Werden zusammengeführt, wenn sie auch in der Microsoft Entra ID vorhanden sind
    • Werden ignoriert, wenn sie nicht in der Microsoft Entra ID vorhanden sind
  • Individuell zugewiesene Benutzerberechtigungen, die durch die Mitgliedschaft in einer Gruppe dupliziert werden, bleiben auch dann erhalten, wenn die Gruppenmitgliedschaft für den Benutzer aufgehoben wird.
  • Benutzer, die direkt mithilfe der Seite „Administratoreinstellungen“ für Azure Databricks-Arbeitsbereiche aus einem Azure Databricks-Arbeitsbereich entfernt wurden:
    • Verlieren den Zugriff auf diesen Azure Databricks-Arbeitsbereich, haben aber möglicherweise weiterhin Zugriff auf andere Azure Databricks-Arbeitsbereiche.
    • Werden auch dann nicht erneut mithilfe der Microsoft Entra ID-Bereitstellung synchronisiert, wenn sie in der Unternehmensanwendung verbleiben.
  • Die erste Microsoft Entra ID-Synchronisierung wird sofort nach dem Aktivieren der Bereitstellung ausgelöst. Nachfolgende Synchronisierungen werden abhängig von der Anzahl der Benutzer und Gruppen in der Anwendung alle 20 bis 40 Minuten ausgelöst. Weitere Informationen finden Sie in der Microsoft Entra ID-Dokumentation im Zusammenfassungsbericht zur Bereitstellung.
  • Sie können den Benutzernamen oder die E-Mail-Adresse eines Azure Databricks-Arbeitsbereichsbenutzers nicht aktualisieren.
  • Die admins-Gruppe ist eine reservierte Gruppe in Azure Databricks und kann nicht entfernt werden.
  • Sie können die Azure Databricks-Gruppen-API oder die Gruppenbenutzeroberfläche verwenden, um eine Liste der Mitglieder einer beliebigen Azure Databricks-Arbeitsbereichsgruppe abzurufen.
  • Geschachtelte Gruppen oder Microsoft Entra ID-Dienstprinzipale aus der Anwendung Azure Databricks SCIM-Bereitstellungsconnector können nicht synchronisiert werden. Databricks empfiehlt die Verwendung der Unternehmensanwendung, um Benutzer und Gruppen zu synchronisieren und geschachtelte Gruppen und Dienstprinzipale in Azure Databricks zu verwalten. Sie können jedoch auch den Databricks Terraform-Anbieter oder benutzerdefinierte Skripte für die Azure Databricks SCIM-API verwenden, um geschachtelte Gruppen oder Microsoft Entra ID-Dienstprinzipale zu synchronisieren.
  • Aktualisierungen von Gruppennamen in Microsoft Entra ID werden nicht mit Azure Databricks synchronisiert.

(Optional) Automatisieren der SCIM-Bereitstellung mithilfe von Microsoft Graph

Microsoft Graph enthält Authentifizierungs- und Autorisierungsbibliotheken, die Sie in Ihre Anwendung integrieren können, um die Bereitstellung von Benutzern und Gruppen in Ihrem Azure Databricks-Konto oder Ihren Azure Databricks-Arbeitsbereichen zu automatisieren, anstatt eine SCIM-Bereitstellungsconnectoranwendung zu konfigurieren.

  1. Befolgen Sie die Anweisungen zum Registrieren einer Anwendung bei Microsoft Graph. Notieren Sie sich die Anwendungs-ID und die Mandanten-ID für die Anwendung.
  2. Navigieren Sie zur Seite „Übersicht“ der Anwendung. Auf dieser Seite:
    1. Konfigurieren Sie einen geheimen Clientschlüssel für die Anwendung, und notieren Sie sich das Geheimnis.
    2. Gewähren Sie der Anwendung diese Berechtigungen:
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Bitten Sie einen bzw. eine Microsoft Entra-ID-Administrator*in, Administratorzustimmung zu erteilen.
  4. Aktualisieren Sie den Code Ihrer Anwendung, um Unterstützung für Microsoft Graph hinzuzufügen.

Problembehandlung

Benutzer und Gruppen werden nicht synchronisiert

  • Wenn Sie die Azure Databricks SCIM-Bereitstellungsconnector-Anwendung verwenden:
    • Überprüfen Sie in der Kontokonsole, ob das Azure Databricks SCIM-Token, das zum Einrichten der Bereitstellung verwendet wurde, noch gültig ist.
  • Versuchen Sie nicht, geschachtelte Gruppen zu synchronisieren, die von der automatischen Microsoft Entra ID-Bereitstellung nicht unterstützt werden. Weitere Informationen finden Sie unter diesen häufig gestellten Fragen.

Microsoft Entra ID-Dienstprinzipale werden nicht synchronisiert

  • Die Anwendung Azure Databricks-SCIM-Bereitstellungsconnector unterstützt die Synchronisierung von Dienstprinzipalen nicht.

Nach der ersten Synchronisierung beenden die Benutzer und Gruppen die Synchronisierung

Bei Verwendung der Anwendung Azure Databricks SCIM-Bereitstellungsconnector: Nach der ersten Synchronisierung wird Microsoft Entra ID nicht sofort synchronisiert, nachdem Sie Zuweisungen von Benutzer*innen oder Gruppen geändert haben. Basierend auf der Anzahl von Benutzern und Gruppen wird nach einer Verzögerung eine Synchronisierung mit der Anwendung geplant. Wenn Sie eine sofortige Synchronisierung anfordern möchten, wechseln Sie zu Verwalten > Bereitstellung für die Unternehmensanwendung, und wählen Sie Aktuellen Status löschen und Synchronisierung neu starten aus.

IP-Adressbereich des Microsoft Entra ID-Bereitstellungsdiensts nicht zugänglich

Der Microsoft Entra ID-Bereitstellungsdienst verwendet bestimmte IP-Adressbereiche. Wenn Sie den Netzwerkzugriff einschränken müssen, müssen Sie Datenverkehr von den IP-Adressen für AzureActiveDirectory in dieser IP-Adressbereichdatei zulassen. Weitere Informationen finden Sie unter IP-Bereiche.