Sincronizzare utenti e gruppi da Microsoft Entra ID

Questo articolo descrive come configurare il provider di identità (IdP) e Azure Databricks per effettuare il provisioning di utenti e gruppi in Azure Databricks usando SCIM o System for Cross-domain Identity Management, uno standard aperto che consente di automatizzare il provisioning degli utenti.

Informazioni sul provisioning SCIM in Azure Databricks

SCIM consente di usare un IdP per creare utenti in Azure Databricks, concedere loro il livello di accesso appropriato e rimuovere l'accesso (effettuarne il deprovisioning) quando lasciano l'organizzazione o non hanno più bisogno dell'accesso ad Azure Databricks.

È possibile usare un connettore di provisioning SCIM nel provider di identità o richiamare l'API gruppi SCIM per gestire il provisioning. È anche possibile usare queste API per gestire direttamente le identità in Azure Databricks, senza un IdP.

Provisioning SCIM a livello di account e a livello di area di lavoro

Databricks consiglia di usare il provisioning SCIM a livello di account per creare, aggiornare ed eliminare tutti gli utenti dall'account. È possibile gestire l'assegnazione di utenti e gruppi alle aree di lavoro all'interno di Azure Databricks. Le aree di lavoro devono essere abilitate per la federazione delle identità per gestire le assegnazioni delle aree di lavoro degli utenti.

Diagramma SCIM a livello di account

Il provisioning SCIM a livello di area di lavoro è una configurazione legacy disponibile in anteprima pubblica. Se è già stato configurato il provisioning SCIM a livello di area di lavoro per un'area di lavoro, Databricks consiglia di abilitare l'area di lavoro per la federazione delle identità, configurare il provisioning SCIM a livello di account e disattivare il provisioner SCIM a livello di area di lavoro. Vedere Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account. Per altre informazioni sul provisioning SCIM a livello di area di lavoro, vedere Effettuare il provisioning delle identità in un'area di lavoro di Azure Databricks (legacy).

Requisiti

Per effettuare il provisioning di utenti e gruppi in Azure Databricks usando SCIM:

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario essere un amministratore dell'account Azure Databricks.

È possibile avere un massimo di 10.000 utenti combinati e entità servizio e 5000 gruppi in un account. Ogni area di lavoro può avere un massimo di 10.000 utenti combinati e entità servizio e 5000 gruppi.

Sincronizzare utenti e gruppi con l'account Azure Databricks

È possibile sincronizzare le identità a livello di account dal tenant di Microsoft Entra ID ad Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Vedere Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account.

Per istruzioni complete, vedere Configurare il provisioning SCIM usando Microsoft Entra ID (Azure Active Directory). Dopo aver configurato il provisioning SCIM a livello di account, Databricks consiglia di consentire a tutti gli utenti di Microsoft Entra ID di accedere all'account Azure Databricks. Vedere Abilitare tutti gli utenti di Microsoft Entra ID per accedere ad Azure Databricks.

Nota

Quando si rimuove un utente dal connettore SCIM a livello di account, tale utente viene disattivato dall'account e da tutte le aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. Quando si rimuove un gruppo dal connettore SCIM a livello di account, tutti gli utenti di tale gruppo vengono disattivati dall'account e da qualsiasi area di lavoro a cui hanno avuto accesso( a meno che non siano membri di un altro gruppo o siano stati concessi direttamente l'accesso al connettore SCIM a livello di account).

Ruotare il token SCIM a livello di account

Se il token SCIM a livello di account viene compromesso o se si hanno requisiti aziendali per ruotare periodicamente i token di autenticazione, è possibile ruotare il token SCIM.

  1. Come amministratore dell'account Azure Databricks, accedere alla console dell'account.
  2. Nella barra laterale fare clic su Impostazioni.
  3. Fare clic su Provisioning utenti.
  4. Fare clic su Rigenera token. Prendere nota del nuovo token. Il token precedente continuerà a funzionare per 24 ore.
  5. Entro 24 ore aggiornare l'applicazione SCIM per usare il nuovo token SCIM.

Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account

Se si abilita il provisioning SCIM a livello di account ed è già stato configurato il provisioning SCIM a livello di area di lavoro per alcune aree di lavoro, Databricks consiglia di disattivare il provisioner SCIM a livello di area di lavoro e di sincronizzare utenti e gruppi a livello di account.

  1. Creare un gruppo in Microsoft Entra ID che includa tutti gli utenti e i gruppi di cui si sta eseguendo il provisioning in Azure Databricks usando i connettori SCIM a livello di area di lavoro.

    Databricks consiglia di includere tutti gli utenti in tutte le aree di lavoro nell'account.

  2. Configurare un nuovo connettore di provisioning SCIM per effettuare il provisioning di utenti e gruppi nell'account, seguendo le istruzioni riportate in Sincronizzare utenti e gruppi con l'account Azure Databricks.

    Usare il gruppo o i gruppi creati nel passaggio 1. Se si aggiunge un utente che condivide un nome utente (indirizzo di posta elettronica) con un utente di account esistente, tali utenti vengono uniti. I gruppi esistenti nell'account non sono interessati.

  3. Verificare che il nuovo connettore di provisioning SCIM stia effettuando correttamente il provisioning di utenti e gruppi nell'account.

  4. Arrestare i connettori SCIM a livello di area di lavoro precedenti di cui è stato effettuato il provisioning di utenti e gruppi nelle aree di lavoro.

    Non rimuovere utenti e gruppi dai connettori SCIM a livello di area di lavoro prima di arrestarli. La revoca dell'accesso da un connettore SCIM disattiva l'utente nell'area di lavoro di Azure Databricks. Per altre informazioni, vedere Disattivare un utente nell'area di lavoro di Azure Databricks.

  5. Eseguire la migrazione dei gruppi locali dell'area di lavoro ai gruppi di account.

    Se sono presenti gruppi legacy nelle aree di lavoro, sono noti come gruppi locali dell'area di lavoro. Non è possibile gestire gruppi locali dell'area di lavoro usando interfacce a livello di account. Databricks consiglia di convertirli in gruppi di account. Vedere Eseguire la migrazione di gruppi locali dell'area di lavoro a gruppi di account