Synkronisera användare och grupper från Microsoft Entra ID

  • Artikel

Den här artikeln beskriver hur du konfigurerar din identitetsprovider (IdP) och Azure Databricks för att etablera användare och grupper till Azure Databricks med SCIM eller System for Cross-domain Identity Management, en öppen standard som gör att du kan automatisera användaretablering.

Om SCIM-etablering i Azure Databricks

MED SCIM kan du använda en IdP för att skapa användare i Azure Databricks, ge dem rätt åtkomstnivå och ta bort åtkomst (avetablera dem) när de lämnar organisationen eller inte längre behöver åtkomst till Azure Databricks.

Du kan använda en SCIM-etableringsanslutning i din IdP eller anropa SCIM-grupp-API:et för att hantera etablering. Du kan också använda dessa API:er för att hantera identiteter i Azure Databricks direkt, utan IdP.

SCIM-etablering på kontonivå och arbetsytenivå

Databricks rekommenderar att du använder SCIM-etablering på kontonivå för att skapa, uppdatera och ta bort alla användare från kontot. Du hanterar tilldelningen av användare och grupper till arbetsytor i Azure Databricks. Dina arbetsytor måste vara aktiverade för identitetsfederation för att hantera användarnas arbetsytetilldelningar.

SCIM-diagram på kontonivå

SCIM-etablering på arbetsytenivå är en äldre konfiguration som finns i offentlig förhandsversion. Om du redan har konfigurerat SCIM-etablering på arbetsytenivå för en arbetsyta rekommenderar Databricks att du aktiverar arbetsytan för identitetsfederation, konfigurerar SCIM-etablering på kontonivå och inaktiverar SCIM-etablering på arbetsytenivå. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå. Mer information om SCIM-etablering på arbetsytenivå finns i Etablera identiteter till en Azure Databricks-arbetsyta (äldre).

Krav

Så här etablerar du användare och grupper till Azure Databricks med SCIM:

  • Ditt Azure Databricks-konto måste ha Premium-planen.
  • Du måste vara administratör för Azure Databricks-kontot.

Du kan ha högst 10 000 kombinerade användare och tjänstens huvudnamn och 5 000 grupper i ett konto. Varje arbetsyta kan ha högst 10 000 kombinerade användare och tjänstens huvudnamn och 5 000 grupper.

Synkronisera användare och grupper till ditt Azure Databricks-konto

Du kan synkronisera identiteter på kontonivå från din Microsoft Entra ID-klientorganisation till Azure Databricks med hjälp av en SCIM-etableringsanslutning.

Viktigt!

Om du redan har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor måste du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Fullständiga instruktioner finns i Konfigurera SCIM-etablering med hjälp av Microsoft Entra ID (Azure Active Directory). När du har konfigurerat SCIM-etablering på kontonivå rekommenderar Databricks att du tillåter att alla användare i Microsoft Entra-ID får åtkomst till Azure Databricks-kontot. Se Aktivera alla Microsoft Entra-ID-användare för åtkomst till Azure Databricks.

Kommentar

När du tar bort en användare från SCIM-anslutningsappen på kontonivå inaktiveras användaren från kontot och alla deras arbetsytor, oavsett om identitetsfederation har aktiverats eller inte. När du tar bort en grupp från SCIM-anslutningsappen på kontonivå inaktiveras alla användare i den gruppen från kontot och från alla arbetsytor som de hade åtkomst till (om de inte är medlemmar i en annan grupp eller har beviljats direkt åtkomst till SCIM-anslutningsappen på kontonivå).

Rotera SCIM-token på kontonivå

Om SCIM-token på kontonivå komprometteras eller om du har affärskrav för att rotera autentiseringstoken med jämna mellanrum kan du rotera SCIM-token.

  1. Logga in på kontokonsolen som Azure Databricks-kontoadministratör.
  2. Klicka på Inställningar i sidopanelen.
  3. Klicka på Användaretablering.
  4. Klicka på Återskapa token. Anteckna den nya token. Den tidigare token fortsätter att fungera i 24 timmar.
  5. Inom 24 timmar uppdaterar du SCIM-programmet så att det använder den nya SCIM-token.

Migrera SCIM-etablering på arbetsytenivå till kontonivå

Om du aktiverar SCIM-etablering på kontonivå och du redan har konfigurerat SCIM-etablering på arbetsytenivå för vissa arbetsytor rekommenderar Databricks att du inaktiverar SCIM-etableringen på arbetsytenivå och i stället synkroniserar användare och grupper till kontonivån.

  1. Skapa en grupp i Microsoft Entra-ID som innehåller alla användare och grupper som du för närvarande etablerar till Azure Databricks med dina SCIM-anslutningsappar på arbetsytenivå.

    Databricks rekommenderar att den här gruppen inkluderar alla användare i alla arbetsytor i ditt konto.

  2. Konfigurera en ny SCIM-etableringsanslutningsapp för att etablera användare och grupper till ditt konto med hjälp av anvisningarna i Synkronisera användare och grupper till ditt Azure Databricks-konto.

    Använd den grupp eller de grupper som du skapade i steg 1. Om du lägger till en användare som delar ett användarnamn (e-postadress) med en befintlig kontoanvändare slås dessa användare samman. Befintliga grupper i kontot påverkas inte.

  3. Bekräfta att den nya SCIM-etableringsanslutningsappen etablerar användare och grupper till ditt konto.

  4. Stäng av de gamla SCIM-anslutningsapparna på arbetsytenivå som etablerade användare och grupper till dina arbetsytor.

    Ta inte bort användare och grupper från SCIM-anslutningsapparna på arbetsytenivå innan du stänger av dem. Om du återkallar åtkomst från en SCIM-anslutningsapp inaktiveras användaren på Azure Databricks-arbetsytan. Mer information finns i Inaktivera en användare på din Azure Databricks-arbetsyta.

  5. Migrera lokala arbetsytegrupper till kontogrupper.

    Om du har äldre grupper på dina arbetsytor kallas de för arbetsytelokala grupper. Du kan inte hantera lokala arbetsytegrupper med hjälp av gränssnitt på kontonivå. Databricks rekommenderar att du konverterar dem till kontogrupper. Se Migrera lokala arbetsytegrupper till kontogrupper