Microsoft Entra Id (Azure Active Directory) kullanarak SCIM sağlamayı yapılandırma
Bu makalede, Microsoft Entra Id kullanılarak Azure Databricks hesabına sağlamanın nasıl ayarlanacağı açıklanmaktadır.
Databricks, hesap düzeyine kullanıcı, hizmet sorumlusu ve grup sağlamanızı ve Azure Databricks içindeki çalışma alanlarına kullanıcı ve grup atamasını yönetmenizi önerir. Kullanıcıların çalışma alanlarına atanmalarını yönetmek için çalışma alanlarınızın kimlik federasyonu için etkinleştirilmesi gerekir.
Not
Sağlamanın yapılandırılma şekli, Azure Databricks çalışma alanları veya hesapları için kimlik doğrulamasını ve koşullu erişimi yapılandırmaktan tamamen ayrıdır. Azure Databricks için kimlik doğrulaması, OpenID Connect protokol akışı kullanılarak Microsoft Entra ID tarafından otomatik olarak işlenir. Çok faktörlü kimlik doğrulaması gerektirecek kurallar oluşturmanıza veya yerel ağlarda oturum açma işlemlerini hizmet düzeyinde kısıtlamanıza olanak tanıyan koşullu erişimi yapılandırabilirsiniz.
Microsoft Entra Id kullanarak Azure Databricks hesabınıza kimlik sağlama
Hesap düzeyindeki kullanıcıları ve grupları Bir SCIM sağlama bağlayıcısı kullanarak Microsoft Entra ID kiracınızdan Azure Databricks'e eşitleyebilirsiniz.
Önemli
Kimlikleri doğrudan çalışma alanlarınızla eşitleyen SCIM bağlayıcılarınız zaten varsa, hesap düzeyi SCIM bağlayıcısı etkinleştirildiğinde bu SCIM bağlayıcılarını devre dışı bırakmanız gerekir. Bkz . Çalışma alanı düzeyinde SCIM sağlamayı hesap düzeyine geçirme.
Gereksinim -leri
- Azure Databricks hesabınızın Premium planı olmalıdır.
- Microsoft Entra Id'de Bulut Uygulaması Yöneticisi rolüne sahip olmanız gerekir.
- Microsoft Entra Id hesabınızın grupları sağlamak için bir Premium sürüm hesabı olması gerekir. Kullanıcıları sağlama, herhangi bir Microsoft Entra ID sürümünde kullanılabilir.
- Azure Databricks hesap yöneticisi olmanız gerekir.
Not
Hesap konsolunu etkinleştirmek ve ilk hesap yöneticinizi oluşturmak için bkz . İlk hesap yöneticinizi oluşturma.
1. Adım: Azure Databricks'i yapılandırma
- Azure Databricks hesap yöneticisi olarak Azure Databricks hesap konsolunda oturum açın.
- Ayarlar'a tıklayın .
- Kullanıcı Sağlama'ya tıklayın.
- Kullanıcı sağlamayı ayarla'ya tıklayın.
SCIM belirtecini ve Hesap SCIM URL'sini kopyalayın. Microsoft Entra Id uygulamanızı yapılandırmak için bunları kullanacaksınız.
Not
SCIM belirteci Hesap SCIM API'sine /api/2.1/accounts/{account_id}/scim/v2/
sınırlıdır ve diğer Databricks REST API'lerinde kimlik doğrulaması yapmak için kullanılamaz.
2. Adım: Kurumsal uygulamayı yapılandırma
Bu yönergeler, Azure portalında kurumsal uygulama oluşturma ve bu uygulamayı sağlama için kullanma hakkında bilgi sağlar. Mevcut bir kurumsal uygulamanız varsa, Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirmek için uygulamayı değiştirebilirsiniz. Bu, Azure Portal'da ayrı bir sağlama uygulaması gereksinimini ortadan kaldırır.
Microsoft Entra Id'nin kullanıcıları ve grupları Azure Databricks hesabınızla eşitlemesini sağlamak için bu adımları izleyin. Bu yapılandırma, kullanıcıları ve grupları çalışma alanlarıyla eşitlemek için oluşturduğunuz tüm yapılandırmalardan ayrıdır.
- Azure portalınızda Microsoft Entra ID > Enterprise Applications'a gidin.
- Uygulama listesinin üst kısmındaki + Yeni Uygulama'ya tıklayın. Galeriden ekle'nin altında Azure Databricks SCIM Sağlama Bağlayıcısı'nı arayın ve seçin.
- Uygulama için bir Ad girin ve Ekle'ye tıklayın.
- Yönet menüsünün altında Sağlama'ya tıklayın.
- Sağlama Modu'nu Otomatik olarak ayarlayın.
- SCIM API uç noktası URL'sini daha önce kopyaladığınız Hesap SCIM URL'si olarak ayarlayın.
- Gizli Dizi Belirteci'ni daha önce oluşturduğunuz Azure Databricks SCIM belirtecine ayarlayın.
- Bağlantıyı Sına'ya tıklayın ve kimlik bilgilerinin sağlamayı etkinleştirme yetkisi olduğunu onaylayan iletiyi bekleyin.
- Kaydet'e tıklayın.
3. Adım: Uygulamaya kullanıcı ve grup atama
SCIM uygulamasına atanan kullanıcılar ve gruplar Azure Databricks hesabına sağlanacaktır. Mevcut Azure Databricks çalışma alanlarınız varsa Databricks, bu çalışma alanlarındaki tüm mevcut kullanıcıları ve grupları SCIM uygulamasına eklemenizi önerir.
Not
Microsoft Entra Id, hizmet sorumlularının Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Azure Databricks hesabınıza hizmet sorumlularını hesabınızdaki hizmet sorumlularını yönet'i izleyerek ekleyebilirsiniz.
Microsoft Entra Id, iç içe grupların Azure Databricks'e otomatik olarak sağlanmasını desteklemez. Microsoft Entra Id yalnızca açıkça atanan grubun hemen üyesi olan kullanıcıları okuyabilir ve sağlayabilir. Geçici bir çözüm olarak, sağlanması gereken kullanıcıları içeren grupları açıkça atayın (veya içinde başka bir kapsam belirleyin). Daha fazla bilgi için bu SSS bölümüne bakın.
- Özellikleri Yönet'e > gidin.
- Atama gerekli seçeneğini Hayır olarak ayarlayın. Databricks, tüm kullanıcıların Azure Databricks hesabında oturum açmasına olanak tanıyan bu seçeneği önerir.
- Sağlamayı Yönet'e > gidin.
- Microsoft Entra ID kullanıcılarını ve gruplarını Azure Databricks ile eşitlemeye başlamak için Sağlama Durumu iki durumlu düğmesini Açık olarak ayarlayın.
- Kaydet'e tıklayın.
- Kullanıcıları ve grupları yönet'e > gidin.
- Kullanıcı/grup ekle'ye tıklayın, kullanıcıları ve grupları seçin ve Ata düğmesine tıklayın.
- Birkaç dakika bekleyin ve kullanıcıların ve grupların Azure Databricks hesabınızda mevcut olup olmadığını denetleyin.
Ekleyip atadığınız kullanıcılar ve gruplar, Microsoft Entra Id bir sonraki eşitlemeyi zamanladığında Azure Databricks hesabına otomatik olarak sağlanır.
Not
Bir kullanıcıyı hesap düzeyi SCIM uygulamasından kaldırırsanız, kimlik federasyonunun etkinleştirilip etkinleştirilmediğine bakılmaksızın bu kullanıcı hesaptan ve çalışma alanlarından devre dışı bırakılır.
Sağlama ipuçları
- Sağlamayı etkinleştirmeden önce Azure Databricks çalışma alanında bulunan kullanıcılar ve gruplar, sağlama eşitlemesi sırasında aşağıdaki davranışı gösterir:
- Microsoft Entra Id'de de varsa birleştirilir
- Microsoft Entra Id'de yoksayılır
- Bir gruptaki üyelik tarafından çoğaltılan tek tek atanan kullanıcı izinleri, kullanıcı için grup üyeliği kaldırıldıktan sonra bile kalır.
- Azure Databricks çalışma alanı yönetici ayarları sayfasını kullanarak doğrudan Azure Databricks çalışma alanından kaldırılan kullanıcılar:
- Bu Azure Databricks çalışma alanına erişimi kaybedersiniz, ancak diğer Azure Databricks çalışma alanlarına erişmeye devam edebilir.
- Kurumsal uygulamada kalsalar bile Microsoft Entra Id sağlama kullanılarak yeniden eşitlenmez.
- İlk Microsoft Entra Id eşitlemesi, sağlamayı etkinleştirdikten hemen sonra tetiklenir. Sonraki eşitlemeler, uygulamadaki kullanıcı ve grup sayısına bağlı olarak her 20-40 dakikada bir tetiklenir. Microsoft Entra Id belgelerindeki Sağlama özeti raporuna bakın.
- Azure Databricks çalışma alanı kullanıcısının kullanıcı adını veya e-posta adresini güncelleştiremezsiniz.
- Grup
admins
, Azure Databricks'te ayrılmış bir grup olup kaldırılamaz. - Herhangi bir Azure Databricks çalışma alanı grubunun üyelerinin listesini almak için Azure Databricks Groups API'sini veya Gruplar kullanıcı arabirimini kullanabilirsiniz.
- Azure Databricks SCIM Sağlama Bağlayıcısı uygulamasından iç içe grupları veya Microsoft Entra ID hizmet sorumlularını eşitleyemezsiniz. Databricks, kullanıcıları ve grupları eşitlemek ve Azure Databricks içinde iç içe grupları ve hizmet sorumlularını yönetmek için kurumsal uygulamanın kullanılmasını önerir. Ancak iç içe grupları veya Microsoft Entra ID hizmet sorumlularını eşitlemek için Databricks Terraform sağlayıcısını veya Azure Databricks SCIM API'sini hedefleyen özel betikleri de kullanabilirsiniz.
- Microsoft Entra Id'deki grup adlarında yapılan güncelleştirmeler Azure Databricks ile eşitlenmez.
(İsteğe bağlı) Microsoft Graph kullanarak SCIM sağlamayı otomatikleştirme
Microsoft Graph , SCIM sağlama bağlayıcısı uygulaması yapılandırmak yerine Azure Databricks hesabınıza veya çalışma alanlarınıza kullanıcı ve grup sağlamayı otomatikleştirmek için uygulamanızla tümleştirebileceğiniz kimlik doğrulama ve yetkilendirme kitaplıkları içerir.
- Bir uygulamayı Microsoft Graph'e kaydetme yönergelerini izleyin. Uygulamanın Uygulama Kimliğini ve Kiracı Kimliğini not edin
- Uygulamaların Genel Bakış sayfasına gidin. Bu sayfada:
- Uygulama için bir istemci gizli dizisi yapılandırın ve gizli diziyi not edin.
- Uygulamaya şu izinleri verin:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
- Bir Microsoft Entra ID yöneticisine yönetici onayı vermesini isteyin.
- Microsoft Graph desteği eklemek için uygulamanızın kodunu güncelleştirin.
Sorun giderme
Kullanıcılar ve gruplar eşitlenmiyor
- Azure Databricks SCIM Sağlama Bağlayıcısı uygulamasını kullanıyorsanız:
- Hesap konsolunda, sağlamayı ayarlamak için kullanılan Azure Databricks SCIM belirtecinin hala geçerli olduğunu doğrulayın.
- Microsoft Entra Id otomatik sağlama tarafından desteklenmeyen iç içe grupları eşitlemeyi denemeyin. Daha fazla bilgi için bu SSS bölümüne bakın.
Microsoft Entra ID hizmet sorumluları eşitlenmiyor
- Azure Databricks SCIM Sağlama Bağlayıcısı uygulaması, hizmet sorumlularının eşitlenmesini desteklemez.
İlk eşitlemeden sonra kullanıcılar ve gruplar eşitlemeyi durduruyor
Azure Databricks SCIM Sağlama Bağlayıcısı uygulamasını kullanıyorsanız: İlk eşitlemeden sonra, kullanıcı veya grup atamalarını değiştirdikten hemen sonra Microsoft Entra Id eşitlenmez. Kullanıcı ve grup sayısına göre, bir gecikmeden sonra, uygulamayla eşitleme zamanlar. Anında eşitleme istemek için Kurumsal uygulama için Sağlamayı Yönet'e > gidin ve Geçerli durumu temizle ve eşitlemeyi yeniden başlat'ı seçin.
Microsoft Entra ID sağlama hizmeti IP aralığı erişilebilir değil
Microsoft Entra Id sağlama hizmeti belirli IP aralıkları altında çalışır. Ağ erişimini kısıtlamanız gerekiyorsa, bu IP aralığı dosyasındaki IP adreslerinden gelen trafiğe AzureActiveDirectory
izin vermeniz gerekir. Daha fazla bilgi için, bkz. IP Aralıkları.