使用Microsoft Azure Active Directory配置SCIM配置
预览
此功能已在公共预览.
本文介绍如何使用Azure Active Directory设置Databricks的供应。
可以在Databricks帐户级别或Databricks工作空间级别使用Azure Active Directory (Azure AD)设置对Databricks的配置。
Databricks用户使用其谷歌云身份帐户(或GSuite帐户)向帐户和工作区进行身份验证,请参见单点登录.如果使用Azure Active Directory将用户提供给帐户或工作空间,则该用户还必须具有谷歌云身份帐户才能进行身份验证。
需求
您的Databricks帐户必须具有Databricks高级计划.
您必须是Azure Active Directory帐户的全局管理员。
Azure活动目录帐户必须是提供组的高级版帐户。提供用户可用于任何Azure Active Directory版本。
要为您的Databricks帐户提供用户,您必须是Databricks帐户admin。
要将用户分配到Databricks工作空间,您必须是Databricks工作空间管理员。
使用Azure活动目录(Azure AD)向Databricks帐户提供身份
您可以使用SCIM配置连接器将帐户级用户和组从Azure Active Directory (Azure AD)租户同步到Databricks。
步骤1:配置数据
以“Databricks”帐号admin登录账户控制台.
点击设置.
点击用户配置.
点击启用用户预置.
复制SCIM令牌和Account SCIM URL。您将使用这些配置Azure AD应用程序。
步骤2:配置企业应用
这些说明告诉您如何在Azure门户中创建企业应用程序,并使用该应用程序进行配置。如果您有一个现有的企业应用程序,您可以将其修改为使用Microsoft Graph自动化SCIM供应.这样就不需要在Azure Portal中使用单独的配置应用程序。
按照以下步骤启用Azure AD将用户和组同步到Databricks帐户。此配置与您为将用户和组同步到工作区而创建的任何配置是分开的。
在Azure门户中,转到Azure活动目录>企业应用程序.
点击+新应用以上是申请名单。下添加从图库中搜索并选择Azure Databricks SCIM供应连接器.
输入一个的名字对于应用程序,单击添加.
下管理”菜单上,单击“供应.
集配置模式自动。
设置SCIM API端点URL到前面复制的Account SCIM URL。
集秘密令牌到前面生成的Databricks SCIM令牌。
点击测试连接并等待确认凭据已被授权以启用供应的消息。
点击保存.
步骤3:为应用程序分配用户和组
分配给SCIM应用程序的用户和组将被分配给Databricks帐户。如果您有现有的Databricks工作空间,Databricks建议您将这些工作空间中的所有现有用户和组添加到SCIM应用程序。
去管理>供应.
下设置,设置范围来只同步指定的用户和组.Databricks推荐这个选项,它只同步分配给企业应用程序的用户和组。
若要开始将Azure Active Directory用户和组同步到Databricks,请单击配置状态切换。
点击保存.
去管理>用户和组.
添加一些用户和组。点击添加用户,选择用户和组,单击分配按钮。
等待几分钟,检查Databricks帐户中是否存在用户和组。
当Azure Active Directory计划下一次同步时,您添加和分配的用户和组将自动分配到Databricks帐户。
使用Azure Active Directory (Azure AD)向Databricks工作空间提供标识
在以下示例中,请使用replace< databricks-instance >
与工作空间的URL您的Databricks部署。
步骤1:创建企业应用程序并将其连接到Databricks SCIM API
要使用Azure Active Directory直接为Databricks工作空间设置供应,您需要为每个Databricks工作空间创建一个企业应用程序。
这些说明告诉您如何在Azure门户中创建企业应用程序,并使用该应用程序进行配置。如果您有一个现有的企业应用程序,您可以将其修改为使用Microsoft Graph自动化SCIM供应.这样就不需要在Azure Portal中使用单独的配置应用程序。
作为工作空间管理员,登录到Databricks工作空间。
生成一个个人访问令牌然后复制。您可以在后续步骤中将此令牌提供给Azure Active Directory。
重要的
生成这个令牌作为Databricks工作空间管理员不是由Azure Active Directory企业应用程序管理。如果使用Azure Active Directory取消了拥有个人访问令牌的Databricks管理用户的配置,则将禁用SCIM配置应用程序。
在Azure门户中,转到Azure活动目录>企业应用程序.
点击+新应用以上是申请名单。下从图库中添加,搜索和选择Azure Databricks SCIM供应连接器.
输入一个的名字对于应用程序,单击添加.使用一个能帮助管理员找到它的名字,比如
<工作空间名称>配置
.下管理”菜单上,单击“供应.
集配置模式来自动.
输入SCIM API端点URL。附加
/ api / 2.0 /预览/ scim
到您的工作区URL:https://<砖-实例>/api/2.0/预览/scim
取代
< databricks-instance >
与工作空间的URL您的Databricks部署。看到获取工作区资产的标识符.集秘密令牌到步骤1中生成的Databricks个人访问令牌。
点击测试连接并等待确认凭据已被授权以启用供应的消息。
可选地,输入通知电子邮件以接收有关SCIM配置的严重错误的通知。
点击保存.
步骤2:为应用程序分配用户和组
去管理>供应.
在“设置”下,设置范围来只同步指定的用户和组.
Databricks推荐这个选项,它只同步分配给企业应用程序的用户和组。
请注意
Azure Active Directory不支持向Databricks自动提供嵌套组。Azure Active Directory只能读取和分配为显式分配组的直接成员的用户。作为一种解决方法,显式地为包含需要提供的用户的组分配(或以其他方式分配)范围。有关更多信息,请参见这个常见问题解答.
若要开始将Azure Active Directory用户和组同步到Databricks工作区,请单击配置状态切换。
点击保存.
测试你的配置设置:
在Azure Databricks SCIM供应连接器中,转到管理>用户和组.
添加一些用户和组。点击添加用户,选择用户和组,单击分配按钮。
等待几分钟,检查Databricks工作区中是否存在用户和组。
将来,当Azure Active Directory计划下一次同步时,将自动分配您添加和分配的用户和组。
重要的
不要分配使用个人访问令牌配置Azure Databricks SCIM供应连接器应用程序。
(可选)使用Microsoft Graph自动化SCIM配置
微软图包括身份验证和授权库,您可以将它们集成到应用程序中,以自动向Databricks帐户或工作区提供用户和组,而不是配置SCIM供应连接器应用程序。
遵循使用Microsoft Graph注册应用程序的说明.注意应用程序ID和承租者ID对于应用程序
转到应用程序的Overview页面。在那一页上:
为应用程序配置客户端秘密,并记录该秘密。
授予应用程序以下权限:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
请Azure Active Directory管理员授予行政许可.
将应用程序代码更新为增加对Microsoft Graph的支持.
配置建议
在启用配置之前存在于Databricks工作区中的用户和组在配置同步时表现出以下行为:
如果它们也存在于Azure活动目录中,是否合并
被忽略,如果他们不存在在Azure活动目录
在删除用户的组成员资格后,单独分配并通过组成员资格复制的用户权限仍然保留。
使用Databricks工作空间管理控制台直接从Databricks工作空间中删除的用户:
失去对Databricks工作空间的访问,但仍然可以访问其他Databricks工作空间。
即使它们仍然在企业应用程序中,也不会使用Azure Active Directory配置再次同步。
初始Azure Active Directory同步在启用配置后立即触发。后续同步每20-40分钟触发一次,这取决于应用程序中的用户和组的数量。看到配置汇总报告在Azure Active Directory文档中。
不能更新Databricks工作区用户的用户名或电子邮件地址。
的
管理员
group为“数据库”中的保留组,不可删除。不能在Databricks中重命名组;不要尝试在Azure活动目录中重命名它们。
你可以使用数据库Groups API 2.0(遗留)或者是组织用户界面获取Databricks工作空间组的成员列表。
中同步嵌套组或Azure Active Directory服务主体Azure Databricks SCIM供应连接器应用程序。Databricks建议您使用企业应用程序同步用户和组,并在Databricks中管理嵌套的组和服务主体。但是,您也可以使用Databricks Terraform提供商或自定义脚本,目标数据库SCIM API以便同步嵌套组或Azure Active Directory服务主体。
故障排除
用户和组不同步
如果您正在使用Azure Databricks SCIM供应连接器应用程序:
对于工作空间级的供应:在Databricks管理控制台中,验证Databricks用户的个人访问令牌正在被DatabricksAzure Databricks SCIM供应连接器应用程序仍然是Databricks中的工作区管理用户,令牌仍然有效。
对于帐户级配置:在帐户控制台中验证用于设置配置的Databricks SCIM令牌仍然有效。
不要尝试同步嵌套组,Azure Active Directory自动配置不支持这些嵌套组。有关更多信息,请参见这个常见问题解答.