使用Microsoft Azure Active Directory配置SCIM配置

预览

此功能已在公共预览

本文介绍如何使用Azure Active Directory设置Databricks的供应。

可以在Databricks帐户级别或Databricks工作空间级别使用Azure Active Directory (Azure AD)设置对Databricks的配置。

Databricks用户使用其谷歌云身份帐户(或GSuite帐户)向帐户和工作区进行身份验证,请参见单点登录.如果使用Azure Active Directory将用户提供给帐户或工作空间,则该用户还必须具有谷歌云身份帐户才能进行身份验证。

需求

  • 您的Databricks帐户必须具有Databricks高级计划

  • 您必须是Azure Active Directory帐户的全局管理员。

  • Azure活动目录帐户必须是提供组的高级版帐户。提供用户可用于任何Azure Active Directory版本。

  • 要为您的Databricks帐户提供用户,您必须是Databricks帐户admin。

  • 要将用户分配到Databricks工作空间,您必须是Databricks工作空间管理员。

使用Azure活动目录(Azure AD)向Databricks帐户提供身份

您可以使用SCIM配置连接器将帐户级用户和组从Azure Active Directory (Azure AD)租户同步到Databricks。

步骤1:配置数据

  1. 以“Databricks”帐号admin登录账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

  4. 点击启用用户预置

复制SCIM令牌和Account SCIM URL。您将使用这些配置Azure AD应用程序。

步骤2:配置企业应用

这些说明告诉您如何在Azure门户中创建企业应用程序,并使用该应用程序进行配置。如果您有一个现有的企业应用程序,您可以将其修改为使用Microsoft Graph自动化SCIM供应.这样就不需要在Azure Portal中使用单独的配置应用程序。

按照以下步骤启用Azure AD将用户和组同步到Databricks帐户。此配置与您为将用户和组同步到工作区而创建的任何配置是分开的。

  1. 在Azure门户中,转到Azure活动目录>企业应用程序

  2. 点击+新应用以上是申请名单。下添加从图库中搜索并选择Azure Databricks SCIM供应连接器

  3. 输入一个的名字对于应用程序,单击添加

  4. 管理”菜单上,单击“供应

  5. 配置模式自动。

  6. 设置SCIM API端点URL到前面复制的Account SCIM URL。

  7. 秘密令牌到前面生成的Databricks SCIM令牌。

  8. 点击测试连接并等待确认凭据已被授权以启用供应的消息。

  9. 点击保存

步骤3:为应用程序分配用户和组

分配给SCIM应用程序的用户和组将被分配给Databricks帐户。如果您有现有的Databricks工作空间,Databricks建议您将这些工作空间中的所有现有用户和组添加到SCIM应用程序。

  1. 管理>供应

  2. 设置,设置范围只同步指定的用户和组.Databricks推荐这个选项,它只同步分配给企业应用程序的用户和组。

  3. 若要开始将Azure Active Directory用户和组同步到Databricks,请单击配置状态切换。

  4. 点击保存

  5. 管理>用户和组

  6. 添加一些用户和组。点击添加用户,选择用户和组,单击分配按钮。

  7. 等待几分钟,检查Databricks帐户中是否存在用户和组。

当Azure Active Directory计划下一次同步时,您添加和分配的用户和组将自动分配到Databricks帐户。

使用Azure Active Directory (Azure AD)向Databricks工作空间提供标识

在以下示例中,请使用replace< databricks-instance >工作空间的URL您的Databricks部署。

步骤1:创建企业应用程序并将其连接到Databricks SCIM API

要使用Azure Active Directory直接为Databricks工作空间设置供应,您需要为每个Databricks工作空间创建一个企业应用程序。

这些说明告诉您如何在Azure门户中创建企业应用程序,并使用该应用程序进行配置。如果您有一个现有的企业应用程序,您可以将其修改为使用Microsoft Graph自动化SCIM供应.这样就不需要在Azure Portal中使用单独的配置应用程序。

  1. 作为工作空间管理员,登录到Databricks工作空间。

  2. 生成一个个人访问令牌然后复制。您可以在后续步骤中将此令牌提供给Azure Active Directory。

    重要的

    生成这个令牌作为Databricks工作空间管理员不是由Azure Active Directory企业应用程序管理。如果使用Azure Active Directory取消了拥有个人访问令牌的Databricks管理用户的配置,则将禁用SCIM配置应用程序。

  3. 在Azure门户中,转到Azure活动目录>企业应用程序

  4. 点击+新应用以上是申请名单。下从图库中添加,搜索和选择Azure Databricks SCIM供应连接器

  5. 输入一个的名字对于应用程序,单击添加.使用一个能帮助管理员找到它的名字,比如<工作空间名称>配置

  6. 管理”菜单上,单击“供应

  7. 配置模式自动

  8. 输入SCIM API端点URL。附加/ api / 2.0 /预览/ scim到您的工作区URL:

    https//<-实例>/api/2.0/预览/scim

    取代< databricks-instance >工作空间的URL您的Databricks部署。看到获取工作区资产的标识符

  9. 秘密令牌到步骤1中生成的Databricks个人访问令牌。

  10. 点击测试连接并等待确认凭据已被授权以启用供应的消息。

  11. 可选地,输入通知电子邮件以接收有关SCIM配置的严重错误的通知。

  12. 点击保存

步骤2:为应用程序分配用户和组

  1. 管理>供应

  2. 在“设置”下,设置范围只同步指定的用户和组

    Databricks推荐这个选项,它只同步分配给企业应用程序的用户和组。

    请注意

    Azure Active Directory不支持向Databricks自动提供嵌套组。Azure Active Directory只能读取和分配为显式分配组的直接成员的用户。作为一种解决方法,显式地为包含需要提供的用户的组分配(或以其他方式分配)范围。有关更多信息,请参见这个常见问题解答

  3. 若要开始将Azure Active Directory用户和组同步到Databricks工作区,请单击配置状态切换。

  4. 点击保存

  5. 测试你的配置设置:

    1. 在Azure Databricks SCIM供应连接器中,转到管理>用户和组

    2. 添加一些用户和组。点击添加用户,选择用户和组,单击分配按钮。

    3. 等待几分钟,检查Databricks工作区中是否存在用户和组。

将来,当Azure Active Directory计划下一次同步时,将自动分配您添加和分配的用户和组。

重要的

不要分配使用个人访问令牌配置Azure Databricks SCIM供应连接器应用程序。

(可选)使用Microsoft Graph自动化SCIM配置

微软图包括身份验证和授权库,您可以将它们集成到应用程序中,以自动向Databricks帐户或工作区提供用户和组,而不是配置SCIM供应连接器应用程序。

  1. 遵循使用Microsoft Graph注册应用程序的说明.注意应用程序ID承租者ID对于应用程序

  2. 转到应用程序的Overview页面。在那一页上:

    1. 为应用程序配置客户端秘密,并记录该秘密。

    2. 授予应用程序以下权限:

      • Application.ReadWrite.All

      • Application.ReadWrite.OwnedBy

  3. 请Azure Active Directory管理员授予行政许可

  4. 将应用程序代码更新为增加对Microsoft Graph的支持

配置建议

  • 在启用配置之前存在于Databricks工作区中的用户和组在配置同步时表现出以下行为:

    • 如果它们也存在于Azure活动目录中,是否合并

    • 被忽略,如果他们不存在在Azure活动目录

  • 在删除用户的组成员资格后,单独分配并通过组成员资格复制的用户权限仍然保留。

  • 使用Databricks工作空间管理控制台直接从Databricks工作空间中删除的用户:

    • 失去对Databricks工作空间的访问,但仍然可以访问其他Databricks工作空间。

    • 即使它们仍然在企业应用程序中,也不会使用Azure Active Directory配置再次同步。

  • 初始Azure Active Directory同步在启用配置后立即触发。后续同步每20-40分钟触发一次,这取决于应用程序中的用户和组的数量。看到配置汇总报告在Azure Active Directory文档中。

  • 不能更新Databricks工作区用户的用户名或电子邮件地址。

  • 管理员group为“数据库”中的保留组,不可删除。

  • 不能在Databricks中重命名组;不要尝试在Azure活动目录中重命名它们。

  • 你可以使用数据库Groups API 2.0(遗留)或者是组织用户界面获取Databricks工作空间组的成员列表。

  • 中同步嵌套组或Azure Active Directory服务主体Azure Databricks SCIM供应连接器应用程序。Databricks建议您使用企业应用程序同步用户和组,并在Databricks中管理嵌套的组和服务主体。但是,您也可以使用Databricks Terraform提供商或自定义脚本,目标数据库SCIM API以便同步嵌套组或Azure Active Directory服务主体。

故障排除

用户和组不同步

  • 如果您正在使用Azure Databricks SCIM供应连接器应用程序:

    • 对于工作空间级的供应:在Databricks管理控制台中,验证Databricks用户的个人访问令牌正在被DatabricksAzure Databricks SCIM供应连接器应用程序仍然是Databricks中的工作区管理用户,令牌仍然有效。

    • 对于帐户级配置:在帐户控制台中验证用于设置配置的Databricks SCIM令牌仍然有效。

  • 不要尝试同步嵌套组,Azure Active Directory自动配置不支持这些嵌套组。有关更多信息,请参见这个常见问题解答

Azure Active Directory服务主体不同步

  • Azure Databricks SCIM供应连接器应用程序不支持同步服务主体。

初始同步完成后,用户和组停止同步

如果您正在使用Azure Databricks SCIM供应连接器应用程序:初始同步后,Azure Active Directory不会在更改用户或组分配后立即同步。它根据用户和组的数量,在延迟之后安排与应用程序的同步。如果需要立即同步,请转到管理>供应对于企业应用和选择清除当前状态,重新启动同步

Azure Active Directory发放服务IP范围不可访问

Azure Active Directory供应服务在特定的IP范围下运行。如果需要限制网络访问,必须允许来自IP地址的流量AzureActiveDirectory在这个IP范围文件.有关更多信息,请参见IP范围