配置SCIM配置使用Microsoft Azure Active Directory
预览
这个特性是在公共预览。
本文描述了如何设置配置使用Azure Active Directory砖。
你可以设置设置配置砖使用Azure Active Directory (Azure广告)砖帐户级别或砖工作区。
砖建议你提供用户、服务主体和组帐户级别和管理用户和组的分配在砖工作区。你的工作必须支持联合身份验证为了管理的分配用户工作区。如果你有任何工作空间不支持联合身份验证,您应继续提供用户,服务主体,直接和组工作区。
需求
你的砖账户必须有保费计划及以上。
你一定是一个全球Azure的Active Directory管理员帐户。
你Azure Active Directory账户必须是高级版账户提供组。提供用户对任何Azure Active Directory版本可用。
提供用户数据砖帐户,你必须是一个砖账户管理。
提供用户一个砖工作区,你必须是一个砖工作区管理。
提供身份砖账户使用Azure Active Directory (Azure广告)
你可以同步用户和组帐户级别从Azure Active Directory (Azure广告)租户使用SCIM砖供应连接器。
重要的
如果你已经有SCIM连接器直接用户和组同步到您的工作区联合身份验证和工作区被启用,您应该禁用这些SCIM连接器启用帐户级别SCIM连接器时。如果你有工作空间不支持联合身份验证,你应该继续使用任何SCIM连接器配置为工作区,运行在并行与帐户级别SCIM连接器。
设置。步骤2:配置企业应用程序
这些指令告诉你如何创建一个企业应用程序在Azure门户和使用应用程序配置。如果你有一个现有的企业应用程序中,您可以修改它自动化SCIM配置使用微软图。这消除了需要一个单独的配置应用程序在Azure门户。
按照以下步骤启用Azure广告同步砖帐户的用户和组。您已经创建了这个配置是独立于任何配置同步用户和组的工作区。
Azure门户中去Azure Active Directory >企业应用程序。
点击+新应用程序上面的应用程序列表。下添加从画廊,搜索和选择Azure砖SCIM配置连接器。
输入一个的名字为应用程序并单击添加。
下管理”菜单上,单击“供应。
集配置模式自动。
设置SCIM API端点URL的帐户SCIM URL复制。
集秘密令牌砖SCIM您先前生成的令牌。
点击测试连接,等待消息,确认凭证授权启用配置。
点击保存。
提供身份砖工作区使用Azure Active Directory (Azure广告)
如果你有任何工作空间不支持联合身份验证,你应该提供用户、服务主体和组直接与工作区。本节描述如何做到这一点。
在下面的例子中,替换< databricks-instance >与工作空间的URL你的砖部署。
步骤1:创建企业应用程序并将其连接到砖SCIM API
建立直接供应到砖工作区使用Azure Active Directory,你创建一个企业应用程序为每个砖工作区。
这些指令告诉你如何创建一个企业应用程序在Azure门户和使用应用程序配置。如果你有一个现有的企业应用程序中,您可以修改它自动化SCIM配置使用微软图。这消除了需要一个单独的配置应用程序在Azure门户。
工作区管理,登录到你的砖工作区。
生成一个个人访问令牌并将其复制。你提供这个令牌Azure Active Directory的后续步骤。
重要的
生成这个令牌作为一个砖工作区管理不是Azure活动目录管理的企业应用程序。如果砖admin用户拥有个人访问令牌使用Azure Active Directory,去除SCIM配置应用程序将被禁用。
Azure门户中去Azure Active Directory >企业应用程序。
点击+新应用程序上面的应用程序列表。下添加的画廊搜索和选择Azure砖SCIM配置连接器。
输入一个的名字为应用程序并单击添加。使用一个名称,将帮助管理员发现,
<工作空间名称>配置。下管理”菜单上,单击“供应。
集配置模式来自动。
进入SCIM API端点URL。附加
/ api / 2.0 /预览/ scim工作区网址:https:/ / <砖- - - - - -实例> /api/2.0/预览/scim
取代
< databricks-instance >与工作空间的URL你的砖部署。看到对工作空间资产的标识符。集秘密令牌砖的个人访问令牌,您在步骤1中生成的。
点击测试连接,等待消息,确认凭证授权启用配置。
可选地,输入一个通知邮件接收通知的关键与SCIM配置错误。
点击保存。
步骤2:将用户和组分配给应用程序
去管理>配置。
下设置,设置范围来只同步指定用户和组。
砖建议这个选项,这只同步用户和组分配给企业应用程序。
请注意
Azure Active Directory的自动配置不支持嵌套组砖。Azure Active Directory只能阅读和提供用户立即明确分配小组的成员。作为一个解决方案,明确分配(或范围)组包含用户的需要提供。有关更多信息,请参见这个常见问题解答。
开始同步Azure Active Directory用户和组的砖工作区,点击配置状态切换。
点击保存。
测试你的配置设置:
在Azure砖SCIM配置连接器,去管理>用户和组。
添加一些用户和组。点击添加用户,选择用户和组,然后单击分配按钮。
等待几分钟,检查用户和组存在于砖工作区。
在未来,用户和组,您添加和分配时自动配置Azure Active Directory下同步时间表。
重要的
不分配的砖工作区管理个人访问令牌是用来配置Azure砖SCIM配置连接器应用程序。
(可选)自动化SCIM配置使用微软图
微软图包含身份验证和授权库,您可以集成到您的应用程序自动化配置的用户和组给你的砖或工作区,而不是配置SCIM配置连接器应用程序。
遵循说明注册与微软应用程序图。记下的应用程序ID和承租者ID为应用程序
应用程序的概述页面。在这个页面:
配置客户端应用程序的秘密,并记下这个秘密。
这些权限授予应用程序:
Application.ReadWrite.AllApplication.ReadWrite.OwnedBy
问一个Azure Active Directory管理员格兰特管理员同意。
更新应用程序的代码添加对微软的支持图。
配置建议
砖工作区中的用户和组存在之前启用配置配置同步时的表现出以下行为:
合并在Azure Active Directory如果他们还存在吗
被忽略,如果他们在Azure活动目录不存在吗
用户权限分配单独并通过加入一组重复后仍为用户组成员被移除。
用户直接从砖工作区,使用砖工作区管理控制台:
失去砖的工作空间,但仍可能获得其他砖工作区。
将不会再次同步使用Azure Active Directory供应,即使他们仍然在企业应用程序。
最初的Azure Active Directory同步触发后立即启用配置。随后的同步触发每20 - 40分钟,这取决于应用程序中的用户和组的数量。看到提供总结报告在Azure Active Directory文档。
你不能更新一个砖工作空间的用户的用户名或电子邮件地址。
的
管理员组是一个保留组在砖和不能被删除。不能重命名组在砖;不要试图在Azure活动目录重命名它们。
您可以使用砖组API 2.0(遗留)或者是组织用户界面得到任何砖工作空间的组织成员的列表。
你不能同步嵌套组或Azure的活动目录服务主体Azure砖SCIM配置连接器应用程序。砖建议你使用enterpirse应用程序同步和管理用户和组嵌套砖内组织和服务主体。然而,您还可以使用砖起程拓殖的提供者或自定义脚本,目标的砖SCIM API为了同步嵌套组或Azure活动目录服务主体。
故障排除
用户和组不同步
如果您正在使用Azure砖SCIM配置连接器应用程序:
工作空间层配置:砖管理控制台,验证数据砖用户的个人正在使用的访问令牌Azure砖SCIM配置连接器应用程序仍然是一个工作区管理用户在砖和令牌仍然是有效的。
帐户级别配置:在帐户控制台验证砖SCIM令牌用于设置配置仍然是有效的。
不要试图同步嵌套组,由Azure Active Directory不支持自动配置。有关更多信息,请参见这个常见问题解答。