从 Microsoft Entra ID 同步用户和组

  • 项目

本文介绍如何配置标识提供者 (IdP) 和 Azure Databricks,以使用 SCIM(跨域身份管理系统,一种可用于将用户预配过程自动化的开放标准)为 Azure Databricks 预配用户和组。

关于 Azure Databricks 中的 SCIM 预配

借助 SCIM,你可使用标识提供者 (IdP) 在 Azure Databricks 中创建用户,并为他们提供适当的访问级别,当他们离开你的组织或不再需要访问 Azure Databricks 时,你还可移除他们的访问权限(对其取消预配)。

可以在 IdP 中使用 SCIM 预配连接器,或调用 SCIM 组 API 来管理预配。 还可以使用这些 API 直接管理 Azure Databricks 中的标识,而无需 IdP。

帐户级和工作区级 SCIM 预配

可以使用帐户级 SCIM 预配配置一个从 Microsoft Entra ID 连接到 Azure Databricks 帐户的 SCIM 预配连接器,也可以使用工作区级 SCIM 预配配置可以连接到每个工作区的单独 SCIM 预配连接器。

  • 帐户级 SCIM 预配:Databricks 建议使用帐户级 SCIM 预配来创建、更新和删除帐户中的所有用户。 由你管理将用户和组分配到 Azure Databricks 中的工作区的操作。 工作区必须已启用联合身份验证才能管理用户的工作区分配。

帐户级 SCIM 示意图

  • 工作区级 SCIM 预配(旧版和公共预览版):对于启用了联合身份验证的工作区,必须并行管理帐户级和工作区级 SCIM 预配。 对于启用了联合身份验证的任何工作区,不需要工作区级 SCIM 预配。

    如果已为工作区设置了工作区级 SCIM 预配,Databricks 建议为工作区启用联合身份验证、设置帐户级 SCIM 预配,并关闭工作区级 SCIM 预配程序。 请参阅将工作区级 SCIM 预配迁移到帐户级别

要求

使用 SCIM 将用户和组预配到 Azure Databricks:

  • Azure Databricks 帐户必须具有高级计划
  • 若要使用 SCIM(包括 SCIM REST API)将用户预配到 Azure Databricks 帐户,你必须是 Azure Databricks 帐户管理员。
  • 若要使用 SCIM(包括 SCIM REST API)将用户预配到 Azure Databricks 工作区,你必须是 Azure Databricks 工作区管理员。

有关管理员权限的详细信息,请参阅管理用户、服务主体和组

帐户中最多可以包含 10,000 个组合用户和服务主体以及 5000 个组。 每个工作区最多可以包含 10,000 个组合用户和服务主体以及 5000 个组。

将标识预配到 Azure Databricks 帐户

借助 SCIM,可以使用 SCIM 预配连接器或直接使用 SCIM API 将用户和组从 Microsoft Entra ID 预配到 Azure Databricks 帐户。

使用 SCIM API 将用户、服务主体和组添加到帐户

帐户管理员可以使用帐户 SCIM API 将用户、服务主体和组添加到 Azure Databricks 帐户。 帐户管理员在 accounts.databricks.azure.cn ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) 中调用 API,并可使用 SCIM 令牌验证身份。

注意

SCIM 令牌仅限于帐户 SCIM API /api/2.0/accounts/{account_id}/scim/v2/,不能用于向其他 Databricks REST API 进行身份验证。

若要获取 SCIM 令牌,请执行以下操作:

  1. 作为帐户管理员,登录到帐户控制台

  2. 在边栏中,单击“设置”。

  3. 单击“用户预配”。

    如果未启用预配,请单击“启用用户预配”并复制令牌。

    如果已启用预配,请单击“重新生成令牌”并复制令牌。

工作区管理员可以使用相同的 API 添加用户和服务主体。 工作区管理员在工作区域 {workspace-domain}/api/2.0/account/scim/v2/ 中调用 API。

轮换帐户级 SCIM 令牌

如果帐户级 SCIM 令牌已泄露,或者有定期轮换身份验证令牌的业务要求,则可以轮换 SCIM 令牌。

  1. 以 Azure Databricks 帐户管理员身份登录到帐户控制台。
  2. 在边栏中,单击“设置”。
  3. 单击“用户预配”。
  4. 单击“重新生成令牌”。 记录新的令牌。 以前的令牌将继续工作 24 小时。
  5. 请在 24 小时内更新 SCIM 应用程序,以使用新的 SCIM 令牌。

将工作区级 SCIM 预配迁移到帐户级别

如果要启用帐户级 SCIM 预配,并且已为某些工作区设置了工作区级 SCIM 预配,则 Databricks 建议关闭工作区级 SCIM 预配程序,而是将用户和组同步到帐户级。

  1. 在 Microsoft Entra ID 中创建一个组,其中包含你当前使用工作区级 SCIM 连接器预配到 Azure Databricks 的所有用户和组。

    Databricks 建议此组包括帐户内所有工作区中的所有用户。

  2. 使用将标识预配到 Azure Databricks 帐户中的说明,配置新的 SCIM 预配连接器以将用户和组预配到帐户。

    使用在步骤 1 中创建的一个或多个组。 如果添加与现有账户用户一样的用户名(电子邮件地址),这些用户会合并。 帐户中的现有组不受影响。

  3. 确认新的 SCIM 预配连接器已成功将用户和组预配到帐户。

  4. 关闭将用户和组预配到工作区的旧工作区级 SCIM 连接器。

    请勿在关闭工作区级 SCIM 连接器之前从其中移除用户和组。 从 SCIM 连接器撤消访问权限会在 Azure Databricks 工作区中停用该用户。 有关详细信息,请参阅在 Azure Databricks 工作区中停用用户

  5. 将工作区本地组迁移到帐户组。

    如果工作区中存在旧的组,则这些组称为工作区本地组。 无法使用帐户级接口管理工作区本地组。 Databricks 建议将它们转换为帐户组。 请参阅将工作区本地组迁移到帐户组

将标识预配到 Azure Databricks 工作区(旧版)

重要

此功能目前以公共预览版提供。

如果你要使用 IdP 连接器来预配用户和组,并且有不使用联合标识的工作区,必须在工作区级别配置 SCIM 预配。

注意

工作区级 SCIM 无法识别分配给联合标识工作区的帐户组,如果它们涉及帐户组,则工作区级 SCIM API 调用将失败。 如果工作区已启用联合身份验证,则 Databricks 建议使用帐户级 SCIM API 而不是工作区级 SCIM API,设置帐户级 SCIM 预配并关闭工作区级 SCIM 预配程序。 有关详细说明,请参阅将工作区级 SCIM 预配迁移到帐户级别

使用 SCIM API 将用户、组和服务主体添加到工作区

工作区管理员可以使用适用于工作区级 SCIM API 将用户、组和服务主体添加到 Azure Databricks 帐户。 请参阅工作区用户 API工作区组 API工作区服务主体 API