从 Microsoft Entra ID 同步用户和组

本文介绍如何配置标识提供者 (IdP) 和 Azure Databricks,以使用 SCIM(跨域身份管理系统,一种可用于将用户预配过程自动化的开放标准)为 Azure Databricks 预配用户和组。

关于 Azure Databricks 中的 SCIM 预配

借助 SCIM,你可使用 IdP 在 Azure Databricks 中创建用户,并为他们提供适当的访问级别,当他们离开你的组织或不再需要访问 Azure Databricks 时,你还可移除他们的访问权限(对其取消预配)。

可以在 IdP 中使用 SCIM 预配连接器,或调用 SCIM 组 API 来管理预配。 还可以使用这些 API 直接管理 Azure Databricks 中的标识,而无需 IdP。

帐户级和工作区级 SCIM 预配

Databricks 建议使用帐户级 SCIM 预配来创建、更新和删除帐户中的所有用户。 由你管理将用户和组分配到 Azure Databricks 中的工作区的操作。 工作区必须已启用联合身份验证才能管理用户的工作区分配。

帐户级 SCIM 示意图

工作区级 SCIM 预配是公共预览版中的旧配置。 如果已为工作区设置了工作区级 SCIM 预配,Databricks 建议为工作区启用联合身份验证、设置帐户级 SCIM 预配,并关闭工作区级 SCIM 预配程序。 请参阅将工作区级 SCIM 预配迁移到帐户级别。 有关工作区级 SCIM 预配的详细信息,请参阅将标识预配到 Azure Databricks 工作区(旧版)。

要求

使用 SCIM 将用户和组预配到 Azure Databricks:

  • Azure Databricks 帐户必须具有高级计划
  • 你必须是 Azure Databricks 帐户管理员。

帐户中最多可以包含 10,000 个组合用户和服务主体以及 5000 个组。 每个工作区最多可以包含 10,000 个组合用户和服务主体以及 5000 个组。

将用户和组同步到 Azure Databricks 帐户

可以使用 SCIM 预配连接器将帐户级标识从 Microsoft Entra ID 租户同步到 Azure Databricks。

重要

如果已有直接将标识同步到工作区的 SCIM 连接器,则必须在启用帐户级 SCIM 连接器时禁用这些 SCIM 连接器。 请参阅将工作区级 SCIM 预配迁移到帐户级别

配置帐户级 SCIM 预配后,Databricks 建议允许 Microsoft Entra ID 中的所有用户访问 Azure Databricks 帐户。 请参阅允许所有 Microsoft Entra ID 用户访问 Azure Databricks

注意

从帐户级 SCIM 连接器中删除用户时,该用户会在帐户及其所有工作区中停用,无论是否启用了联合身份验证。 从帐户级 SCIM 连接器中移除组时,该组中的所有用户会从帐户中停用,并在其有权访问的任何工作区中停用(除非他们是另一个组的成员,或者已向其直接授予对该帐户级 SCIM 连接器的访问权限)。

轮换帐户级 SCIM 令牌

如果帐户级 SCIM 令牌已泄露,或者有定期轮换身份验证令牌的业务要求,则可以轮换 SCIM 令牌。

  1. 以 Azure Databricks 帐户管理员身份登录到帐户控制台。
  2. 在边栏中,单击“设置”。
  3. 单击“用户预配”。
  4. 单击“重新生成令牌”。 记录新的令牌。 以前的令牌将继续工作 24 小时。
  5. 请在 24 小时内更新 SCIM 应用程序,以使用新的 SCIM 令牌。

将工作区级 SCIM 预配迁移到帐户级别

如果要启用帐户级 SCIM 预配,并且已为某些工作区设置了工作区级 SCIM 预配,则 Databricks 建议关闭工作区级 SCIM 预配程序,而是将用户和组同步到帐户级。

  1. 在 Microsoft Entra ID 中创建一个组,其中包含你当前使用工作区级 SCIM 连接器预配到 Azure Databricks 的所有用户和组。

    Databricks 建议此组包括帐户内所有工作区中的所有用户。

  2. 使用将用户和组同步到 Azure Databricks 帐户中的说明,配置新的 SCIM 预配连接器以将用户和组预配到帐户。

    使用在步骤 1 中创建的一个或多个组。 如果添加与现有账户用户一样的用户名(电子邮件地址),这些用户会合并。 帐户中的现有组不受影响。

  3. 确认新的 SCIM 预配连接器已成功将用户和组预配到帐户。

  4. 关闭将用户和组预配到工作区的旧工作区级 SCIM 连接器。

    请勿在关闭工作区级 SCIM 连接器之前从其中移除用户和组。 从 SCIM 连接器撤消访问权限会在 Azure Databricks 工作区中停用该用户。 有关详细信息,请参阅在 Azure Databricks 工作区中停用用户

  5. 将工作区本地组迁移到帐户组。

    如果工作区中存在旧的组,则这些组称为工作区本地组。 无法使用帐户级接口管理工作区本地组。 Databricks 建议将它们转换为帐户组。 请参阅将工作区本地组迁移到帐户组