Condividi tramite

Configurare il provisioning SCIM a livello di area di lavoro usando Microsoft Entra ID (legacy)

  • Articolo

Importante

Questa documentazione è stata ritirata e potrebbe non essere aggiornata. Il provisioning SCIM a livello di area di lavoro è legacy. Databricks consiglia di usare il provisioning SCIM a livello di account, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID.

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Se sono presenti aree di lavoro non abilitate per la federazione delle identità, è consigliabile effettuare il provisioning di utenti, entità servizio e gruppi direttamente in tali aree di lavoro. Questa sezione descrive come eseguire questa operazione.

Negli esempi seguenti sostituire <databricks-instance> con l'URL dell'area di lavoro della distribuzione di Azure Databricks.

Fabbisogno

  • L'account Azure Databricks deve avere il piano Premium.
  • È necessario avere il ruolo Amministratore applicazione cloud in Microsoft Entra ID.
  • L'account MICROSOFT Entra ID deve essere un account Premium Edition per effettuare il provisioning dei gruppi. Il provisioning degli utenti è disponibile per qualsiasi edizione di Microsoft Entra ID.
  • È necessario essere un amministratore dell'area di lavoro di Azure Databricks.

Passaggio 1: Creare l'applicazione aziendale e connetterla all'API SCIM di Azure Databricks

Per configurare il provisioning direttamente nelle aree di lavoro di Azure Databricks usando l'ID Microsoft Entra, creare un'applicazione aziendale per ogni area di lavoro di Azure Databricks.

Queste istruzioni illustrano come creare un'applicazione aziendale nel portale di Azure e usarla per il provisioning.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Generare un token di accesso personale e copiarlo. Questo token viene fornito a Microsoft Entra ID in un passaggio successivo.

    Importante

    Generare questo token come amministratore dell'area di lavoro di Azure Databricks che non è gestito dall'applicazione aziendale Microsoft Entra ID. Se l'utente amministratore di Azure Databricks proprietario del token di accesso personale viene deprovisionato tramite Microsoft Entra ID, l'applicazione di provisioning SCIM verrà disabilitata.

  3. Nel portale di Azure passare a Microsoft Entra ID Enterprise Applications.In your portale di Azure, go to Microsoft Entra ID > Enterprise Applications.

  4. Fare clic su + Nuova applicazione sopra l'elenco di applicazioni. In Aggiungi dalla raccolta cercare e selezionare Azure Databricks SCIM Provisioning Connector.

  5. Immettere un nome per l'applicazione e fare clic su Aggiungi. Usare un nome che consentirà agli amministratori di trovarlo, ad esempio <workspace-name>-provisioning.

  6. Scegliere Provisioning dal menu Gestisci.

  7. Impostare Modalità di provisioning su Automatico.

  8. Immettere l'URL dell'endpoint dell'API SCIM. Aggiungere /api/2.0/preview/scim all'URL dell'area di lavoro:

    https://<databricks-instance>/api/2.0/preview/scim

    Sostituire <databricks-instance> con l'URL dell'area di lavoro della distribuzione di Azure Databricks. Vedere Ottenere gli identificatori per gli oggetti dell'area di lavoro.

  9. Impostare Token segreto sul token di accesso personale di Azure Databricks generato nel passaggio 1.

  10. Fare clic su Test connessione e attendere il messaggio che conferma che le credenziali sono autorizzate per abilitare il provisioning.

  11. Facoltativamente, immettere un messaggio di posta elettronica di notifica per ricevere notifiche di errori critici con il provisioning SCIM.

  12. Fare clic su Salva.

Passaggio 2: Assegnare utenti e gruppi all'applicazione

Nota

Microsoft Entra ID non supporta il provisioning automatico delle entità servizio in Azure Databricks. È possibile aggiungere entità servizio all'area di lavoro di Azure Databricks seguendo Le entità servizio nell'area di lavoro.

Microsoft Entra ID non supporta il provisioning automatico dei gruppi annidati in Azure Databricks. Microsoft Entra ID può solo leggere ed effettuare il provisioning di utenti che sono membri immediati del gruppo assegnato in modo esplicito. Come soluzione alternativa, assegnare in modo esplicito (o in altro modo ambito in) i gruppi che contengono gli utenti di cui è necessario eseguire il provisioning. Per altre informazioni, vedere le domande frequenti.

  1. Passare a Gestisci > proprietà.
  2. Impostare Assegnazione obbligatoria su . Databricks consiglia questa opzione, che sincronizza solo utenti e gruppi assegnati all'applicazione aziendale.
  3. Passare a Gestisci > provisioning.
  4. Per avviare la sincronizzazione di utenti e gruppi di Microsoft Entra ID in Azure Databricks, impostare l'interruttore Stato provisioning su Sì.
  5. Fare clic su Salva.
  6. Passare a Gestisci > utenti e gruppi.
  7. Fare clic su Aggiungi utente/gruppo, selezionare gli utenti e i gruppi e fare clic sul pulsante Assegna .
  8. Attendere alcuni minuti e verificare che gli utenti e i gruppi esistano nell'account Azure Databricks.

In futuro, viene effettuato automaticamente il provisioning di utenti e gruppi aggiunti e assegnati quando Microsoft Entra ID pianifica la sincronizzazione successiva.

Importante

Non assegnare l'amministratore dell'area di lavoro di Azure Databricks il cui token di accesso personale è stato usato per configurare l'applicazione SCIM Provisioning Connector di Azure Databricks.