配置SCIM配置使用Microsoft Azure Active Directory
本文描述了如何設置配置使用Azure Active Directory磚。
您可以設置配置磚使用Azure Active Directory (Azure廣告)磚帳戶級別或磚工作區。
磚建議你提供用戶、服務主體和組帳戶級別和管理用戶和組的分配在磚工作區。你的工作必須支持聯合身份驗證為了管理的分配用戶工作區。如果你有任何工作空間不支持聯合身份驗證,您應繼續提供用戶,服務主體,直接和組工作區。
提供身份磚賬戶使用Azure Active Directory (Azure廣告)
你可以同步用戶和組帳戶級別從Azure Active Directory (Azure廣告)租戶使用SCIM磚供應連接器。
重要的
如果你已經有SCIM連接器直接用戶和組同步到您的工作區聯合身份驗證和工作區被啟用,您應該禁用這些SCIM連接器啟用帳戶級別SCIM連接器時。如果你有工作空間不支持聯合身份驗證,你應該繼續使用任何SCIM連接器配置為工作區,運行在並行與帳戶級別SCIM連接器。
需求
你的磚賬戶必須有保費計劃或以上。
你必須有雲應用程序在Azure Active Directory管理員的角色。
你Azure Active Directory賬戶必須是高級版賬戶提供組。提供用戶對任何Azure Active Directory版本可用。
你必須是一個磚賬戶管理。
設置。步驟2:配置企業應用程序
這些指令告訴你如何創建一個企業應用程序在Azure門戶和使用應用程序配置。如果你有一個現有的企業應用程序中,您可以修改它自動化SCIM配置使用微軟圖。這消除了需要一個單獨的配置應用程序在Azure門戶。
按照以下步驟啟用Azure廣告同步磚帳戶的用戶和組。您已經創建了這個配置是獨立於任何配置同步用戶和組的工作區。
Azure門戶中去Azure Active Directory >企業應用程序。
點擊+新應用程序上麵的應用程序列表。下添加從畫廊,搜索和選擇Azure磚SCIM配置連接器。
輸入一個的名字為應用程序並單擊添加。
下管理”菜單上,單擊“供應。
集配置模式自動。
設置SCIM API端點URL的帳戶SCIM URL複製。
集秘密令牌磚SCIM您先前生成的令牌。
點擊測試連接,等待消息,確認憑證授權啟用配置。
點擊保存。
步驟3:將用戶和組分配給應用程序
用戶和組分配給SCIM應用程序將提供磚帳戶。如果你有現有的磚工作區,磚建議您添加的所有現有用戶和組的工作區SCIM應用程序。
去管理>配置。
下屬性,設置作業要求來沒有。磚建議這個選項,它允許所有用戶登錄到磚帳戶。
開始同步Azure磚Active Directory用戶和組,單擊配置狀態切換。
點擊保存。
去管理>用戶和組。
添加一些用戶和組。點擊添加用戶,選擇用戶和組,然後單擊分配按鈕。
等待幾分鍾,檢查用戶和組存在於你的磚賬戶。
用戶和組,您添加和分配時將自動提供磚賬戶Azure Active Directory安排下一次同步。
重要的
如果你刪除一個用戶的帳戶級別SCIM應用程序中,用戶也從帳戶中刪除,從他們的工作區,不管聯合身份驗證已啟用。我們建議你不要刪除用戶帳戶,除非你想讓他們失去所有的工作區帳戶。
提供身份磚工作區使用Azure Active Directory (Azure廣告)
預覽
這個特性是在公共預覽。
如果你有任何工作空間不支持聯合身份驗證,你應該提供用戶、服務主體和組直接與工作區。本節描述如何做到這一點。
在下麵的例子中,替換< databricks-instance >與工作空間的URL你的磚部署。
需求
你的磚賬戶必須有保費計劃或以上。
你必須有雲應用程序在Azure Active Directory管理員的角色。
你Azure Active Directory賬戶必須是高級版賬戶提供組。提供用戶對任何Azure Active Directory版本可用。
你必須是一個磚工作區管理。
步驟1:創建企業應用程序並將其連接到磚SCIM API
建立直接供應到磚工作區使用Azure Active Directory,你創建一個企業應用程序為每個磚工作區。
這些指令告訴你如何創建一個企業應用程序在Azure門戶和使用應用程序配置。如果你有一個現有的企業應用程序中,您可以修改它自動化SCIM配置使用微軟圖。這消除了需要一個單獨的配置應用程序在Azure門戶。
工作區管理,登錄到你的磚工作區。
生成一個個人訪問令牌並將其複製。你提供這個令牌Azure Active Directory的後續步驟。
重要的
生成這個令牌作為一個磚工作區管理不是Azure活動目錄管理的企業應用程序。如果磚admin用戶擁有個人訪問令牌使用Azure Active Directory,去除SCIM配置應用程序將被禁用。
Azure門戶中去Azure Active Directory >企業應用程序。
點擊+新應用程序上麵的應用程序列表。下添加的畫廊搜索和選擇Azure磚SCIM配置連接器。
輸入一個的名字為應用程序並單擊添加。使用一個名稱,將幫助管理員發現,
<工作空間名稱>配置。下管理”菜單上,單擊“供應。
集配置模式來自動。
進入SCIM API端點URL。附加
/ api / 2.0 /預覽/ scim工作區網址:https:/ / <磚- - - - - -實例> /api/2.0/預覽/scim
集秘密令牌磚的個人訪問令牌,您在步驟1中生成的。
點擊測試連接,等待消息,確認憑證授權啟用配置。
可選地,輸入一個通知郵件接收通知的關鍵與SCIM配置錯誤。
點擊保存。
步驟2:將用戶和組分配給應用程序
去管理>配置。
下設置,設置範圍來隻同步指定用戶和組。
磚建議這個選項,這隻同步用戶和組分配給企業應用程序。
請注意
Azure Active Directory的自動配置不支持嵌套組磚。Azure Active Directory隻能閱讀和提供用戶立即明確分配小組的成員。作為一個解決方案,明確分配(或範圍)組包含用戶的需要提供。有關更多信息,請參見這個常見問題解答。
開始同步Azure Active Directory用戶和組的磚工作區,點擊配置狀態切換。
點擊保存。
測試你的配置設置:
在Azure磚SCIM配置連接器,去管理>用戶和組。
添加一些用戶和組。點擊添加用戶,選擇用戶和組,然後單擊分配按鈕。
等待幾分鍾,檢查用戶和組存在於磚工作區。
在未來,用戶和組,您添加和分配時自動配置Azure Active Directory下同步時間表。
重要的
不分配的磚工作區管理個人訪問令牌是用來配置Azure磚SCIM配置連接器應用程序。
(可選)自動化SCIM配置使用微軟圖
微軟圖包含身份驗證和授權庫,您可以集成到您的應用程序自動化配置的用戶和組給你的磚或工作區,而不是配置SCIM配置連接器應用程序。
遵循說明注冊與微軟應用程序圖。記下的應用程序ID和承租者ID為應用程序
應用程序的概述頁麵。在這個頁麵:
配置客戶端應用程序的秘密,並記下這個秘密。
這些權限授予應用程序:
Application.ReadWrite.AllApplication.ReadWrite.OwnedBy
問一個Azure Active Directory管理員格蘭特管理員同意。
更新應用程序的代碼添加對微軟的支持圖。
配置建議
磚工作區中的用戶和組存在之前啟用配置配置同步時的表現出以下行為:
合並在Azure Active Directory如果他們還存在嗎
被忽略,如果他們在Azure活動目錄不存在嗎
用戶權限分配單獨並通過加入一組重複後仍為用戶組成員被移除。
用戶直接從磚工作區,使用磚工作區管理設置頁麵:
失去磚的工作空間,但仍可能獲得其他磚工作區。
將不會再次同步使用Azure Active Directory供應,即使他們仍然在企業應用程序。
最初的Azure Active Directory同步觸發後立即啟用配置。隨後的同步觸發每20 - 40分鍾,這取決於應用程序中的用戶和組的數量。看到提供總結報告在Azure Active Directory文檔。
你不能更新一個磚工作空間的用戶的用戶名或電子郵件地址。
的
管理員組是一個保留組在磚和不能被刪除。不能重命名組在磚;不要試圖在Azure活動目錄重命名它們。
你不能同步嵌套組或Azure的活動目錄服務主體Azure磚SCIM配置連接器應用程序。磚建議你使用enterpirse應用程序同步和管理用戶和組嵌套磚內組織和服務主體。然而,您還可以使用磚起程拓殖的提供者或自定義腳本,目標磚SCIM API以同步嵌套組或Azure活動目錄服務主體。
故障排除
用戶和組不同步
如果您正在使用Azure磚SCIM配置連接器應用程序:
的工作空間層配置:磚管理設置頁麵,驗證數據磚用戶的個人正在使用的訪問令牌Azure磚SCIM配置連接器應用程序仍然是一個工作區管理用戶在磚和令牌仍然是有效的。
帳戶級別配置:在帳戶控製台驗證磚SCIM令牌用於設置配置仍然是有效的。
不要試圖同步嵌套組,由Azure Active Directory不支持自動配置。有關更多信息,請參見這個常見問題解答。