メインコンテンツまでスキップ

Microsoft Entra ID (レガシ) を使用してワークスペース レベルの SCIM プロビジョニングを構成する

important

このドキュメントは廃止されており、更新されない可能性があります。 ワークスペース レベルの SCIM プロビジョニングはレガシです。 Databricks では、アカウント レベルの SCIM プロビジョニングを使用することをお勧めします (「 SCIM を使用して ID プロバイダーからユーザーとグループを同期する」を参照してください)。

備考

プレビュー

この機能は パブリック プレビュー段階です。

ID フェデレーションが有効になっていないワークスペースがある場合は、ユーザー、サービスプリンシパル、およびグループをそれらのワークスペースに直接プロビジョニングする必要があります。このセクションでは、これを行う方法について説明します。

次の例では、 <databricks-instance> を Databricks デプロイの ワークスペース URL に置き換えます。

必要条件

  • Databricks アカウントには、Premium プラン以上が必要です。

  • Microsoft Entra ID のクラウド アプリケーション管理者ロールが必要です。

  • グループをプロビジョニングするには、Microsoft Entra ID アカウントが Premium Edition アカウントである必要があります。 ユーザーのプロビジョニングは、すべての Microsoft Entra ID エディションで使用できます。

  • Databricks ワークスペース管理者である必要があります。

  • ユーザーが Microsoft Entra ID を使用して Databricks にログインするためのシングル サインオンを構成します。 「Databricks で SSO を構成する」を参照してください。

手順 1: エンタープライズ アプリケーションを作成し、Databricks SCIM API に接続する

Microsoft Entra ID を使用して Databricks ワークスペースに直接プロビジョニングを設定するにはDatabricksワークスペースごとにエンタープライズ アプリケーションを作成します。

これらの手順では、Azure portal でエンタープライズ アプリケーションを作成し、そのアプリケーションをプロビジョニングに使用する方法について説明します。

  1. ワークスペース管理者として、Databricksワークスペースにログインします。

  2. 個人用アクセス トークンを生成してコピーします。このトークンは、次の手順で Microsoft Entra ID に指定します。

important

Microsoft Entra ID エンタープライズ アプリケーションによって管理されて いない Databricks ワークスペース管理者としてこのトークンを生成します。 個人用アクセストークンを所有するDatabricks管理者ユーザーがMicrosoft Entra ID を使用してプロビジョニング解除されると、 SCIMアプリケーションは無効になります。

  1. Azure ポータルで、 Microsoft Entra ID > Enterprise Applications に移動します。

  2. アプリケーションリストの上にある +新しいアプリケーション をクリックします。 ギャラリーから追加 で、 Azure Databricks SCIM プロビジョニング コネクタ を検索して選択します。

  3. アプリケーションの 名前 を入力し、 追加 をクリックします。 管理者が見つけやすい名前 ( <workspace-name>-provisioningなど) を使用します。

  4. 管理 メニューで プロビジョニング をクリックします。

  5. プロビジョニング モード自動 に設定します。

  6. SCIM API エンドポイント URL を入力します。 ワークスペースの URL に /api/2.0/preview/scim を追加します。

    https://<databricks-instance>/api/2.0/preview/scim

    <databricks-instance> を Databricks デプロイのワークスペース URL に置き換えます。ワークスペース オブジェクトの識別子を取得するを参照してください。

  7. シークレットトークン を、ステップ 1 で生成したDatabricks個人用アクセストークンに設定します。

  8. [ 接続のテスト ] をクリックし、資格情報がプロビジョニングを有効にする権限があることを確認するメッセージを待ちます。

  9. 必要に応じて、 SCIM プロビジョニングで重大なエラーの通知を受け取る通知 Eメール を入力します。

  10. [ 保存 ]をクリックします。

手順 2: ユーザーとグループをアプリケーションに割り当てる

  1. 管理 >プロパティ に移動します。
  2. [割り当てが必要]はい に設定します。Databricks では、エンタープライズ アプリケーションに割り当てられたユーザーとグループのみを同期するこのオプションをお勧めします。
  3. 管理 >プロビジョニング に移動します。
  4. Microsoft Entra ID ユーザーとグループから Databricks への同期を開始するには、 プロビジョニングの状態 トグルを オン に設定します。
  5. [ 保存 ]をクリックします。
  6. [ >ユーザーとグループの管理 ] に移動します。
  7. [ ユーザー/グループの追加 ] をクリックし、ユーザーとグループを選択して 割り当て ボタンをクリックします。
  8. 数分待ってから、ユーザーとグループが Databricks アカウントに存在することを確認します。

今後、追加して割り当てたユーザーとグループは、Microsoft Entra ID が次回の同期をスケジュールするときに自動的にプロビジョニングされます。

important

Azure Databricks SCIMプロビジョニングコネクター アプリケーションを構成するために、個人用アクセストークンが使用されたDatabricksワークスペース管理者を割り当てないでください。

最終更新