ユーザー管理をシンプルにするために、Identity Provider(IdP)を活用したプロビジョニングはベストプラクティスとなります。
しかし、以下のようなことを気にされるケースは多いかと思います。
- 既存ユーザーと同じメールアドレスのユーザーをSCIMプロビジョニングしたらどうなるのか
- SCIMプロビジョニングを行うエンタープライズアプリケーションからユーザーを削除するとどうなるか
- SCIMプロビジョニング設定を解除すると、過去にSCIMプロビジョニングされたユーザーはどうなるのか
実際に動作確認します。
準備
Databricksアカウントコンソールにログインし、設定 > ユーザプロビジョニングにアクセスして、ユーザープロビジョニングを有効化をクリックします。
SCIMトークンとアカウントSCIM URLが表示されるのでコピーしておきます。
Azureポータルにログインして、Entra IDのエンタープライズアプリケーションを作成します。
上でコピーしたSCIMトークンとアカウントSCIM URLを貼り付けます。
接続確認します。
既存ユーザーと同じメールアドレスを持つユーザーのプロビジョニング
結論
ユーザー名のような属性のみが更新されます。Databricksのロールは変化しません。
確認手順
エンタープライズアプリケーションにユーザーを割り当てます。メールアドレスはお見せできませんがユーザー1のメールアドレスで、すでにDatabricksに登録されています。
以下のスクリーンショットでの1行目です。
ユーザーをプロビジョニングします。
Databricksアカウントコンソールを見ると、ユーザー名のみが更新されています。
SCIMプロビジョニングを行うエンタープライズアプリケーションからユーザーを削除
結論
Databricks上の当該ユーザーは非アクティブになります。
確認手順
エンタープライズアプリケーションから上で追加したユーザーを削除します。すると、Databricks上の当該ユーザーが非アクティブになります。
こちらにも記載があります。
注:
アカウント レベルの SCIM アプリケーションからユーザーを削除すると、ID フェデレーションが有効になっているかどうかに関係なく、そのユーザーはアカウントとワークスペースから非アクティブ化されます。
非アクティブされたユーザーを再度アクティブにするにはパスワードリセットを行い、新規のパスワードを設定する必要があります。
SCIMプロビジョニング設定の解除
結論
過去にSCIMプロビジョニングされたユーザーは削除されません。
確認手順
こちらのuser6はSCIMプロビジョニングでプロビジョンされたものです。
Databricksアカウントコンソールでユーザープロビジョニングの無効化をクリックします。
確認メッセージでも無効化をクリックします。
Databricksアカウントコンソール上のユーザーには変化はありません。
