Synchroniser les utilisateurs et les groupes à partir de Microsoft Entra ID
Cet article explique comment configurer votre fournisseur d’identité (IdP) et Azure Databricks pour approvisionner des utilisateurs et des groupes dans Azure Databricks à l’aide de SCIM, ou System for Cross-domain Identity Management, une norme ouverte qui vous permet d’automatiser l’approvisionnement d’utilisateurs.
À propos de l’approvisionnement SCIM dans Azure Databricks
Avec SCIM, vous pouvez utiliser un IdP pour créer des utilisateurs dans Azure Databricks, leur attribuer le niveau d’accès approprié et supprimer leur accès (en annulant leur approvisionnement) quand ils quittent votre organisation ou n’ont plus besoin d’accéder à Azure Databricks.
Vous pouvez utiliser un connecteur d’approvisionnement SCIM dans votre fournisseur d’identité ou appeler les API groupe SCIM pour gérer l’approvisionnement. Vous pouvez également utiliser ces API pour gérer les identités dans Azure Databricks directement, sans fournisseur d’identité.
Approvisionnement SCIM au niveau du compte et de l’espace de travail
Databricks vous recommande d’utiliser le provisionnement SCIM au niveau du compte pour créer, mettre à jour et supprimer tous les utilisateurs du compte. Vous gérez l’attribution d’utilisateurs et de groupes à des espaces de travail dans Azure Databricks. Vos espaces de travail doivent être activés pour la fédération des identités afin de gérer les attributions d’espace de travail des utilisateurs.
L’approvisionnement SCIM au niveau de l’espace de travail est une configuration héritée qui est en préversion publique. Si vous avez déjà configuré l’approvisionnement SCIM au niveau de l’espace de travail, Databricks vous recommande d’activer l’espace de travail pour la fédération des identités, de configurer l’approvisionnement SCIM au niveau du compte et de désactiver l’approvisionnement SCIM au niveau de l’espace de travail. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte. Pour plus d’informations sur l’approvisionnement SCIM au niveau de l’espace de travail, consultez Provisionner des identités dans un espace de travail Azure Databricks (hérité).
Spécifications
Pour approvisionner des utilisateurs et des groupes dans Azure Databricks avec SCIM :
- Votre compte Azure Databricks doit avoir le plan Premium.
- Vous devez être administrateur de compte Azure Databricks.
Vous pouvez avoir au maximum 10 000 utilisateurs combinés et principaux de service et 5 000 groupes dans un compte. Chaque espace de travail peut avoir au maximum 10 000 utilisateurs combinés et principaux de service et 5 000 groupes.
Synchroniser des utilisateurs et des groupes de votre compte Azure Databricks
Vous pouvez synchroniser les identités au niveau du compte de votre locataire Microsoft Entra ID vers Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.
Important
Si vous disposez déjà de connecteurs SCIM qui synchronisent les identités directement avec vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.
Pour des instructions complètes, consultez Configurer l’approvisionnement de SCIM en utilisant Microsoft Entra ID (Azure Active Directory). Après avoir configuré l’approvisionnement SCIM au niveau du compte, Databricks vous recommande d’autoriser tous les utilisateurs dans Microsoft Entra ID à accéder au compte Azure Databricks. Consultez Activer tous les utilisateurs Microsoft Entra ID pour accéder à Azure Databricks.
Remarque
Lorsque vous supprimez un utilisateur du connecteur SCIM au niveau du compte, cet utilisateur est désactivé du compte et de tous ses espaces de travail, que la fédération des identités ait été activée ou non. Lorsque vous supprimez un groupe du connecteur SCIM au niveau du compte, tous les utilisateurs de ce groupe sont désactivés du compte et de tous les espaces de travail auxquels ils avaient accès (sauf s'ils sont membres d'un autre groupe ou s'ils ont directement accès au connecteur SCIM au niveau du compte).
Faire pivoter le jeton SCIM au niveau du compte
Si le jeton SCIM au niveau du compte est compromis ou si vous devez impérativement opérer une rotation périodique des jetons d’authentification, vous pouvez effectuer la rotation du jeton SCIM.
- En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Paramètres.
- Cliquez sur Approvisionnement d’utilisateurs.
- Cliquer sur Régénérer le jeton. Notez le nouveau jeton. Le jeton précédent continuera de fonctionner pendant 24 heures.
- Dans les 24 heures, mettez à jour votre application SCIM pour utiliser le nouveau jeton SCIM.
Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte
Si vous activez l’approvisionnement SCIM au niveau du compte et que vous avez déjà l’approvisionnement SCIM au niveau de l’espace de travail configuré pour certains espaces de travail, Databricks vous recommande de désactiver l’approvisionnement SCIM au niveau de l’espace de travail et de synchroniser les utilisateurs et les groupes au niveau du compte.
Créez un groupe dans Microsoft Entra ID qui inclut tous les utilisateurs et groupes que vous approvisionnez actuellement sur Azure Databricks à l’aide de vos connecteurs SCIM au niveau de l’espace de travail.
Databricks recommande que ce groupe inclue tous les utilisateurs dans tous les espaces de travail de votre compte.
Configurez un nouveau connecteur d’approvisionnement SCIM pour approvisionner des utilisateurs et des groupes sur votre compte à l’aide des instructions fournies dans Synchroniser des utilisateurs et des groupes de votre compte Azure Databricks.
Utilisez le groupe ou les groupes que vous avez créés à l’étape 1. Si vous ajoutez un utilisateur qui partage un nom d’utilisateur (adresse e-mail) avec un utilisateur existant du compte, ces utilisateurs sont fusionnés. Les groupes existants dans le compte ne sont pas affectés.
Vérifiez que le nouveau connecteur d’approvisionnement SCIM approvisionne correctement les utilisateurs et les groupes sur votre compte.
Arrêtez les anciens connecteurs SCIM au niveau de l’espace de travail qui approvisionnaient des utilisateurs et des groupes dans vos espaces de travail.
Ne supprimez pas les utilisateurs et les groupes des connecteurs SCIM au niveau de l’espace de travail avant leur arrêt. La révocation de l’accès à partir d’un connecteur SCIM désactive l’utilisateur dans l’espace de travail Azure Databricks. Pour plus d’informations, consultez Désactiver un utilisateur dans votre espace de travail Azure Databricks.
Migrez des groupes locaux d’espace de travail vers des groupes de comptes.
Si vous disposez de groupes hérités dans vos espaces de travail, ils sont appelés groupes locaux d'espace de travail. Vous ne pouvez pas gérer les groupes locaux d’espace de travail à l’aide d’interfaces au niveau du compte. Databricks recommande de les convertir en groupes de comptes. Consultez Migrer des groupes locaux d’espace de travail vers des groupes de comptes