Partager via


Configurer le provisionnement SCIM à l’aide de Microsoft Entra ID (Azure Active Directory)

Cet article explique comment configurer l’approvisionnement sur le compte Azure Databricks à l’aide de Microsoft Entra ID.

Databricks vous recommande d’approvisionner des utilisateurs, des principaux de service et des groupes au niveau du compte et de gérer l’attribution d’utilisateurs et de groupes à des espaces de travail dans Azure Databricks. Vos espaces de travail doivent être activés pour la fédération des identités, afin de gérer l’attribution d’utilisateurs à des espaces de travail.

Remarque

La configuration de l’approvisionnement est totalement distincte de la configuration de l’authentification et de l’accès conditionnel pour les espaces de travail ou les comptes Azure Databricks. L’authentification pour Azure Databricks est gérée automatiquement par Microsoft Entra ID à l’aide du protocole OpenID Connecter. Vous pouvez configurer l’accès conditionnel, ce qui vous permet de créer des règles pour exiger l’authentification multifacteur ou limiter les connexions aux réseaux locaux, au niveau du service.

Provisionner des identités sur votre compte Azure Databricks à l’aide de Microsoft Entra ID

Vous pouvez synchroniser les utilisateurs et groupes au niveau du compte de votre locataire Microsoft Entra ID vers Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.

Important

Si vous disposez déjà de connecteurs SCIM qui synchronisent les identités directement avec vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Exigences

  • Votre compte Azure Databricks doit avoir le plan Premium.
  • Vous devez disposer du rôle Administrateur d’application cloud dans Microsoft Entra ID.
  • Votre compte Microsoft Entra ID doit être un compte d’édition Premium pour approvisionner des groupes. L’approvisionnement d’utilisateurs est disponible pour toute édition Microsoft Entra ID.
  • Vous devez être administrateur de compte Azure Databricks.

Remarque

Pour activer la console de compte et établir votre premier administrateur de compte, consultez Établir votre premier administrateur de compte.

Étape 1 : Configurer Azure Databricks

  1. En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte Azure Databricks.
  2. Cliquez sur Icône Paramètres utilisateur Paramètres.
  3. Cliquez sur Approvisionnement d’utilisateurs.
  4. Cliquez sur Configurer l’approvisionnement d’utilisateurs.

Copiez le jeton SCIM et l’URL SCIM du compte. Vous les utilisez pour configurer votre application Microsoft Entra ID.

Remarque

Le jeton SCIM est limité à l'API SCIM du compte /api/2.1/accounts/{account_id}/scim/v2/ et ne peut pas être utilisé pour s'authentifier auprès d'autres API REST Databricks.

Étape 2 : Configurer l’application d’entreprise

Ces instructions vous expliquent comment créer une application d’entreprise dans le portail Azure et utiliser cette application pour l’approvisionnement. Si vous disposez d’une application d’entreprise existante, vous pouvez la modifier pour automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph. Cela évite d’avoir à utiliser une application d’approvisionnement distincte dans le portail Azure.

Suivez ces étapes pour permettre à Microsoft Entra ID de synchroniser des utilisateurs et des groupes sur votre compte Azure Databricks. Cette configuration est distincte de toutes les configurations que vous avez créées pour synchroniser des utilisateurs et des groupes sur des espaces de travail.

  1. Dans votre portail Azure, accédez à Microsoft Entra ID > Application d'entreprise.
  2. Cliquez sur + nouvelle application au-dessus de la liste des applications. Sous Ajouter à partir de la Galerie, recherchez et sélectionnez Azure Databricks connecteur d’approvisionnement scim.
  3. Saisissez un nom pour l'application et cliquez sur Ajouter.
  4. Dans le menu gérer , cliquez sur approvisionnement.
  5. Définissez le Mode d’approvisionnement sur Automatique.
  6. Définissez l’URL du point de terminaison de l’API SCIM sur l’URL SCIM du compte que vous avez copiée précédemment.
  7. Définissez Jeton secret sur le jeton SCIM Azure Databricks que vous avez généré précédemment.
  8. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.
  9. Cliquez sur Enregistrer.

Étape 3 : Affecter des utilisateurs et des groupes à l’application

Les utilisateurs et les groupes affectés à l’application SCIM sont approvisionnés sur le compte Azure Databricks. Si vous disposez d’espaces de travail Azure Databricks existants, Databricks recommande d’ajouter l’ensemble des utilisateurs et groupes existants dans ces espaces de travail à l’application SCIM.

Remarque

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de principaux de service en Azure Databricks. Vous pouvez ajouter des principaux de service à votre compte Azure Databricks après Gérer les principaux de service dans votre compte.

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de groupes imbriqués dans Azure Databricks. Microsoft Entra ID ne peut lire et approvisionner que les utilisateurs qui sont des membres immédiats du groupe explicitement attribué. Comme solution de rechange, affectez explicitement (ou entrez dans le périmètre) les groupes qui contiennent les utilisateurs qui doivent être provisionnés. Pour plus d’informations, consultez cette FAQ .

  1. Accédez à Gérer > Propriétés.
  2. Définissez Affectation requise sur Non. Databricks recommande cette option qui permet à tous les utilisateurs de se connecter au compte Azure Databricks.
  3. Allez sur Gérer> l’approvisionnement.
  4. Pour démarrer la synchronisation des utilisateurs et des groupes Microsoft Entra ID avec Azure Databricks, définissez le bouton bascule sur Activé.
  5. Cliquez sur Enregistrer.
  6. Allez sur Gérer> les utilisateurs et les groupes.
  7. Cliquez sur Ajouter un utilisateur/groupe, sélectionnez les utilisateurs et les groupes, puis cliquez sur le bouton Attribuer.
  8. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes existent dans votre compte Azure Databricks.

Les utilisateurs et les groupes que vous ajoutez et attribuez seront automatiquement approvisionnés dans le compte Azure Databricks lorsque Microsoft Entra ID planifie la prochaine synchronisation.

Remarque

Si vous supprimez un utilisateur de l’application SCIM au niveau du compte, cet utilisateur est désactivé du compte et de ses espaces de travail, que la fédération d’identité ait été activée ou non.

Conseils de provisionnement

  • Les utilisateurs et les groupes qui existaient dans le compte Azure Databricks avant d’activer l’approvisionnement présentent le comportement suivant lors de la synchronisation de l’approvisionnement :
    • Les utilisateurs et les groupes sont fusionnés s’ils existent également dans l’ID Microsoft Entra.
    • Les utilisateurs et les groupes sont ignorés s’ils n’existent pas dans l’ID Microsoft Entra. Les utilisateurs qui n’existent pas dans Microsoft Entra ID ne peuvent pas se connecter à Azure Databricks.
  • Les autorisations attribuées individuellement aux utilisateurs qui sont dupliquées par l'appartenance à un groupe sont maintenues même après que l'appartenance au groupe a été supprimée pour l'utilisateur.
  • La suppression directe d’utilisateurs d’un compte Azure Databricks à l’aide de la console de compte a les effets suivants :
    • L’utilisateur supprimé perd l’accès à ce compte Azure Databricks et à tous les espaces de travail du compte.
    • L’utilisateur supprimé ne sera pas synchronisé à nouveau à l’aide du provisionnement d’ID Microsoft Entra, même s’il reste dans l’application d’entreprise.
  • La synchronisation initiale de Microsoft Entra ID est déclenchée immédiatement après l’activation de l’approvisionnement. Les synchronisations suivantes sont déclenchées toutes les 20-40 minutes, en fonction du nombre d’utilisateurs et de groupes de l’application. Consultez le rapport de synthèse sur l’approvisionnement dans la documentation Microsoft Entra ID.
  • Vous ne pouvez pas mettre à jour l’adresse e-mail d’un utilisateur Azure Databricks.
  • Vous ne pouvez pas synchroniser les groupes imbriqués ou les principaux de service Microsoft Entra ID à partir de l’application Connecteur d’approvisionnement SCIM Azure Databricks. Databricks recommande l’utilisation de l’application d'entreprise en entrée pour synchroniser les utilisateurs et les groupes et gérer les groupes imbriqués et les principaux de service dans Azure Databricks. Toutefois, vous pouvez également utiliser le fournisseur Databricks Terraform ou des scripts personnalisés qui ciblent l’API SCIM Azure Databricks pour synchroniser des groupes imbriqués ou des principaux de service Microsoft Entra ID.
  • Les mises à jour apportées aux noms de groupe dans Microsoft Entra ID ne sont pas synchronisées avec Azure Databricks.
  • Les paramètres userName et emails.value doivent correspondre. Une incompatibilité peut entraîner le rejet des demandes de création d’utilisateurs par Azure Databricks à partir de l’application SCIM d’ID Microsoft Entra. Dans les cas tels que les utilisateurs externes ou les e-mails alias, vous devrez peut-être modifier le mappage SCIM par défaut de l’application d’entreprise à utiliser userPrincipalName plutôt que mail.

(Facultatif) Automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph

Microsoft Graph comprend des bibliothèques d’authentification et d’autorisation que vous pouvez intégrer à votre application pour automatiser l’approvisionnement d’utilisateurs et de groupes vers vos compte ou espaces de travail Azure Databricks, au lieu de configurer une application de connecteur d’approvisionnement SCIM.

  1. Suivez les instructions d’inscription d’une application avec Microsoft Graph. Prenez note de l' ID d’application et de l' ID de locataire de l’application
  2. Allez sur la page de présentation des applications. Sur cette page :
    1. Configurez une clé secrète client pour l’application et prenez note de la clé secrète.
    2. Accordez à l’application ces autorisations :
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Demandez à un administrateur Microsoft Entra ID d’accorder le consentement administrateur.
  4. Mettez à jour le code de votre application pour Ajouter la prise en charge de Microsoft Graph.

Dépannage

Les utilisateurs et les groupes ne sont pas synchronisés

  • Si vous utilisez l’application du Connecteur d’approvisionnement SCIM Azure Databricks :
    • Dans la console de compte, vérifiez que le jeton SCIM Azure Databricks utilisé pour configurer l’approvisionnement est toujours valide.
  • N’essayez pas de synchroniser des groupes imbriqués qui ne sont pas pris en charge par l’approvisionnement automatique de Microsoft Entra ID. Pour plus d’informations, consultez cette FAQ .

Les principaux de service Microsoft Entra ID ne se synchronisent pas

  • L’application Connecteur d’approvisionnement Azure Databricks SCIM ne prend pas en charge la synchronisation des principaux de service.

Après la synchronisation initiale, les utilisateurs et les groupes arrêtent la synchronisation

Si vous utilisez l’application Connecteur d’approvisionnement SCIM Azure Databricks : après la synchronisation initiale, Microsoft Entra ID ne se synchronise pas immédiatement après la modification des attributions d’utilisateurs ou de groupes. Il planifie une synchronisation avec l’application après un certain délai, en fonction du nombre d’utilisateurs et de groupes. Pour demander une synchronisation immédiate, accédez à gérer > l’approvisionnement pour l’application d’entreprise, puis sélectionnez effacer l’état actuel et redémarrer la synchronisation.

Plage d’adresses IP du service d’approvisionnement Microsoft Entra ID non accessible

Le service d’approvisionnement Microsoft Entra ID fonctionne sous des plages d’adresses IP spécifiques. Si vous devez restreindre l’accès au réseau, vous devez autoriser le trafic à partir des adresses IP pour AzureActiveDirectory dans ce d’adresses IP. Pour plus d'informations, consultez Plages D’IP.