Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra
Important
Cette fonctionnalité est disponible en préversion publique . Pour rejoindre cette préversion, contactez votre équipe de compte Azure Databricks.
Cet article explique comment configurer Azure Databricks pour synchroniser des utilisateurs, des principaux de service et des groupes à partir de Microsoft Entra ID à l’aide de la gestion automatique des identités.
Comment les utilisateurs et les groupes se synchronisent-ils automatiquement à partir de l’ID Microsoft Entra ?
Vous pouvez ajouter des utilisateurs, des principaux de service et des groupes à partir de l’ID Microsoft Entra dans Azure Databricks sans configurer une application dans Microsoft Entra ID à l’aide de la gestion automatique des identités. Lorsque la gestion automatique des identités est activée, vous pouvez rechercher directement dans des espaces de travail fédérés d’identité des utilisateurs, des principaux de service et des groupes Microsoft Entra ID et les ajouter à votre espace de travail. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux appartenances aux groupes sont donc respectées dans Azure Databricks.
Les utilisateurs supprimés de l’état Microsoft Entra ID s’affichent en tant que Deactivated dans Azure Databricks. Les utilisateurs désactivés ne peuvent pas se connecter à Azure Databricks ou s’authentifier auprès des API Azure Databricks. En guise de meilleure pratique de sécurité, nous vous recommandons de révoquer les jetons d’accès personnels pour ces utilisateurs.
Les utilisateurs peuvent également partager des tableaux de bord avec n’importe quel utilisateur, principal de service ou groupe dans Microsoft Entra ID. Ces utilisateurs sont automatiquement ajoutés au compte Azure Databricks lors de la connexion. Ils ne sont pas ajoutés en tant que membres à l’espace de travail dans lequel se trouve le tableau de bord. Les membres de Microsoft Entra ID qui n’ont pas accès à l’espace de travail sont autorisés à accéder à une copie en affichage seule d’un tableau de bord publié avec des informations d’identification incorporées. Pour plus d’informations sur le partage de tableaux de bord, consultez Partager un tableau de bord.
La gestion automatique des identités n’est pas prise en charge dans les espaces de travail fédérés sans identités. Pour plus d'informations sur l'identité fédérée, consultez Activer l'identité fédérée.
Gestion automatique des identités et approvisionnement SCIM
Lorsque la gestion automatique des identités est activée, tous les utilisateurs, groupes et appartenances aux groupes se synchronisent à partir de l’ID Microsoft Entra vers Azure Databricks afin que le provisionnement SCIM n’est pas nécessaire. Si vous conservez l’application d’entreprise SCIM en parallèle, l’application SCIM continue de gérer les utilisateurs et les groupes configurés dans l’application d’entreprise Microsoft Entra ID. Il ne gère pas les identités Microsoft Entra ID qui n’ont pas été ajoutées à l’aide du provisionnement SCIM.
Databricks recommande d’utiliser la gestion automatique des identités. Le tableau ci-dessous compare les fonctionnalités de gestion automatique des identités aux fonctionnalités d’approvisionnement SCIM.
| Fonctionnalités | Gestion automatique des identités | Approvisionnement SCIM |
|---|---|---|
| Synchroniser les utilisateurs | ✓ | ✓ |
| Groupes de synchronisation | ✓ | ✓ (Membres directs uniquement) |
| Synchroniser des groupes imbriqués | ✓ | |
| Synchroniser les principaux de service | ✓ | |
| Configurer et gérer l’application Microsoft Entra ID | ✓ | |
| Nécessite l’édition Microsoft Entra ID Premium | ✓ | |
| Nécessite le rôle Administrateur d’application cloud Microsoft Entra ID | ✓ | |
| Nécessité d’une fédération d’identités | ✓ |
Note
Pendant la préversion publique, les groupes imbriqués ne sont pas répertoriés dans l’interface utilisateur Azure Databricks. Consultez limitations de l’interface utilisateur de gestion automatique des identités pendant la préversion publique.
Activer la gestion automatique des identités
Pour activer la gestion automatique des identités, contactez votre équipe de compte Azure Databricks. Une fois votre compte activé, ajoutez et supprimez des utilisateurs, des principaux de service et des groupes de l’ID Microsoft Entra, suivez les instructions ci-dessous :
- Gérer les utilisateurs dans votre compte
- Gérer les services principaux dans votre compte
- Ajouter des groupes à votre compte à l’aide de la console de compte
Lorsque la gestion automatique des identités est activée, les administrateurs de compte peuvent le désactiver à l’aide de la page Aperçus.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Aperçus.
- Désactivez la Gestion automatique de l’identité en positionnant le bouton bascule sur Désactivé.
En cas de désactivation, les utilisateurs, les principaux de service et les groupes précédemment provisionnés restent dans Azure Databricks, mais ne sont plus synchronisés avec l’ID Microsoft Entra. Vous pouvez supprimer ou désactiver ces utilisateurs dans la console de compte.
Auditer les connexions utilisateur
Vous pouvez interroger la table system.access.audit pour auditer les utilisateurs qui se sont connectés à l’espace de travail. Par exemple:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Pour plus d’informations sur la table system.access.audit, consultez Référence de la table du système du journal d’audit.
Limitations de l’interface utilisateur de gestion automatique des identités pendant la préversion publique
Les pages de détails des utilisateurs ne sont pas disponibles dans l’interface utilisateur de l’espace de travail Azure Databricks jusqu’à ce que l’utilisateur se connecte.
Lorsqu’un utilisateur est ajouté à un espace de travail à l’aide de la gestion automatique des identités, sa colonne source apparaît sous la forme « Databricks » au lieu de « Externe » jusqu’à ce qu’il se connecte.
Les utilisateurs, les principaux de service et les pages de détails des groupes ne sont pas disponibles dans l’interface utilisateur de l’espace de travail Azure Databricks s’ils sont indirectement affectés à l’espace de travail par le biais de l’appartenance au groupe.
Si un utilisateur, un principal de service ou un groupe est ajouté à Azure Databricks à l’aide de la gestion automatique des identités et également ajouté à Azure Databricks ou à une autre méthode, comme le provisionnement SCIM, il peut être répertorié deux fois, avec une liste apparaissant inactive. L’utilisateur n’est pas inactif et peut se connecter à Azure Databricks.
Note
Dans ce cas, vous pouvez fusionner des utilisateurs en double, des principaux de service et des groupes en fournissant leur ID externe dans Azure Databricks. Pour mettre à jour le principal afin d’ajouter son objectId Microsoft Entra ID dans le champ
externalId, utilisez l’API Utilisateurs de compte, Principaux de service de compte ou Groupes de comptes.Les pages de détails du groupe enfant ne sont pas disponibles dans l’interface utilisateur de l’espace de travail Azure Databricks.
Vous ne pouvez pas ajouter des utilisateurs, des principaux de service et des groupes Microsoft Entra ID directement à la console de compte à l’aide de l’interface utilisateur de la console de compte. Toutefois, les identités d’ID Microsoft Entra ajoutées aux espaces de travail Azure Databricks sont automatiquement ajoutées au compte.