Partager via

Configurer approvisionnement SCIM au niveau de l’espace de travail à l’aide de Microsoft Entra ID (hérité)

  • Article

Important

Cette documentation a été mise hors service et peut ne pas être mise à jour. L’approvisionnement SCIM au niveau de l’espace de travail est hérité. Databricks vous recommande d’utiliser le provisionnement SCIM au niveau du compte, consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.

Important

Cette fonctionnalité est disponible en préversion publique.

Si vous avez des espaces de travail non activés pour la fédération de l’identité, vous devez continuer à approvisionner des utilisateurs, des principaux de service et des groupes directement à ces espaces de travail. Cette section décrit comment effectuer cette opération.

Dans les exemples suivants, remplacez <databricks-instance> par l’URL d’espace de travail de votre déploiement Azure Databricks.

Exigences

  • Votre compte Azure Databricks doit avoir le plan Premium.
  • Vous devez disposer du rôle Administrateur d’application cloud dans Microsoft Entra ID.
  • Votre compte Microsoft Entra ID doit être un compte d’édition Premium pour approvisionner des groupes. L’approvisionnement d’utilisateurs est disponible pour toute édition Microsoft Entra ID.
  • Vous devez être administrateur d’espace de travail Azure Databricks.

Étape 1 : créer l’application d’entreprise et la connecter à l’API SCIM Azure Databricks

Pour configurer l’approvisionnement directement vers les espaces de travail Azure Databricks à l’aide de Microsoft Entra ID, vous devez créer une application d’entreprise pour chaque espace de travail Azure Databricks.

Ces instructions vous expliquent comment créer une application d’entreprise dans le portail Azure et utiliser cette application pour l’approvisionnement.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à votre espace de travail Azure Databricks.

  2. Générez un jeton d’accès personnel et copiez-le. Vous fournissez ce jeton à Microsoft Entra ID dans une étape suivante.

    Important

    Générez ce jeton en tant qu’administrateur d’espace de travail Azure Databricks qui n’est pas géré par l’application d’entreprise Microsoft Entra ID. Si l’utilisateur administrateur Azure Databricks propriétaire du jeton d’accès personnel est désapprovisionné à l’aide de Microsoft Entra ID, l’application d’approvisionnement SCIM est désactivée.

  3. Dans votre portail Azure, accédez à Microsoft Entra ID > Application d'entreprise.

  4. Cliquez sur + nouvelle application au-dessus de la liste des applications. Sous Ajouter à partir de la Galerie, recherchez et sélectionnez Azure Databricks connecteur d’approvisionnement scim.

  5. Saisissez un nom pour l'application et cliquez sur Ajouter. Utilisez un nom qui aidera les administrateurs à le trouver, par exemple <workspace-name>-provisioning.

  6. Dans le menu gérer , cliquez sur approvisionnement.

  7. Définissez le Mode d’approvisionnement sur Automatique.

  8. Entrez l’URL du point de terminaison de l’API SCIM. Ajoutez /api/2.0/preview/scim à l’URL de votre espace de travail :

    https://<databricks-instance>/api/2.0/preview/scim

    Remplacez <databricks-instance> par l'URL de l'espace de travail de votre déploiement Azure Databricks. Consultez Obtenir des identificateurs pour les objets d’espace de travail.

  9. Définissez jeton secret sur la Azure Databricks jeton d’accès personnel que vous avez généré à l’étape 1.

  10. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.

  11. Si vous le souhaitez, entrez un e-mail de notification pour recevoir des notifications d’erreurs critiques avec l’approvisionnement SCIM.

  12. Cliquez sur Enregistrer.

Étape 2 : Affecter des utilisateurs et des groupes à l’application

Remarque

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de principaux de service en Azure Databricks. Vous pouvez ajouter des principaux de service à votre espace de travail Azure Databricks après Gérer les principaux de service dans votre espace de travail.

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de groupes imbriqués dans Azure Databricks. Microsoft Entra ID ne peut lire et approvisionner que les utilisateurs qui sont des membres immédiats du groupe explicitement attribué. Comme solution de rechange, affectez explicitement (ou entrez dans le périmètre) les groupes qui contiennent les utilisateurs qui doivent être provisionnés. Pour plus d’informations, consultez cette FAQ .

  1. Accédez à Gérer > Propriétés.
  2. Définissez Affectation requise sur Oui. Databricks recommande cette option, qui synchronise uniquement les utilisateurs et les groupes attribués à l’application d’entreprise.
  3. Allez sur Gérer> l’approvisionnement.
  4. Pour démarrer la synchronisation des utilisateurs et des groupes Microsoft Entra ID avec Azure Databricks, définissez le bouton bascule sur Activé.
  5. Cliquez sur Enregistrer.
  6. Allez sur Gérer> les utilisateurs et les groupes.
  7. Cliquez sur Ajouter un utilisateur/groupe, sélectionnez les utilisateurs et les groupes, puis cliquez sur le bouton Attribuer.
  8. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes existent dans votre compte Azure Databricks.

À l’avenir, les utilisateurs et les groupes que vous ajoutez et attribuez sont automatiquement approvisionnés quand Microsoft Entra ID planifie la prochaine synchronisation.

Important

N’affectez pas l’administrateur d’espace de travail Azure Databricks dont le jeton d’accès personnel a été utilisé pour configurer l’application du Connecteur d’approvisionnement SCIM Azure Databricks.