Partager via


Configurer une identité commune sur une Data Science Virtual Machine

Sur une machine virtuelle Microsoft Azure, ou sur une Data Science Virtual Machine (DSVM), vous allez créer des comptes d’utilisateur local tout en provisionnant la machine virtuelle. Les utilisateurs s’authentifient ensuite auprès de la machine virtuelle avec des informations d’identification pour ces comptes d’utilisateur. Si vous avez plusieurs machines virtuelles auxquelles vos utilisateurs doivent accéder, la gestion des informations d’identification peut s’avérer difficile. Pour résoudre ce problème, vous pouvez déployer des comptes d’utilisateur communs et les gérer par le biais d’un fournisseur d’identité basé sur des normes. Vous pouvez ainsi utiliser un ensemble unique d’informations d’identification pour accéder à plusieurs ressources sur Azure, notamment à plusieurs DSVM.

Active Directory est un fournisseur d'identité courant. Azure le prend en charge en tant que service cloud et en tant que répertoire local. Vous pouvez utiliser Microsoft Entra ID ou un Active Directory local pour authentifier les utilisateurs sur une DSVM autonome ou un cluster de DSVM dans un groupe de machines virtuelles identiques Azure. Pour cela, joignez les instances DSVM à un domaine Active Directory.

Si vous disposez déjà d’un annuaire Active Directory, vous pouvez l’utiliser en tant que fournisseur d’identité commune. Si vous n’avez pas Active Directory, vous pouvez exécuter une instance Active Directory managée sur Azure par le biais de Microsoft Entra Domain Services.

La documentation sur Microsoft Entra ID fournit des instructions de gestion détaillées, notamment des procédures pour connecter Microsoft Entra ID à votre répertoire local, si vous en avez un.

Cet article explique comment configurer un service de domaine Active Directory entièrement managé sur Azure à l’aide de Microsoft Entra Domain Services. Vous pouvez ensuite joindre vos DSVM au domaine Active Directory managé. Cette approche permet aux utilisateurs d’accéder à un pool de DSVM (et à d’autres ressources Azure) par le biais d’un compte d’utilisateur commun et d’informations d’identification communes.

Configurer un domaine Active Directory entièrement managé dans Azure

Microsoft Entra Domain Services facilite la gestion des identités. Il fournit un service entièrement managé sur Azure. Pour ce domaine Active Directory, vous gérez les utilisateurs et les groupes. Pour configurer un domaine Active Directory hébergé sur Azure et des comptes d’utilisateur dans votre annuaire, effectuez ces étapes :

  1. Dans le portail Azure, ajoutez l’utilisateur à Active Directory :

    1. Se connecter au Portail Azure en tant qu’administrateur de rôle privilégié

    2. Accédez à Microsoft Entra ID>Utilisateurs>Tous les utilisateurs

    3. Sélectionnez Nouvel utilisateur

      Le volet Utilisateur s’ouvre, comme illustré dans cette capture d’écran :

      Capture d’écran montrant le bouton Ajouter un utilisateur.

    4. Entrez les détails de l’utilisateur, y compris son nom et son nom d’utilisateur. La partie du nom de domaine du nom d’utilisateur doit être le nom de domaine initial par défaut, « [nom de domaine].onmicrosoft.com », ou un nom de domaine personnalisé vérifié, non fédéré, comme « contoso.com ».

    5. Copiez ou notez le mot de passe de l’utilisateur généré. Vous devez fournir ce mot de passe à l’utilisateur une fois ce processus terminé

    6. Si vous le souhaitez, vous pouvez ouvrir et renseigner les informations dans Profil, Groupes ou Rôle d’annuaire pour l’utilisateur

    7. Sous Utilisateur, sélectionnez Créer

    8. Distribuez de manière sécurisée le mot de passe généré au nouvel utilisateur afin qu’il puisse se connecter

  2. Créer des instances Microsoft Entra Domain Services. Dans la ressource Activer Microsoft Entra Domain Services à l’aide du Portail Azure, consultez la section Créer une instance et configurer les paramètres de base pour plus d’informations. Vous devez mettre à jour les mots de passe existants de l’utilisateur dans Active Directory afin que le mot de passe dans Microsoft Entra Domain Services soit synchronisé. Vous devez également ajouter un DNS à Microsoft Entra Domain Services, comme décrit sous Renseigner les champs de la fenêtre Informations de base du Portail Azure pour créer une instance Microsoft Entra Domain Services dans cette section.

  3. Créez un sous-réseau DSVM distinct dans le réseau virtuel créé dans la section Créer et configurer le réseau virtuel de l’étape précédente

  4. Créez une ou plusieurs instances de DSVM dans le sous-réseau DSVM

  5. Suivez les instructions pour ajouter la DSVM à Active Directory

  6. Montez un partage Azure Files pour héberger votre répertoire de base ou de notebooks afin que votre espace de travail puisse être monté sur n’importe quelle machine. Si vous avez besoin d’autorisations limitées au niveau des fichiers, vous avez besoin d’un système NFS (Network File System) s’exécutant sur une ou plusieurs machines virtuelles

    1. Créez un partage Azure Files.

    2. Montez ce partage sur la DSVM Linux. Quand vous sélectionnez Connexion dans le partage Azure Files de votre compte de stockage dans le portail Azure, la commande à exécuter dans un interpréteur de commandes bash s’affiche sur la DSVM Linux. La commande se présente comme suit :

    sudo mount -t cifs //[STORAGEACCT].file.core.windows.net/workspace [Your mount point] -o vers=3.0,username=[STORAGEACCT],password=[Access Key or SAS],dir_mode=0777,file_mode=0777,sec=ntlmssp
    
  7. Par exemple, supposons que vous avez monté votre partage Azure Files dans le répertoire /data/workspace. Vous allez créer maintenant des répertoires pour chacun de vos utilisateurs dans le partage :

    • /data/workspace/user1
    • /data/workspace/user2
    • , etc.

    Créez un répertoire notebooks dans l’espace de travail de chaque utilisateur

  8. Créez des liens symboliques pour notebooks dans $HOME/userx/notebooks/remote

Les utilisateurs sont maintenant dans votre instance Active Directory hébergée par Azure. Avec les informations d’identification Active Directory, les utilisateurs peuvent se connecter à n’importe quelle DSVM (SSH ou JupyterHub) jointe à Microsoft Entra Domain Services. Étant donné que l’espace de travail utilisateur est hébergé par le partage Azure Files, les utilisateurs ont accès à leurs notebooks et aux autres travaux à partir de n’importe quelle DSVM lorsqu’ils utilisent JupyterHub.

Pour la mise à l’échelle automatique, vous pouvez utiliser le groupe de machines virtuelles identiques pour créer un pool de VM qui sont toutes jointes au domaine de cette manière et avec le disque partagé monté. Les utilisateurs peuvent se connecter à n’importe quelle machine disponible dans le groupe de machines virtuelles identiques et avoir accès au disque partagé sur lequel leurs notebooks sont enregistrés.

Étapes suivantes