Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment configurer Azure Databricks pour synchroniser des utilisateurs, des principaux de service et des groupes à partir de Microsoft Entra ID à l’aide de la gestion automatique des identités.
Vue d’ensemble de la gestion automatique des identités
La gestion automatique des identités vous permet d’ajouter en toute transparence des utilisateurs, des principaux de service et des groupes de Microsoft Entra ID dans Azure Databricks sans configurer une application dans l’ID Microsoft Entra. Lorsque la gestion automatique des identités est activée, vous pouvez rechercher directement des espaces de travail fédérés d’identité pour les utilisateurs d’ID d’entrée Microsoft, les principaux de service et les groupes, et les ajouter à votre espace de travail. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux appartenances aux groupes sont donc respectées dans Azure Databricks.
Les utilisateurs peuvent également partager des tableaux de bord avec n’importe quel utilisateur, principal de service ou groupe dans Microsoft Entra ID. Ces utilisateurs sont automatiquement ajoutés au compte Azure Databricks lors de la connexion. Ils ne sont pas ajoutés en tant que membres à l’espace de travail dans lequel se trouve le tableau de bord. Les membres de Microsoft Entra ID qui n’ont pas accès à l’espace de travail sont autorisés à accéder à une copie en affichage seule d’un tableau de bord publié avec des informations d’identification incorporées. Pour plus d’informations sur le partage de tableaux de bord, consultez Partager un tableau de bord.
La gestion automatique des identités n’est pas prise en charge dans les espaces de travail fédérés sans identités. Pour plus d'informations sur l'identité fédérée, consultez Activer l'identité fédérée.
États des utilisateurs et des groupes
Lorsque la gestion automatique des identités est activée, les utilisateurs, les principaux de service et les groupes de Microsoft Entra ID sont visibles dans la console de compte et la page des paramètres d’administration de l’espace de travail. Leur état reflète leur activité et leur état entre l’ID Microsoft Entra et Azure Databricks :
| Statut | Signification |
|---|---|
| Inactif : aucune utilisation | Identité dans Microsoft Entra ID qui ne s’est pas encore connectée à Azure Databricks. |
| Actif | L’identité est active dans Azure Databricks. |
| Actif : supprimé de EntraID | Précédemment actif dans Azure Databricks et a été supprimé de l’ID Microsoft Entra. |
| Désactivé | L'identité a été désactivée dans Microsoft Entra ID. |
Les utilisateurs désactivés et les utilisateurs supprimés de Microsoft Entra ID ne peuvent pas se connecter à Azure Databricks ou s’authentifier auprès des API Azure Databricks. En guise de meilleure pratique de sécurité, nous vous recommandons de révoquer les jetons d’accès personnels pour les utilisateurs désactivés et actifs : supprimés des utilisateurs EntraID .
Les groupes et les principaux de service gérés à l’aide de la gestion automatique des identités sont affichés comme externes dans Azure Databricks. Les identités externes ne peuvent pas être mises à jour à l’aide de l’interface utilisateur Azure Databricks.
Gestion automatique des identités et approvisionnement SCIM
Lorsque la gestion automatique des identités est activée, tous les utilisateurs, groupes et appartenances aux groupes se synchronisent à partir de l’ID Microsoft Entra vers Azure Databricks afin que le provisionnement SCIM n’est pas nécessaire. Si vous conservez l’application d’entreprise SCIM en parallèle, l’application SCIM continue de gérer les utilisateurs et les groupes configurés dans l’application d’entreprise Microsoft Entra ID. Il ne gère pas les identités Microsoft Entra ID qui n’ont pas été ajoutées à l’aide du provisionnement SCIM.
Databricks recommande d’utiliser la gestion automatique des identités. Le tableau ci-dessous compare les fonctionnalités de gestion automatique des identités aux fonctionnalités d’approvisionnement SCIM.
| Fonctionnalités | Gestion automatique des identités | Approvisionnement SCIM |
|---|---|---|
| Synchroniser les utilisateurs | ✓ | ✓ |
| Groupes de synchronisation | ✓ | ✓ (Membres directs uniquement) |
| Synchroniser des groupes imbriqués | ✓ | |
| Synchroniser les principaux de service | ✓ | |
| Configurer et gérer l’application Microsoft Entra ID | ✓ | |
| Nécessite l’édition Microsoft Entra ID Premium | ✓ | |
| Nécessite le rôle Administrateur d’application cloud Microsoft Entra ID | ✓ | |
| Nécessité d’une fédération d’identités | ✓ |
ID externe Azure Databricks et ID d’objet Microsoft Entra ID
Azure Databricks utilise l’ID ObjectId Microsoft Entra comme lien faisant autorité pour synchroniser les identités et les appartenances aux groupes, et met automatiquement à jour le externalId champ pour qu’il corresponde ObjectId au flux récurrent quotidien. Dans certains cas, des incompatibilités ou des identités en double peuvent toujours se produire, en particulier si un utilisateur, un principal de service ou un groupe est ajouté à Azure Databricks via la gestion automatique des identités et une autre méthode, comme le provisionnement SCIM. Dans ces situations, vous pouvez voir des entrées en double, avec une liste avec l’état Inactif : aucune utilisation. L’utilisateur n’est pas inactif et peut se connecter à Azure Databricks.
Vous pouvez fusionner ces identités en double en fournissant leur ID externe dans Azure Databricks. Utilisez l'API Account Users, Account Service Principals, ou Account Groups pour mettre à jour le principal afin d'ajouter son ID Microsoft Entra dans le champ objectId.
Puisque la externalId peut être mise à jour au fil du temps, Azure Databricks recommande vivement de ne pas utiliser de flux de travail personnalisés qui dépendent du champ externalId.
Activer la gestion automatique des identités
Les administrateurs de compte peuvent activer la gestion automatique des identités à l’aide de la page Aperçus.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Aperçus.
- Basculez la gestion automatique des identités sur Activé.
Une fois votre compte activé, ajoutez et supprimez des utilisateurs, des principaux de service et des groupes de l’ID Microsoft Entra, suivez les instructions ci-dessous :
- Ajouter des utilisateurs à votre compte
- Ajouter des principaux de service à votre compte
- Ajouter des groupes à votre compte
Lorsque la gestion automatique des identités est activée, les administrateurs de compte peuvent le désactiver à l’aide de la page Aperçus. En cas de désactivation, les utilisateurs, les principaux de service et les groupes précédemment provisionnés restent dans Azure Databricks, mais ne sont plus synchronisés avec l’ID Microsoft Entra. Vous pouvez supprimer ou désactiver ces utilisateurs dans la console de compte.
Auditer les connexions utilisateur
Vous pouvez interroger la table system.access.audit pour auditer les utilisateurs qui se sont connectés à l’espace de travail. Par exemple:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Pour découvrir plus d’informations sur la table system.access.audit, consultez Référence de la table du système du journal d’audit.