Synchroniser les utilisateurs et les groupes à partir de Microsoft Entra ID

Cet article explique comment configurer votre fournisseur d’identité (IdP) et Azure Databricks pour approvisionner des utilisateurs et des groupes dans Azure Databricks à l’aide de SCIM, ou System for Cross-domain Identity Management, une norme ouverte qui vous permet d’automatiser l’approvisionnement d’utilisateurs.

À propos de l’approvisionnement SCIM dans Azure Databricks

Avec SCIM, vous pouvez utiliser un fournisseur d’identité (IdP) pour créer des utilisateurs dans Azure Databricks, leur attribuer le niveau d’accès approprié et supprimer leur accès (en annulant leur approvisionnement) quand ils quittent votre organisation ou n’ont plus besoin d’accéder à Azure Databricks.

Vous pouvez utiliser un connecteur d’approvisionnement SCIM dans votre fournisseur d’identité ou appeler les API groupe SCIM pour gérer l’approvisionnement. Vous pouvez également utiliser ces API pour gérer les identités dans Azure Databricks directement, sans fournisseur d’identité.

Approvisionnement SCIM au niveau du compte et de l’espace de travail

Vous pouvez configurer un connecteur d’approvisionnement SCIM de Microsoft Entra ID vers votre compte Azure Databricks, à l’aide de l’approvisionnement SCIM au niveau du compte ou configurer des connecteurs d’approvisionnement SCIM distincts pour chaque espace de travail, à l’aide de l’approvisionnement SCIM au niveau de l’espace de travail.

  • Approvisionnement SCIM au niveau du compte : Databricks vous recommande d’utiliser le provisionnement SCIM au niveau du compte pour créer, mettre à jour et supprimer tous les utilisateurs du compte. Vous gérez l’attribution d’utilisateurs et de groupes à des espaces de travail dans Azure Databricks. Vos espaces de travail doivent être activés pour la fédération des identités afin de gérer les attributions d’espace de travail des utilisateurs.

Account-level SCIM diagram

  • Approvisionnement SCIM au niveau de l’espace de travail (préversion publique) : si aucun de vos espaces de travail n’est activé pour la fédération des identités, ou si vous avez un mélange d’espaces de travail, certains activés pour la fédération des identités et d’autres non, vous devez gérer l’approvisionnement SCIM au niveau du compte et au niveau de l’espace de travail en parallèle. Dans un scénario mixte, vous n’avez pas besoin d’approvisionnement SCIM au niveau de l’espace de travail pour les espaces de travail activés pour la fédération des identités.

    Si vous avez déjà configuré l’approvisionnement SCIM au niveau de l’espace de travail pour les espaces de travail que vous activez pour la fédération des identités, vous devez configurer l’approvisionnement SCIM au niveau du compte et désactiver l’approvisionnement SCIM au niveau de l’espace de travail. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Spécifications

Pour approvisionner des utilisateurs et des groupes dans Azure Databricks avec SCIM :

  • Votre compte Azure Databricks doit avoir le plan Premium.
  • Pour approvisionner des utilisateurs sur votre compte Azure Databricks à l’aide de SCIM (y compris les API REST SCIM), vous devez être administrateur de compte Azure Databricks.
  • Pour approvisionner des utilisateurs sur un espace de travail Azure Databricks à l’aide de SCIM (y compris les API REST SCIM), vous devez être administrateur d’espace de travail Azure Databricks.

Pour plus d’informations sur les privilèges Administrateur, consultez Gérer les utilisateurs, les principaux de service et les groupes.

Vous pouvez avoir au maximum 10 000 utilisateurs combinés et principaux de service et 5 000 groupes dans un compte. Chaque espace de travail peut avoir au maximum 10 000 utilisateurs combinés et principaux de service et 5 000 groupes.

Approvisionner des identités sur votre compte Azure Databricks

Vous pouvez utiliser SCIM pour approvisionner des utilisateurs et des groupes de Microsoft Entra ID vers votre compte Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM ou directement à l’aide des API SCIM.

Ajouter des utilisateurs et des groupes à votre compte Azure Databricks à partir de Microsoft Entra ID (anciennement Azure Active Directory)

Vous pouvez synchroniser les identités au niveau du compte de votre locataire Microsoft Entra ID vers Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.

Important

Si vous disposez déjà de connecteurs SCIM qui synchronisent les identités directement avec vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Pour obtenir les instructions complètes, consultez la section Approvisionner des identités sur votre compte Azure Databricks à l’aide de Microsoft Entra ID.

Remarque

Lorsque vous supprimez un utilisateur du connecteur SCIM au niveau du compte, cet utilisateur est désactivé du compte et de tous ses espaces de travail, que la fédération des identités ait été activée ou non. Lorsque vous supprimez un groupe du connecteur SCIM au niveau du compte, tous les utilisateurs de ce groupe sont désactivés du compte et de tous les espaces de travail auxquels ils avaient accès (sauf s'ils sont membres d'un autre groupe ou s'ils ont directement accès au connecteur SCIM au niveau du compte).

Ajouter des utilisateurs, des principaux de service et des groupes à votre compte à l’aide de l’API SCIM

Les administrateurs de compte peuvent ajouter des utilisateurs, des principaux de service et des groupes au compte Azure Databricks à l'aide de l'API Account SCIM. Les administrateurs de compte appellent l’API sur accounts.azuredatabricks.net ({account_domain}/api/2.0/accounts/{account_id}/scim/v2/) et peuvent utiliser un jeton SCIM ou un jeton Microsoft Entra ID pour s’authentifier.

Remarque

Le jeton SCIM est limité à l'API SCIM du compte /api/2.0/accounts/{account_id}/scim/v2/ et ne peut pas être utilisé pour s'authentifier auprès d'autres API REST Databricks.

Pour obtenir le jeton SCIM, procédez comme suit :

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.

  2. Dans la barre latérale, cliquez sur Paramètres.

  3. Cliquez sur Approvisionnement d’utilisateurs.

    Si l’approvisionnement n’est pas activé, cliquez sur Activer l’approvisionnement d’utilisateurs et copiez le jeton.

    Si l’approvisionnement est déjà activé, cliquez sur Régénérer le jeton et copiez-le.

Pour utiliser un jeton Microsoft Entra ID afin de s’authentifier, consultez Authentification de principal de service Microsoft Entra ID.

Les administrateurs d’espace de travail peuvent ajouter des utilisateurs et des principaux de service à l’aide de la même API. Les administrateurs d’espace de travail appellent l’API sur le domaine d’espace de travail {workspace-domain}/api/2.0/account/scim/v2/.

Faire pivoter le jeton SCIM au niveau du compte

Si le jeton SCIM au niveau du compte est compromis ou si vous devez impérativement opérer une rotation périodique des jetons d’authentification, vous pouvez effectuer la rotation du jeton SCIM.

  1. En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Paramètres.
  3. Cliquez sur Approvisionnement d’utilisateurs.
  4. Cliquer sur Régénérer le jeton. Notez le nouveau jeton. Le jeton précédent continuera de fonctionner pendant 24 heures.
  5. Dans les 24 heures, mettez à jour votre application SCIM pour utiliser le nouveau jeton SCIM.

Approvisionner des identités sur un espace de travail Azure Databricks

Important

Cette fonctionnalité est disponible en préversion publique.

Si vous souhaitez utiliser un connecteur IdP pour approvisionner des utilisateurs et des groupes, et que vous disposez d’un espace de travail qui n’est pas fédéré par identité, vous devez configurer l’approvisionnement SCIM au niveau de l’espace de travail.

Notes

SCIM au niveau de l’espace de travail ne reconnaît pas les groupes de comptes affectés à votre espace de travail d’identité fédérée et les appels de l’API SCIM au niveau de l’espace de travail échouent s’ils impliquent des groupes de comptes. Si votre espace de travail est activé pour la fédération des identités, Databricks vous recommande d’utiliser l’API SCIM au niveau du compte plutôt qu’au niveau de l’espace de travail, mais aussi de configurer le provisionnement SCIM au niveau du compte et de le désactiver au niveau de l’espace de travail. Pour obtenir des instructions détaillées, consultez Effectuer une migration du provisionnement SCIM du niveau de l’espace de travail vers le niveau du compte.

Ajouter des utilisateurs et des groupes à votre espace de travail à l’aide d’un connecteur d’approvisionnement IdP

Suivez les instructions de l’article approprié spécifique au fournisseur d’identité :

Ajouter des utilisateurs, des groupes et des principaux de service à votre espace de travail à l’aide de l’API SCIM

Les administrateurs d’espace de travail peuvent ajouter des utilisateurs, des groupes et des principaux de service au compte Azure Databricks à l’aide des API SCIM pour les espaces de travail. Consultez l’API Groupes.

Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte

Si vous activez l’approvisionnement SCIM au niveau du compte et que vous avez déjà l’approvisionnement SCIM au niveau de l’espace de travail configuré pour certains espaces de travail, Databricks vous recommande de désactiver l’approvisionnement SCIM au niveau de l’espace de travail et de synchroniser les utilisateurs et les groupes au niveau du compte.

  1. Créez un groupe dans Microsoft Entra ID qui inclut tous les utilisateurs et groupes que vous approvisionnez actuellement sur Azure Databricks à l’aide de vos connecteurs SCIM au niveau de l’espace de travail.

    Databricks recommande que ce groupe inclue tous les utilisateurs dans tous les espaces de travail de votre compte.

  2. Configurez un nouveau connecteur d’approvisionnement SCIM pour approvisionner des utilisateurs et des groupes sur votre compte à l’aide des instructions fournies dans Approvisionner des identités sur votre compte Azure Databricks.

    Utilisez le groupe ou les groupes que vous avez créés à l’étape 1. Si vous ajoutez un utilisateur qui partage un nom d’utilisateur (adresse e-mail) avec un utilisateur existant du compte, ces utilisateurs sont fusionnés. Les groupes existants dans le compte ne sont pas affectés.

  3. Vérifiez que le nouveau connecteur d’approvisionnement SCIM approvisionne correctement les utilisateurs et les groupes sur votre compte.

  4. Arrêtez les anciens connecteurs SCIM au niveau de l’espace de travail qui approvisionnaient des utilisateurs et des groupes dans vos espaces de travail.

    Ne supprimez pas les utilisateurs et les groupes des connecteurs SCIM au niveau de l’espace de travail avant leur arrêt. La révocation de l’accès à partir d’un connecteur SCIM désactive l’utilisateur dans l’espace de travail Azure Databricks. Pour plus d’informations, consultez Désactiver un utilisateur dans votre espace de travail Azure Databricks.

  5. Migrez des groupes locaux d’espace de travail vers des groupes de comptes.

    Si vous disposez de groupes hérités dans vos espaces de travail, ils sont appelés groupes locaux d'espace de travail. Vous ne pouvez pas gérer les groupes locaux d’espace de travail à l’aide d’interfaces au niveau du compte. Databricks recommande de les convertir en groupes de comptes. Consultez Migrer des groupes locaux d’espace de travail vers des groupes de comptes