Configurer le provisionnement SCIM à l’aide de Microsoft Entra ID (Azure Active Directory)

  • Article

Cet article explique comment configurer l’approvisionnement sur Azure Databricks à l’aide de Microsoft Entra ID (anciennement Azure Active Directory).

Vous pouvez configurer l’approvisionnement sur Azure Databricks à l’aide de Microsoft Entra ID au niveau du compte Azure Databricks ou au niveau de l’espace de travail Azure Databricks.

Databricks vous recommande d’approvisionner des utilisateurs, des principaux de service et des groupes au niveau du compte et de gérer l’attribution d’utilisateurs et de groupes à des espaces de travail dans Azure Databricks. Vos espaces de travail doivent être activés pour la fédération des identités, afin de gérer l’attribution d’utilisateurs à des espaces de travail. Si vous avez des espaces de travail qui ne sont pas activés pour la fédération des identités, vous devez continuer à approvisionner des utilisateurs, des principaux de service et des groupes directement à ces espaces de travail.

Notes

La configuration de l’approvisionnement est totalement distincte de la configuration de l’authentification et de l’accès conditionnel pour les espaces de travail ou les comptes Azure Databricks. L’authentification pour Azure Databricks est gérée automatiquement par Microsoft Entra ID à l’aide du protocole OpenID Connecter. Vous pouvez configurer l’accès conditionnel, ce qui vous permet de créer des règles pour exiger l’authentification multifacteur ou limiter les connexions aux réseaux locaux, au niveau du service.

Provisionner des identités sur votre compte Azure Databricks à l’aide de Microsoft Entra ID

Vous pouvez synchroniser les utilisateurs et groupes au niveau du compte de votre locataire Microsoft Entra ID vers Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.

Important

Si vous disposez déjà de connecteurs SCIM qui synchronisent les identités directement avec vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Exigences

  • Votre compte Azure Databricks doit avoir le plan Premium.
  • Vous devez disposer du rôle Administrateur d’application cloud dans Microsoft Entra ID.
  • Votre compte Microsoft Entra ID doit être un compte d’édition Premium pour approvisionner des groupes. L’approvisionnement d’utilisateurs est disponible pour toute édition Microsoft Entra ID.
  • Vous devez être administrateur de compte Azure Databricks.

Remarque

Pour activer la console de compte et établir votre premier administrateur de compte, consultez Établir votre premier administrateur de compte.

Étape 1 : Configurer Azure Databricks

  1. En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte Azure Databricks.
  2. Cliquez sur Icône Paramètres utilisateurParamètres.
  3. Cliquez sur Approvisionnement d’utilisateurs.
  4. Cliquez sur Configurer l’approvisionnement d’utilisateurs.

Copiez le jeton SCIM et l’URL SCIM du compte. Vous les utilisez pour configurer votre application Microsoft Entra ID.

Remarque

Le jeton SCIM est limité à l'API SCIM du compte /api/2.0/accounts/{account_id}/scim/v2/ et ne peut pas être utilisé pour s'authentifier auprès d'autres API REST Databricks.

Étape 2 : Configurer l’application d’entreprise

Ces instructions vous expliquent comment créer une application d’entreprise dans le portail Azure et utiliser cette application pour l’approvisionnement. Si vous disposez d’une application d’entreprise existante, vous pouvez la modifier pour automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph. Cela évite d’avoir à utiliser une application d’approvisionnement distincte dans le portail Azure.

Suivez ces étapes pour permettre à Microsoft Entra ID de synchroniser des utilisateurs et des groupes sur votre compte Azure Databricks. Cette configuration est distincte de toutes les configurations que vous avez créées pour synchroniser des utilisateurs et des groupes sur des espaces de travail.

  1. Dans votre portail Azure, accédez à Microsoft Entra ID > Application d'entreprise.
  2. Cliquez sur + nouvelle application au-dessus de la liste des applications. Sous Ajouter à partir de la Galerie, recherchez et sélectionnez Azure Databricks connecteur d’approvisionnement scim.
  3. Saisissez un nom pour l'application et cliquez sur Ajouter.
  4. Dans le menu gérer , cliquez sur approvisionnement.
  5. Définissez le Mode d’approvisionnement sur Automatique.
  6. Définissez l’URL du point de terminaison de l’API SCIM sur l’URL SCIM du compte que vous avez copiée précédemment.
  7. Définissez Jeton secret sur le jeton SCIM Azure Databricks que vous avez généré précédemment.
  8. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.
  9. Cliquez sur Enregistrer.

Étape 3 : Affecter des utilisateurs et des groupes à l’application

Les utilisateurs et les groupes affectés à l’application SCIM sont approvisionnés sur le compte Azure Databricks. Si vous disposez d’espaces de travail Azure Databricks existants, Databricks recommande d’ajouter l’ensemble des utilisateurs et groupes existants dans ces espaces de travail à l’application SCIM.

Remarque

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de principaux de service en Azure Databricks. Vous pouvez ajouter des principaux de service à votre compte Azure Databricks après Gérer les principaux de service dans votre compte.

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de groupes imbriqués dans Azure Databricks. Microsoft Entra ID ne peut lire et approvisionner que les utilisateurs qui sont des membres immédiats du groupe explicitement attribué. Comme solution de rechange, affectez explicitement (ou entrez dans le périmètre) les groupes qui contiennent les utilisateurs qui doivent être provisionnés. Pour plus d’informations, consultez cette FAQ .

  1. Accédez à Gérer > Propriétés.
  2. Définissez Affectation requise sur Non. Databricks recommande cette option qui permet à tous les utilisateurs de se connecter au compte Azure Databricks.
  3. Allez sur Gérer> l’approvisionnement.
  4. Pour démarrer la synchronisation des utilisateurs et des groupes Microsoft Entra ID avec Azure Databricks, définissez le bouton bascule sur Activé.
  5. Cliquez sur Enregistrer.
  6. Allez sur Gérer> les utilisateurs et les groupes.
  7. Cliquez sur Ajouter un utilisateur/groupe, sélectionnez les utilisateurs et les groupes, puis cliquez sur le bouton Attribuer.
  8. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes existent dans votre compte Azure Databricks.

Les utilisateurs et les groupes que vous ajoutez et attribuez seront automatiquement approvisionnés dans le compte Azure Databricks lorsque Microsoft Entra ID planifie la prochaine synchronisation.

Remarque

Si vous supprimez un utilisateur de l’application SCIM au niveau du compte, cet utilisateur est désactivé du compte et de ses espaces de travail, que la fédération d’identité ait été activée ou non.

Approvisionnez des identités dans votre espace de travail Azure Databricks à l’aide de Microsoft Entra ID (hérité)

Important

Cette fonctionnalité est disponible en préversion publique.

Si vous avez des espaces de travail non activés pour la fédération de l’identité, vous devez continuer à approvisionner des utilisateurs, des principaux de service et des groupes directement à ces espaces de travail. Cette section décrit comment effectuer cette opération.

Dans les exemples suivants, remplacez <databricks-instance> par l’URL d’espace de travail de votre déploiement Azure Databricks.

Exigences

  • Votre compte Azure Databricks doit avoir le plan Premium.
  • Vous devez disposer du rôle Administrateur d’application cloud dans Microsoft Entra ID.
  • Votre compte Microsoft Entra ID doit être un compte d’édition Premium pour approvisionner des groupes. L’approvisionnement d’utilisateurs est disponible pour toute édition Microsoft Entra ID.
  • Vous devez être administrateur d’espace de travail Azure Databricks.

Étape 1 : créer l’application d’entreprise et la connecter à l’API SCIM Azure Databricks

Pour configurer l’approvisionnement directement vers les espaces de travail Azure Databricks à l’aide de Microsoft Entra ID, vous devez créer une application d’entreprise pour chaque espace de travail Azure Databricks.

Ces instructions vous expliquent comment créer une application d’entreprise dans le portail Azure et utiliser cette application pour l’approvisionnement. Si vous disposez d’une application d’entreprise existante, vous pouvez la modifier pour automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph. Cela évite d’avoir à utiliser une application d’approvisionnement distincte dans le portail Azure.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à votre espace de travail Azure Databricks.

  2. Générez un jeton d’accès personnel et copiez-le. Vous fournissez ce jeton à Microsoft Entra ID dans une étape suivante.

    Important

    Générez ce jeton en tant qu’administrateur d’espace de travail Azure Databricks qui n’est pas géré par l’application d’entreprise Microsoft Entra ID. Si l’utilisateur administrateur Azure Databricks propriétaire du jeton d’accès personnel est désapprovisionné à l’aide de Microsoft Entra ID, l’application d’approvisionnement SCIM est désactivée.

  3. Dans votre portail Azure, accédez à Microsoft Entra ID > Application d'entreprise.

  4. Cliquez sur + nouvelle application au-dessus de la liste des applications. Sous Ajouter à partir de la Galerie, recherchez et sélectionnez Azure Databricks connecteur d’approvisionnement scim.

  5. Saisissez un nom pour l'application et cliquez sur Ajouter. Utilisez un nom qui aidera les administrateurs à le trouver, par exemple <workspace-name>-provisioning.

  6. Dans le menu gérer , cliquez sur approvisionnement.

  7. Définissez le Mode d’approvisionnement sur Automatique.

  8. Entrez l’URL du point de terminaison de l’API SCIM. Ajoutez /api/2.0/preview/scim à l’URL de votre espace de travail :

    https://<databricks-instance>/api/2.0/preview/scim

    Remplacez <databricks-instance> par l'URL de l'espace de travail de votre déploiement Azure Databricks. Consultez Obtenir des identificateurs pour les objets d’espace de travail.

  9. Définissez jeton secret sur la Azure Databricks jeton d’accès personnel que vous avez généré à l’étape 1.

  10. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.

  11. Si vous le souhaitez, entrez un e-mail de notification pour recevoir des notifications d’erreurs critiques avec l’approvisionnement SCIM.

  12. Cliquez sur Enregistrer.

Étape 2 : Affecter des utilisateurs et des groupes à l’application

Remarque

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de principaux de service en Azure Databricks. Vous pouvez ajouter des principaux de service à votre espace de travail Azure Databricks après Gérer les principaux de service dans votre espace de travail.

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique de groupes imbriqués dans Azure Databricks. Microsoft Entra ID ne peut lire et approvisionner que les utilisateurs qui sont des membres immédiats du groupe explicitement attribué. Comme solution de rechange, affectez explicitement (ou entrez dans le périmètre) les groupes qui contiennent les utilisateurs qui doivent être provisionnés. Pour plus d’informations, consultez cette FAQ .

  1. Accédez à Gérer > Propriétés.
  2. Définissez Affectation requise sur Oui. Databricks recommande cette option, qui synchronise uniquement les utilisateurs et les groupes attribués à l’application d’entreprise.
  3. Allez sur Gérer> l’approvisionnement.
  4. Pour démarrer la synchronisation des utilisateurs et des groupes Microsoft Entra ID avec Azure Databricks, définissez le bouton bascule sur Activé.
  5. Cliquez sur Enregistrer.
  6. Allez sur Gérer> les utilisateurs et les groupes.
  7. Cliquez sur Ajouter un utilisateur/groupe, sélectionnez les utilisateurs et les groupes, puis cliquez sur le bouton Attribuer.
  8. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes existent dans votre compte Azure Databricks.

À l’avenir, les utilisateurs et les groupes que vous ajoutez et attribuez sont automatiquement approvisionnés quand Microsoft Entra ID planifie la prochaine synchronisation.

Important

N’affectez pas l’administrateur d’espace de travail Azure Databricks dont le jeton d’accès personnel a été utilisé pour configurer l’application du Connecteur d’approvisionnement SCIM Azure Databricks.

(Facultatif) Automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph

Microsoft Graph comprend des bibliothèques d’authentification et d’autorisation que vous pouvez intégrer à votre application pour automatiser l’approvisionnement d’utilisateurs et de groupes vers vos compte ou espaces de travail Azure Databricks, au lieu de configurer une application de connecteur d’approvisionnement SCIM.

  1. Suivez les instructions d’inscription d’une application avec Microsoft Graph. Prenez note de l' ID d’application et de l' ID de locataire de l’application
  2. Allez sur la page de présentation des applications. Sur cette page :
    1. Configurez une clé secrète client pour l’application et prenez note de la clé secrète.
    2. Accordez à l’application ces autorisations :
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Demandez à un administrateur Microsoft Entra ID d’accorder le consentement administrateur.
  4. Mettez à jour le code de votre application pour Ajouter la prise en charge de Microsoft Graph.

Conseils de provisionnement

  • Les utilisateurs et les groupes qui existaient dans l’espace de travail Azure Databricks avant d’activer l’approvisionnement présentent le comportement suivant lors de la configuration de la synchronisation :
    • Sont fusionnés s’ils existent également dans Microsoft Entra ID
    • Sont ignorés s’ils n’existent pas dans Microsoft Entra ID
  • Les autorisations utilisateur qui sont affectées individuellement et qui sont dupliquées par le biais de l’appartenance à un groupe sont conservées après la suppression de l’appartenance au groupe pour l’utilisateur.
  • Utilisateurs supprimés directement d’un espace de travail Azure Databricks à l’aide de la page des paramètres d’administration de l’espace de travail Azure Databricks :
    • Perdez l’accès à cet espace de travail Azure Databricks, mais il peut toujours avoir accès à d’autres espaces de travail Azure Databricks.
    • Ne seront pas synchronisés à nouveau à l’aide de l’approvisionnement Microsoft Entra ID, même s’ils sont conservés dans l’application d’entreprise.
  • La synchronisation initiale de Microsoft Entra ID est déclenchée immédiatement après l’activation de l’approvisionnement. Les synchronisations suivantes sont déclenchées toutes les 20-40 minutes, en fonction du nombre d’utilisateurs et de groupes de l’application. Consultez le rapport de synthèse sur l’approvisionnement dans la documentation Microsoft Entra ID.
  • Vous ne pouvez pas mettre à jour le nom d’utilisateur ou l’adresse e-mail d’un utilisateur d’espace de travail Azure Databricks.
  • Le admins groupe est un groupe réservé dans Azure Databricks et ne peut pas être supprimé.
  • Vous pouvez utiliser l’API Groupes d’Azure Databricks ou l’interface utilisateur des groupes pour obtenir la liste des membres de n’importe quel groupe de l’espace de travail Azure Databricks.
  • Vous ne pouvez pas synchroniser les groupes imbriqués ou les principaux de service Microsoft Entra ID à partir de l’application Connecteur d’approvisionnement SCIM Azure Databricks. Databricks vous recommande d’utiliser l’application d'entreprise en entrée pour synchroniser les utilisateurs et les groupes et gérer les groupes imbriqués et les principaux de service dans Azure Databricks. Toutefois, vous pouvez également utiliser le fournisseur Databricks Terraform ou des scripts personnalisés qui ciblent l’API SCIM Azure Databricks afin de synchroniser des groupes imbriqués ou des principaux de service Microsoft Entra ID.

Résolution des problèmes

Les utilisateurs et les groupes ne sont pas synchronisés

  • Si vous utilisez l’application du Connecteur d’approvisionnement SCIM Azure Databricks :
    • Pour l’approvisionnement au niveau de l’espace de travail : sur la page des paramètres d’administration Azure Databricks, vérifiez que l’utilisateur Azure Databricks dont le jeton d’accès personnel est utilisé par l’application du Connecteur d’approvisionnement SCIM Azure Databricks est toujours un utilisateur administrateur d’espace de travail dans Azure Databricks et que le jeton est toujours valide.
    • Pour l’approvisionnement au niveau du compte : dans la console de compte, vérifiez que le jeton SCIM Azure Databricks utilisé pour configurer l’approvisionnement est toujours valide.
  • N’essayez pas de synchroniser des groupes imbriqués qui ne sont pas pris en charge par l’approvisionnement automatique de Microsoft Entra ID. Pour plus d’informations, consultez cette FAQ .

Les principaux de service Microsoft Entra ID ne se synchronisent pas

  • L’application Connecteur d’approvisionnement Azure Databricks SCIM ne prend pas en charge la synchronisation des principaux de service.

Après la synchronisation initiale, les utilisateurs et les groupes arrêtent la synchronisation

Si vous utilisez l’application Connecteur d’approvisionnement SCIM Azure Databricks : après la synchronisation initiale, Microsoft Entra ID ne se synchronise pas immédiatement après la modification des attributions d’utilisateurs ou de groupes. Il planifie une synchronisation avec l’application après un certain délai, en fonction du nombre d’utilisateurs et de groupes. Pour demander une synchronisation immédiate, accédez à gérer > l’approvisionnement pour l’application d’entreprise, puis sélectionnez effacer l’état actuel et redémarrer la synchronisation.

Plage d’adresses IP du service d’approvisionnement Microsoft Entra ID non accessible

Le service d’approvisionnement Microsoft Entra ID fonctionne sous des plages d’adresses IP spécifiques. Si vous devez restreindre l’accès au réseau, vous devez autoriser le trafic à partir des adresses IP pour AzureActiveDirectory dans ce d’adresses IP. Pour plus d'informations, consultez Plages D’IP.