Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page décrit comment Azure Databricks synchronise automatiquement les utilisateurs, les principaux de service et les groupes à partir de Microsoft Entra ID à l’aide de la gestion automatique des identités.
Vue d’ensemble de la gestion automatique des identités
La gestion automatique des identités vous permet d’ajouter en toute transparence des utilisateurs, des principaux de service et des groupes de Microsoft Entra ID dans Azure Databricks sans configurer une application dans l’ID Microsoft Entra. Lorsque la gestion automatique des identités est activée, vous pouvez rechercher directement des espaces de travail fédérés d’identité pour les utilisateurs d’ID d’entrée Microsoft, les principaux de service et les groupes, et les ajouter à votre espace de travail. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux appartenances aux groupes sont donc respectées dans Azure Databricks.
L’approvisionnement juste-à-temps (JIT) est toujours activé lorsque la gestion automatique des identités est activée et que vous ne pouvez pas la désactiver. Les nouveaux utilisateurs de Microsoft Entra ID sont automatiquement approvisionnés dans Azure Databricks lors de la première connexion. Consultez Provisionner automatiquement les utilisateurs (JIT).
Les utilisateurs peuvent également partager des tableaux de bord avec n’importe quel utilisateur, principal de service ou groupe dans Microsoft Entra ID. Lorsqu’ils sont partagés, ces utilisateurs, principaux de service et membres de groupes sont automatiquement ajoutés au compte Azure Databricks lors de la connexion. Ils ne sont pas ajoutés en tant que membres à l’espace de travail dans lequel se trouve le tableau de bord. Les membres de l’ID Microsoft Entra qui n’ont pas accès à l’espace de travail sont autorisés à accéder à une copie en affichage seule d’un tableau de bord publié avec des autorisations de données partagées. Pour plus d’informations sur le partage de tableaux de bord, consultez Partager un tableau de bord.
La gestion automatique des identités n’est pas prise en charge dans les espaces de travail fédérés sans identités. Pour plus d’informations sur la fédération d’identité, consultez Fédération des identités.
États des utilisateurs et des groupes
Lorsque la gestion automatique des identités est activée, les utilisateurs, les principaux de service et les groupes de Microsoft Entra ID sont visibles dans la console de compte et la page des paramètres d’administration de l’espace de travail. Leur état reflète leur activité et leur état entre l’ID Microsoft Entra et Azure Databricks :
| Statut | Signification |
|---|---|
| Inactif : aucune utilisation | Pour les utilisateurs et les principaux de services : identité dans Microsoft Entra ID qui ne s'est pas encore connecté(e) à Azure Databricks. Pour les groupes : le groupe n’a pas été ajouté à un espace de travail. |
| Actif | L’identité est active dans Azure Databricks. |
| Actif : supprimé de EntraID | Précédemment actif dans Azure Databricks et a été supprimé de l’ID Microsoft Entra. Impossible de se connecter ou de s’authentifier auprès des API. |
| Désactivé | L'identité a été désactivée dans Microsoft Entra ID. Impossible de se connecter ou de s’authentifier auprès des API. |
Conseil / Astuce
En guise de meilleure pratique de sécurité, Databricks recommande de révoquer les jetons d’accès personnels pour les utilisateurs désactivés et actifs : supprimés des utilisateurs EntraID .
Les identités gérées à l’aide de la gestion automatique des identités sont affichées comme externes dans Azure Databricks. Les identités externes ne peuvent pas être mises à jour à l’aide de l’interface utilisateur Azure Databricks.
Gestion automatique des identités et approvisionnement SCIM
Lorsque la gestion automatique des identités est activée, tous les utilisateurs, groupes et appartenances aux groupes se synchronisent à partir de l’ID Microsoft Entra vers Azure Databricks afin que le provisionnement SCIM n’est pas nécessaire. Si vous conservez l’application d’entreprise SCIM en parallèle, l’application SCIM continue de gérer les utilisateurs et les groupes configurés dans l’application d’entreprise Microsoft Entra ID. Il ne gère pas les identités d’ID Microsoft Entra qui n’ont pas été ajoutées à l’aide du provisionnement SCIM.
Databricks recommande d’utiliser la gestion automatique des identités. Le tableau ci-dessous compare les fonctionnalités de gestion automatique des identités aux fonctionnalités d’approvisionnement SCIM.
| Fonctionnalités | Gestion automatique des identités | Approvisionnement SCIM |
|---|---|---|
| Synchroniser les utilisateurs | ✓ | ✓ |
| Groupes de synchronisation | ✓ | ✓ (Membres directs uniquement) |
| Synchroniser des groupes imbriqués | ✓ | |
| Synchroniser les principaux de service | ✓ | |
| Configurer et gérer l’application Microsoft Entra ID | ✓ | |
| Nécessite l’édition Microsoft Entra ID Premium | ✓ | |
| Nécessite le rôle Administrateur d’application cloud Microsoft Entra ID | ✓ | |
| Nécessité d’une fédération d’identités | ✓ |
ID externe Azure Databricks et ID d’objet Microsoft Entra ID
Azure Databricks utilise l’ID ObjectId Microsoft Entra comme lien faisant autorité pour synchroniser les identités et les appartenances aux groupes, et met automatiquement à jour le externalId champ pour qu’il corresponde ObjectId au flux périodique quotidien. Dans certains cas, des incompatibilités ou des identités en double peuvent toujours se produire, en particulier si un utilisateur, un principal de service ou un groupe est ajouté à Azure Databricks via la gestion automatique des identités et une autre méthode, comme le provisionnement SCIM. Dans ces situations, vous pouvez voir des entrées en double, avec une liste avec l’état Inactif : aucune utilisation. L’utilisateur n’est pas inactif et peut se connecter à Azure Databricks.
Vous pouvez fusionner ces identités en double en fournissant leur ID externe dans Azure Databricks. Utilisez l'API Account Users, Account Service Principals, ou Account Groups pour mettre à jour le principal afin d'ajouter son ID Microsoft Entra dans le champ objectId.
Puisque la externalId peut être mise à jour au fil du temps, Azure Databricks recommande vivement de ne pas utiliser de flux de travail personnalisés qui dépendent du champ externalId.
Fonctionnement de la synchronisation de l’appartenance au groupe
Lorsque la gestion automatique des identités est activée, Azure Databricks actualise les appartenances aux groupes d’utilisateurs à partir de Microsoft Entra ID pendant les activités qui déclenchent des vérifications d’authentification et d’autorisation, par exemple, les connexions de navigateur, l’authentification par jeton ou les exécutions de travaux. Cela garantit que les autorisations basées sur des groupes dans Azure Databricks restent synchronisées avec les modifications apportées à l’ID Microsoft Entra.
Quand Azure Databricks actualise les appartenances aux groupes, il récupère les appartenances de groupe transitives (imbriquées) depuis Microsoft Entra ID. Cela signifie que si un utilisateur est membre du groupe A et que le groupe A est membre du groupe B, Azure Databricks reconnaît l’utilisateur comme étant membre des deux groupes. Azure Databricks récupère uniquement les membres des groupes qui ont été ajoutés à Azure Databricks. Elle ne synchronise pas ou ne reconstruit pas la hiérarchie de groupe parent complète à partir de l’ID Microsoft Entra.
Azure Databricks actualise les appartenances de groupe selon différentes planifications en fonction de l’activité :
- Connexions du navigateur : les appartenances aux groupes se synchronisent si plus de 5 minutes sont passées depuis la dernière synchronisation
- Autres activités (par exemple, l’authentification par jeton ou les travaux en cours d’exécution) : les appartenances au groupe se synchronisent si plus de 40 minutes sont passées depuis la dernière synchronisation
Activer la gestion automatique des identités
La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Les administrateurs de compte peuvent activer la gestion automatique des identités dans la console de compte.
En tant qu’administrateur de compte, connectez-vous à la console de compte.
Dans la barre latérale, cliquez sur Sécurité.
Sous l’onglet Attribution d’utilisateurs, activez la gestion automatique des identités à Activé.
Les modifications prennent cinq à dix minutes.
Une fois votre compte activé, ajoutez et supprimez des utilisateurs, des principaux de service et des groupes de l’ID Microsoft Entra, suivez les instructions ci-dessous :
- Ajouter des utilisateurs à votre compte
- Ajouter des principaux de service à votre compte
- Ajouter des groupes à votre compte
Désactiver la gestion automatique des identités
Lorsque la gestion automatique des identités est désactivée :
- Les utilisateurs et les principaux de service restent : ils conservent l’accès, mais ne sont plus synchronisés avec l’ID Microsoft Entra. Vous pouvez supprimer ou désactiver manuellement les utilisateurs et les principaux de service dans la console de compte après avoir désactivé la gestion automatique des identités.
- Les groupes perdent l’appartenance : les groupes restent dans Azure Databricks, mais tous les membres du groupe sont supprimés.
- Aucune synchronisation avec l’ID Microsoft Entra : les modifications apportées à l’ID Microsoft Entra (telles que les suppressions d’utilisateurs ou les mises à jour de groupe) ne sont pas reflétées dans Azure Databricks.
- Aucun héritage d’autorisation : les utilisateurs gérés par la gestion automatique des identités ne peuvent pas hériter des autorisations des groupes parents. Cela affecte les modèles d’autorisation imbriqués basés sur un groupe.
Si vous envisagez de désactiver la gestion automatique des identités, Databricks recommande de configurer l’approvisionnement SCIM à l’avance en tant que secours. SCIM peut ensuite prendre en charge la synchronisation d’identité et de groupe.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Sécurité.
- Sous l’onglet Attribution d’utilisateurs , activez la gestion automatique des identitéssur Désactivé.
Auditer les connexions utilisateur
Vous pouvez interroger la table system.access.audit pour auditer les utilisateurs qui se sont connectés à l’espace de travail. Par exemple:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Pour découvrir plus d’informations sur la table system.access.audit, consultez Référence de la table du système du journal d’audit.