Partager via

Configurer l’approvisionnement SCIM avec Microsoft Entra ID (Azure Active Directory)

Cet article décrit comment configurer l’approvisionnement vers le compte Azure Databricks à l’aide de Microsoft Entra ID.

Vous pouvez également synchroniser des utilisateurs et des groupes à partir de l’ID Microsoft Entra à l’aide de la gestion automatique des identités. La gestion automatique des identités ne vous oblige pas à configurer une application dans l’ID Microsoft Entra. Il prend également en charge la synchronisation des principaux de service Microsoft Entra ID et des groupes imbriqués vers Azure Databricks, ce qui n’est pas pris en charge avec l’approvisionnement SCIM. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Pour plus d’informations, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.

Note

Le connecteur de provisionnement SCIM Microsoft Entra ID n’est pas disponible dans les régions Azure Chine.

Note

L’approvisionnement SCIM est distinct de la configuration de l’authentification pour Azure Databricks. L’authentification est gérée automatiquement par l’ID Microsoft Entra, à l’aide du flux de protocole OpenID Connect.

Approvisionner des identités dans votre compte Azure Databricks à l’aide de Microsoft Entra ID

Vous pouvez synchroniser les utilisateurs et groupes au niveau du compte à partir de votre client Microsoft Entra ID vers Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.

Importante

Si vous disposez déjà de connecteurs SCIM qui synchronisent directement les identités vers vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer le provisionnement SCIM au niveau de l’espace de travail au niveau du compte.

Conditions requises

  • Votre compte Azure Databricks doit être associé à l'Abonnement Premium.
  • Vous devez avoir le rôle Administrateur d’applications cloud dans Microsoft Entra ID.
  • Votre compte Microsoft Entra ID doit être une édition Premium pour pouvoir approvisionner des groupes. L’approvisionnement des utilisateurs est disponible pour toute édition de Microsoft Entra ID.
  • Vous devez être administrateur de compte Azure Databricks.

Note

Pour activer la console de compte et désigner votre premier administrateur de compte, veuillez consulter la section Définir votre premier administrateur de compte.

Étape 1 : Configurer Azure Databricks

  1. En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte Azure Databricks.
  2. Cliquez sur Sécurité.
  3. Cliquez sur Attribution d’utilisateurs.
  4. Cliquez sur Set up user provisioning (Configurer l’approvisionnement des utilisateurs).

Copiez le jeton SCIM et l’URL SCIM du compte. Vous utiliserez ces éléments pour configurer votre application Microsoft Entra ID.

Note

Le token SCIM est limité à l’API SCIM de compte /api/2.1/accounts/{account_id}/scim/v2/ et ne peut pas être utilisé pour s’authentifier auprès d’autres API REST de Databricks.

Étape 2 : Configurer l’application d’entreprise

Ces instructions vous expliquent comment créer une application d’entreprise dans le portail Azure et utiliser cette application pour l’approvisionnement. Si vous disposez d’une application d’entreprise existante, vous pouvez la modifier pour automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph. Cela évite d’avoir à utiliser une application d’approvisionnement distincte dans le portail Azure.

Procédez comme suit pour permettre à Microsoft Entra ID de synchroniser des utilisateurs et des groupes avec votre compte Azure Databricks. Cette configuration est distincte de toutes les configurations que vous avez créées pour synchroniser des utilisateurs et des groupes sur des espaces de travail.

  1. Dans votre portail Azure, allez dans Microsoft Entra ID > Enterprise Applications (Applications d’entreprise).
  2. Cliquez sur + nouvelle application au-dessus de la liste des applications. Sous Ajouter à partir de la galerie, recherchez et sélectionnez Connecteur d’approvisionnement SCIM d’Azure Databricks.
  3. Saisissez un nom pour l'application et cliquez sur Ajouter.
  4. Dans le menu gérer , cliquez sur approvisionnement.
  5. Définissez le Mode d’approvisionnement sur Automatique.
  6. Définissez l’URL du point de terminaison de l’API SCIM sur l’URL SCIM du compte que vous avez copiée précédemment.
  7. Définissez Jeton secret sur le jeton SCIM Azure Databricks que vous avez généré précédemment.
  8. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.
  9. Cliquez sur Enregistrer.

Étape 3 : Affecter des utilisateurs et des groupes à l’application

Les utilisateurs et les groupes affectés à l’application SCIM sont approvisionnés sur le compte Azure Databricks. Si vous disposez d’espaces de travail Azure Databricks existants, Databricks recommande d’ajouter l’ensemble des utilisateurs et groupes existants dans ces espaces de travail à l’application SCIM.

Note

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique des principaux de service vers Azure Databricks. Vous pouvez ajouter des principaux de service à votre compte Azure Databricks en suivant Ajouter des principaux de service à votre compte.

Microsoft Entra ID ne prend pas en charge l’approvisionnement automatique des groupes imbriqués vers Azure Databricks. Microsoft Entra ID peut uniquement lire et approvisionner les utilisateurs qui sont des membres immédiats du groupe explicitement attribué. Comme solution de rechange, affectez explicitement (ou entrez dans le périmètre) les groupes qui contiennent les utilisateurs qui doivent être provisionnés. Pour plus d’informations, consultez cette page.

  1. Rendez-vous dans Manage (Gérer) > Properties (Propriétés).
  2. Définissez Assignment required (Affectation requise) sur No. Databricks recommande cette option, qui permet à tous les utilisateurs de se connecter au compte Azure Databricks.
  3. Allez sur Gérer> l’approvisionnement.
  4. Pour commencer à synchroniser les utilisateurs et groupes Microsoft Entra ID avec Azure Databricks, activez le bouton toggle Provisioning Status (État de l’approvisionnement) en le réglant sur On.
  5. Cliquez sur Enregistrer.
  6. Allez sur Gérer> les utilisateurs et les groupes.
  7. Cliquez sur Add user/group (Ajouter un utilisateur/groupe), sélectionnez les utilisateurs et groupes, puis cliquez sur le bouton Assign (Attribuer).
  8. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes existent dans votre compte Azure Databricks.

Les utilisateurs et groupes que vous ajoutez et attribuez seront automatiquement approvisionnés dans le compte Azure Databricks lorsque Microsoft Entra ID effectuera la prochaine synchronisation planifiée.

Note

Si vous supprimez un utilisateur de l’application SCIM au niveau du compte, cet utilisateur sera désactivé du compte ainsi que de ses espaces de travail, que la fédération d’identités soit activée ou non.

Conseils de provisionnement

  • Les utilisateurs et groupes qui existaient dans le compte Azure Databricks avant l’activation de l’approvisionnement présentent le comportement suivant lors de la synchronisation :
    • Les utilisateurs et groupes sont fusionnés s’ils existent également dans Microsoft Entra ID.
    • Les utilisateurs et les groupes sont ignorés s’ils n’existent pas dans l’ID Microsoft Entra. Les utilisateurs qui n’existent pas dans Microsoft Entra ID ne peuvent pas se connecter à Azure Databricks.
  • Les autorisations d’utilisateur attribuées individuellement, qui sont également couvertes par l’appartenance à un groupe, restent même après la suppression de l’appartenance au groupe pour l’utilisateur.
  • La suppression directe d’utilisateurs à partir d’un compte Azure Databricks à l’aide de la console de compte a les effets suivants :
    • L’utilisateur supprimé perd l’accès à ce compte Azure Databricks ainsi qu’à tous les espaces de travail associés.
    • L’utilisateur supprimé ne sera plus synchronisé à l’aide de l’approvisionnement Microsoft Entra ID, même s’il figure toujours dans l’application d’entreprise.
  • La première synchronisation Microsoft Entra ID est déclenchée immédiatement après l’activation de l’approvisionnement. Les synchronisations suivantes sont déclenchées toutes les 20-40 minutes, en fonction du nombre d’utilisateurs et de groupes de l’application. Veuillez consulter la section Rapport récapitulatif de l’approvisionnement dans la documentation Microsoft Entra ID.
  • Vous ne pouvez pas mettre à jour l’adresse e-mail d’un utilisateur Azure Databricks. Si vous devez mettre à jour une adresse e-mail, contactez votre équipe de compte Azure Databricks.
  • Vous ne pouvez pas synchroniser de groupes imbriqués ni de principaux de service Microsoft Entra ID à partir de l’application Azure Databricks SCIM Provisioning Connector. Databricks recommande d’utiliser l’application d’entreprise pour synchroniser les utilisateurs et groupes et gérer les groupes imbriqués ainsi que les principaux de service au sein d’Azure Databricks. Cependant, vous pouvez également utiliser le fournisseur Terraform Databricks ou des scripts personnalisés ciblant l’API SCIM d’Azure Databricks pour synchroniser les groupes imbriqués ou les principaux de service Microsoft Entra ID.
  • Les mises à jour de noms de groupe dans Microsoft Entra ID ne sont pas synchronisées dans Azure Databricks.
  • Les paramètres userName et emails.value doivent correspondre. Une discordance peut entraîner le rejet par Azure Databricks des requêtes de création d’utilisateur provenant de l’application SCIM Microsoft Entra ID. Dans les cas tels que les utilisateurs externes ou les e-mails alias, vous devrez peut-être modifier le mappage SCIM par défaut de l’application d’entreprise à utiliser userPrincipalName plutôt que mail.

(Facultatif) Automatiser l’approvisionnement SCIM à l’aide de Microsoft Graph

Microsoft Graph inclut des bibliothèques d’authentification et d’autorisation que vous pouvez intégrer dans votre application pour automatiser l’approvisionnement des utilisateurs et groupes dans votre compte ou vos espaces de travail Azure Databricks, au lieu de configurer une application de connecteur d’approvisionnement SCIM.

  1. Suivez les instructions d’inscription d’une application avec Microsoft Graph. Prenez note de l' ID d’application et de l' ID de locataire de l’application
  2. Accédez à la page Vue d’ensemble des applications. Sur cette page :
    1. Configurez une clé secrète client pour l’application et prenez note de la clé secrète.
    2. Accordez à l’application les autorisations suivantes :
      • Application.ReadWrite.All
      • Application.ReadWrite.OwnedBy
  3. Demandez à un administrateur Microsoft Entra ID de donner le consentement administrateur.
  4. Mettez à jour le code de votre application pour ajouter la prise en charge de Microsoft Graph.

Résolution des problèmes

Les utilisateurs et les groupes ne sont pas synchronisés

  • Si vous utilisez l’application du Connecteur d’approvisionnement SCIM Azure Databricks :
    • Dans la console de compte, vérifiez que le token SCIM Azure Databricks utilisé pour configurer l’approvisionnement est toujours valide.
  • Ne tentez pas de synchroniser des groupes imbriqués, car l’approvisionnement automatique Microsoft Entra ID ne les prend pas en charge. Pour plus d’informations, consultez cette page.

Les principaux de service Microsoft Entra ID ne sont pas synchronisés.

  • L’application Connecteur d’approvisionnement Azure Databricks SCIM ne prend pas en charge la synchronisation des principaux de service.

Après la synchronisation initiale, les utilisateurs et les groupes arrêtent la synchronisation

Si vous utilisez l’application Azure Databricks SCIM Provisioning Connector : après la synchronisation initiale, Microsoft Entra ID ne synchronise pas immédiatement après une modification des attributions d’utilisateurs ou de groupes. Il planifie une synchronisation avec l’application après un certain délai, en fonction du nombre d’utilisateurs et de groupes. Pour demander une synchronisation immédiate, rendez-vous dans Manage (Gérer ) > Provisioning (Approvisionnement) pour l’application d’entreprise et sélectionnez Clear current state and restart synchronization (Effacer l’état actuel et redémarrer la synchronisation).

Plage d’adresses IP du service d’approvisionnement Microsoft Entra ID non accessible

Le service d’approvisionnement Microsoft Entra ID fonctionne dans des plages d’adresses IP spécifiques. Si vous devez restreindre l’accès au réseau, vous devez autoriser le trafic provenant des adresses IP pour AzureActiveDirectory dans le fichier Plages d’adresses IP et balises de service Azure – Cloud public. Téléchargez-le depuis le site de téléchargement Microsoft. Pour plus d'informations, consultez Plages D’IP.

  • Last updated on