Configurer l’approvisionnement scim pour Microsoft Azure Active Directory Configure SCIM provisioning for Microsoft Azure Active Directory

Pour activer la configuration de Azure Databricks à l’aide d’Azure Active Directory (Azure AD), vous devez créer une application d’entreprise pour chaque espace de travail Azure Databricks.To enable provisioning to Azure Databricks using Azure Active Directory (Azure AD) you must create an enterprise application for each Azure Databricks workspace.

Notes

La configuration de l’approvisionnement est entièrement distincte du processus de configuration de l’authentification et de l’accès conditionnel pour les espaces de travail Azure Databricks.Provisioning configuration is entirely separate from the process of setting up authentication and conditional access for Azure Databricks workspaces. L’authentification pour Azure Databricks est gérée automatiquement par Azure Active Directory à l’aide du protocole OpenID Connect Protocol.Authentication for Azure Databricks is handled automatically by Azure Active Directory, using the OpenID Connect protocol flow. L’accès conditionnel, qui vous permet de créer des règles pour exiger une authentification multifacteur ou restreindre les connexions aux réseaux locaux, peut être établi au niveau du service.Conditional access, which lets you create rules to require multi-factor authentication or restrict logins to local networks, can be established at the service level. Pour obtenir des instructions, consultez accès conditionnel.For instructions, see Conditional access.

Configuration requise Requirements

Votre compte de Azure AD doit être un compte d’édition Premium, et vous devez être un administrateur général de ce compte pour activer l’approvisionnement.Your Azure AD account must be a Premium edition account, and you must be a global administrator for that account to enable provisioning.

Créer une application d’entreprise et se connecter à l’API Azure Databricks SCIMCreate an enterprise application and connect to the Azure Databricks SCIM API

Dans les exemples suivants, remplacez <databricks-instance> par l' URL de l’espace de travail de votre déploiement Azure Databricks.In the following examples, replace <databricks-instance> with the workspace URL of your Azure Databricks deployment.

  1. Générez un jeton d’accès personnel dans Azure Databricks et copiez-le.Generate a personal access token in Azure Databricks and copy it. Vous fournissez ce jeton pour Azure AD dans une étape ultérieure.You provide this token to Azure AD in a subsequent step.

    Important

    Générez ce jeton en tant qu’administrateur Azure Databricks qui ne sera pas géré par l’application Azure ad Enterprise.Generate this token as an Azure Databricks admin who will not be managed by the Azure AD enterprise application. Un utilisateur administrateur Azure Databricks qui est géré par cette application d’entreprise peut être mis hors service à l’aide de Azure AD, ce qui entraînerait la désactivation de l’intégration de l’approvisionnement SCIM.An Azure Databricks admin user who is managed by this enterprise application can be deprovisioned using Azure AD, which would cause your SCIM provisioning integration to be disabled.

  2. Dans votre Portail Azure, accédez à Azure Active Directory > applications d’entreprise.In your Azure portal, go to Azure Active Directory > Enterprise Applications.

  3. Cliquez sur + nouvelle application au-dessus de la liste des applications,.Click + New Application above the application list,. Sous Ajouter à partir de la Galerie, recherchez et sélectionnez Azure Databricks connecteur d’approvisionnement scim.Under Add from the gallery, search for and select Azure Databricks SCIM Provisioning Connector.

  4. Entrez un nom pour l’application, puis cliquez sur Ajouter.Enter a Name for the application and click Add. Utilisez un nom qui aidera les administrateurs à le trouver, par exemple <workspace-name>-provisioning .Use a name that will help administrators find it, like <workspace-name>-provisioning.

  5. Dans le menu gérer , cliquez sur approvisionnement.Under the Manage menu, click Provisioning.

  6. Dans la liste déroulante mode de provisionnement , sélectionnez automatique.From the Provisioning Mode drop-down, select Automatic.

  7. Entrez l' URL du locataire:Enter the Tenant URL:

    https://<databricks-instance>/api/2.0/preview/scim
    

    Remplacez par l' URL de l’espace de travail de votre déploiement Azure Databricks.Replace with the workspace URL of your Azure Databricks deployment. Consultez obtenir l’espace de travail, le cluster, le bloc-notes, le modèle et les identificateurs de travail.See Get workspace, cluster, notebook, model, and job identifiers.

  8. Dans le champ jeton secret , entrez le Azure Databricks jeton d’accès personnel que vous avez généré à l’étape 1.In the Secret Token field, enter the Azure Databricks personal access token that you generated in step 1.

  9. Cliquez sur tester la connexion et attendez que le message confirme que les informations d’identification sont autorisées à activer l’approvisionnement.Click Test Connection and wait for the message that confirms that the credentials are authorized to enable provisioning.

  10. Si vous le souhaitez, entrez un e-mail de notification pour recevoir des notifications d’erreurs critiques avec l’approvisionnement SCIM.Optionally, enter a notification email to receive notifications of critical errors with SCIM provisioning.

  11. Cliquez sur Enregistrer.Click Save.

Affecter des utilisateurs et des groupes à l’applicationAssign users and groups to the application

  1. Accédez à gérer > approvisionnement et, sous paramètres, définissez l' étendue pour synchroniser uniquement les utilisateurs et les groupes affectés.Go to Manage > Provisioning and, under Settings, set the Scope to Sync only assigned users and groups.

    Cette option synchronise uniquement les utilisateurs et les groupes attribués à l’application d’entreprise. il s’agit de l’approche recommandée.This option syncs only users and groups assigned to the enterprise application, and is our recommended approach.

    Notes

    Azure Active Directory ne prend pas en charge l’approvisionnement automatique de groupes imbriqués en Azure Databricks.Azure Active Directory does not support the automatic provisioning of nested groups to Azure Databricks. Il peut uniquement lire et approvisionner les utilisateurs qui sont des membres immédiats du groupe explicitement affecté.It is only able to read and provision users that are immediate members of the explicitly assigned group. La solution est alors d’assigner explicitement (ou d’inclure dans l’étendue) les groupes qui contiennent les utilisateurs à attribuer.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned. Pour plus d’informations, consultez ce Forum aux questions.For more information, see this FAQ.

  2. Pour démarrer la synchronisation des utilisateurs et des groupes de Azure AD à Azure Databricks, activez/désactivez l’état de l' approvisionnement .To start the synchronization of users and groups from Azure AD to Azure Databricks, toggle Provisioning Status on.

  3. Cliquez sur Enregistrer.Click Save.

  4. Testez votre configuration de provisionnement :Test your provisioning setup:

    1. Accédez à gérer les utilisateurs et les groupes de >.Go to Manage > Users and groups.
    2. Ajoutez des utilisateurs et des groupes.Add some users and groups. Cliquez sur Ajouter un utilisateur, sélectionnez les utilisateurs et les groupes, puis cliquez sur le bouton attribuer .Click Add user, select the users and groups, and click the Assign button.
    3. Patientez quelques minutes et vérifiez que les utilisateurs et les groupes ont été ajoutés à votre espace de travail Azure Databricks.Wait a few minutes and check that the users and groups have been added to your Azure Databricks workspace.

Tous les utilisateurs et groupes supplémentaires que vous ajoutez et attribuez sont automatiquement approvisionnés lorsque Azure AD planifie la prochaine synchronisation.Any additional users and groups that you add and assign will automatically be provisioned when Azure AD schedules the next sync.

Important

N’affectez pas l’administrateur Azure Databricks dont le jeton secret (jeton du porteur) a été utilisé pour configurer cette application d’entreprise.Do not assign the Azure Databricks admin whose secret token (bearer token) was used to set up this enterprise application.

Conseils de provisionnementProvisioning tips

  • Les utilisateurs et les groupes qui existaient dans Azure Databricks avant d’activer l’approvisionnement présentent le comportement suivant lors de la configuration de la synchronisation :Users and groups that existed in Azure Databricks prior to enabling provisioning exhibit the following behavior upon provisioning sync:
    • Sont fusionnées s’ils existent également dans cette Azure AD application d’entreprise.Are merged if they also exist in this Azure AD enterprise application.
    • Sont ignorés s’ils n’existent pas dans cette application Azure AD Enterprise.Are ignored if they don’t exist in this Azure AD enterprise application.
  • Les autorisations utilisateur qui sont affectées individuellement et qui sont dupliquées par le biais de l’appartenance à un groupe sont conservées après la suppression de l’appartenance au groupe pour l’utilisateur.User permissions that are assigned individually and are duplicated through membership in a group remain after the group membership is removed for the user.
  • Utilisateurs supprimés directement d’un espace de travail Azure Databricks à l’aide de la console d’administration Azure Databricks :Users removed from an Azure Databricks workspace directly, using the Azure Databricks Admin console:
    • Perdez l’accès à cet espace de travail Azure Databricks, mais il peut toujours avoir accès à d’autres espaces de travail Azure Databricks.Lose access to that Azure Databricks workspace but may still have access to other Azure Databricks workspaces.
    • Ne sera pas synchronisé à nouveau à l’aide de l’approvisionnement Azure AD, même s’ils sont conservés dans l’application d’entreprise.Will not be synced again using Azure AD provisioning, even if they remain in the enterprise application.
  • La synchronisation initiale de Azure AD est déclenchée immédiatement après l’activation de l’approvisionnement.The initial Azure AD sync is triggered immediately after you turn on provisioning. Les synchronisations suivantes sont déclenchées toutes les 20-40 minutes, en fonction du nombre d’utilisateurs et de groupes de l’application.Subsequent syncs are triggered every 20-40 minutes, depending on the number of users and groups in the application. Consultez le rapport Résumé de la configuration dans la documentation Azure ad.See Provisioning summary report in the Azure AD documentation.
  • Le groupe « Admins » est un groupe réservé dans Azure Databricks et ne peut pas être supprimé.The “admins” group is a reserved group in Azure Databricks and cannot be removed.
  • Les groupes ne peuvent pas être renommés dans Azure Databricks ; n’essayez pas de les renommer dans Azure AD.Groups cannot be renamed in Azure Databricks; do not attempt to rename them in Azure AD.
  • Vous pouvez utiliser l’API Azure Databricks des groupes ou l' interface utilisateur des groupes pour obtenir la liste des membres de n’importe quel groupe de Azure Databricks.You can use the Azure Databricks Groups API or the Groups UI to get a list of members of any Azure Databricks group.
  • Vous ne pouvez pas mettre à jour les noms d’utilisateur et les adresses de messagerie Azure Databricks.You cannot update Azure Databricks usernames and email addresses.

DépannageTroubleshooting

Les utilisateurs et les groupes ne sont pas synchronisésUsers and groups do not sync

Le problème peut provenir du fait que le Azure Databricks administrateur dont le jeton d’accès personnel est utilisé pour se connecter à Azure AD a perdu l’État administrateur ou a un jeton non valide : Connectez-vous à la console d’administration Azure Databricks en tant qu’utilisateur et confirmez que vous êtes toujours un administrateur et que votre jeton d’accès est toujours valide.The issue could be that the Azure Databricks admin user whose personal access token is being used to connect to Azure AD has lost admin status or has an invalid token: log in to the Azure Databricks Admin console as that user and validate that you are still an admin and your access token is still valid.

Une autre possibilité est que vous essayez de synchroniser des groupes imbriqués, qui ne sont pas pris en charge par Azure AD l’approvisionnement automatique.Another possibility is that you are trying to sync nested groups, which are not supported by Azure AD automatic provisioning. Consultez ce Forum aux questions.See this FAQ.

Après la synchronisation initiale, les utilisateurs et les groupes ne sont pas synchronisésAfter initial sync the users and groups are not syncing

Après la synchronisation initiale, Azure AD ne se synchronise pas immédiatement après les modifications apportées aux attributions d’utilisateurs et de groupes.After the initial sync, Azure AD does not sync immediately upon changes to user and group assignments. Il planifie une synchronisation avec l’application après un certain délai (en fonction du nombre d’utilisateurs et de groupes).It schedules a sync with the application after a delay (depending on the number of users and groups). Vous pouvez accéder à gérer la configuration de > pour l’application d’entreprise et sélectionner effacer l’état actuel et redémarrer la synchronisation pour lancer une synchronisation immédiate.You can go to Manage > Provisioning for the enterprise application and select Clear current state and restart synchronization to initiate an immediate sync.