Partage via


Authentification et contrôle d’accès

Cet article présente l’authentification et le contrôle d’accès dans Azure Databricks. Pour plus d’informations sur la sécurisation de l’accès à vos données, consultez Gouvernance des données avec Unity Catalog.

Pour plus d’informations sur la meilleure manière de configurer des utilisateurs et des groupes dans Azure Databricks, consultez Meilleures pratiques en matière d’identité.

Authentification unique

L’authentification unique sous la forme de connexion basée sur Microsoft Entra ID est disponible dans le compte Azure Databricks et les espaces de travail par défaut. Vous utilisez l’authentification unique Microsoft Entra ID pour la console de compte et les espaces de travail. Vous pouvez activer l’authentification multifacteur via Microsoft Entra ID.

Azure Databricks prend également en charge l’accès conditionnel Microsoft Entra ID qui permet aux administrateurs de contrôler où et quand les utilisateurs sont autorisés à se connecter à Azure Databricks. Consultez Accès conditionnel.

Synchroniser des utilisateurs et des groupes de Microsoft Entra ID en utilisant le provisionnement SCIM

Vous pouvez utiliser SCIM (System for Cross-domain Identity Management), une norme ouverte qui vous permet d’automatiser le provisionnement d’utilisateurs, pour synchroniser automatiquement les utilisateurs et les groupes de Microsoft Entra ID avec votre compte Azure Databricks. SCIM simplifie l’intégration d’un nouvel employé ou d’une nouvelle équipe en utilisant Microsoft Entra ID pour créer des utilisateurs et des groupes dans Azure Databricks, et pour leur donner le niveau d’accès approprié. Quand un utilisateur quitte votre organisation ou n’a plus besoin d’accéder à Azure Databricks, les administrateurs peuvent le supprimer de Microsoft Entra ID : son compte est alors également supprimé d’Azure Databricks. Vous bénéficiez ainsi d’un processus de retrait cohérent qui empêche les utilisateurs non autorisés d’accéder à des données sensibles. Pour plus d’informations, consultez Synchroniser des utilisateurs et des groupes depuis Microsoft Entra ID.

Authentification d’API sécurisée avec OAuth

Azure Databricks OAuth prend en charge les informations d’identification sécurisées et l’accès aux ressources et aux opérations au niveau de l’espace de travail Azure Databricks, et prend en charge les autorisations affinées pour l’autorisation.

Databricks prend également en charge les jetons d’accès personnels (PAT), mais vous recommande d’utiliser OAuth à la place. Pour surveiller et gérer les PAT, consultez Surveiller et révoquer des jetons d’accès personnels et gérer les autorisations de jeton d’accès personnel.

Pour plus d’informations sur l’authentification dans l’automatisation Azure Databricks, consultez Authentifier l’accès aux ressources Azure Databricks.

Databricks prend également en charge les jetons d’accès personnels (PAT), mais vous recommande d’utiliser OAuth à la place. Pour plus d’informations sur l’utilisation des PAT, consultez Surveiller et révoquer des jetons d’accès personnels.

Vue d’ensemble du contrôle d’accès

Dans Azure Databricks, il existe différents systèmes de contrôle d’accès pour différents objets sécurisables. Le tableau ci-dessous montre quel système de contrôle d'accès régit quel type d'objet sécurisable.

Objet sécurisable Système de contrôle d’accès
Objets sécurisables au niveau de l'espace de travail Listes de contrôle d’accès
Objets sécurisables au niveau du compte Contrôle d'accès basé sur le rôle du compte
Objets sécurisables Unity Catalog

Azure Databricks fournit également des rôles et des droits d'administrateur attribués directement aux utilisateurs, aux principaux de service et aux groupes.

Pour obtenir plus d’informations sur la sécurisation des données, consultez Gouvernance des données avec Unity Catalog.

Listes de contrôle d’accès

Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets d’espace de travail tels que des notebooks et des entrepôts SQL. Les listes de contrôle d’accès peuvent être gérées par tous les utilisateurs administrateurs de l’espace de travail et par les utilisateurs qui ont reçu des autorisations déléguées pour gérer ces listes. Pour obtenir plus d’informations sur les listes de contrôle d’accès, voir Liste de contrôle d’accès.

Contrôle d'accès basé sur le rôle du compte

Vous pouvez utiliser le contrôle d'accès basé sur le rôle du compte pour configurer l'autorisation d'utiliser des objets au niveau du compte, tels que des principaux de service et des groupes. Les rôles de compte sont définis une seule fois, dans votre compte, et s'appliquent à tous les espaces de travail. Tous les utilisateurs administrateurs de compte peuvent gérer les rôles de compte, tout comme les utilisateurs disposant d'autorisations déléguées pour les gérer, tels que les gestionnaires de groupe et les gestionnaires principaux de service.

Suivez ces articles pour plus d'informations sur les rôles de compte sur des objets spécifiques au niveau du compte :

Rôles d'administrateur Databricks

Outre le contrôle d'accès aux objets sécurisables, il existe des rôles intégrés sur la plateforme Azure Databricks. Les utilisateurs, les principaux de service et les groupes peuvent se voir attribuer des rôles.

Il existe deux principaux niveaux de privilèges d’administrateur disponibles sur la plateforme Azure Databricks :

  • Administrateurs de compte : ils gèrent le compte Azure Databricks, notamment l’activation d’Unity Catalog, l’approvisionnement d’utilisateurs et la gestion des identités au niveau du compte.

  • Administrateurs d’espace de travail : ils gèrent les identités de l’espace de travail, le contrôle d’accès, les paramètres et les fonctionnalités des espaces de travail individuels dans le compte.

En outre, les utilisateurs peuvent se voir attribuer ces rôles d’administrateur spécifiques aux fonctionnalités, qui ont des ensembles de privilèges plus réduits :

  • Administrateurs de la Place de marché : peuvent gérer le profil du fournisseur de Place de marché Databricks de leur compte, y compris la création et la gestion des listes de la Place de marché.
  • Administrateurs de metastore : peuvent gérer les privilèges et la propriété pour tous les objets sécurisables dans un metastore, par exemple décider qui peut créer des catalogues ou interroger une table.

Les utilisateurs peuvent également être désignés comme utilisateurs de l'espace de travail. Un utilisateur d'espace de travail a la possibilité de se connecter à un espace de travail, où il peut bénéficier d'autorisations au niveau de l'espace de travail.

Pour obtenir plus d’informations, consultez Configurer l'authentification unique (SSO).

Droits d'accès à l'espace de travail

Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les administrateurs de l'espace de travail attribuent des droits aux utilisateurs, aux principaux de service et aux groupes au niveau de l'espace de travail. Pour obtenir plus d’informations, consultez Gérer les droits d’utilisation.