Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les autorisations contrôlent ce que les utilisateurs peuvent faire avec les applications Databricks, telles que l’accès, la gestion et le partage d’applications. Cela diffère de l’authentification, qui vérifie l’identité d’un utilisateur. Les autorisations déterminent les actions que l’utilisateur est autorisé à effectuer dans l’application.
Niveaux d'autorisation
-
CAN MANAGE- Peut gérer les paramètres et autorisations de l’application, notamment la possibilité de modifier et de supprimer l’application. Inclut toutes lesCAN USEfonctionnalités. -
CAN USE- Peut exécuter et interagir avec l’application, mais ne peut pas la modifier ni la gérer.
Seuls les utilisateurs disposant CAN MANAGE d’autorisations peuvent attribuer ou révoquer des autorisations sur une application.
Attribuer des autorisations dans l’interface utilisateur des applications Databricks
Gérez qui peut afficher, exécuter ou modifier une application Databricks en affectant des autorisations directement dans l’interface utilisateur Databricks Apps.
- Accédez à la page des détails de l’application.
- Cliquez sur Autorisations.
- Utilisez la liste déroulante pour choisir un utilisateur, un groupe ou un principal de service.
- Sélectionnez le niveau d’autorisation approprié (
CAN USEouCAN MANAGE). - Cliquez sur Ajouter, puis Enregistrer pour appliquer les modifications.
Autorisations des organisations
Configurez les autorisations au niveau de l’organisation pour votre application à l’aide de l’une des options suivantes :
- Seules les personnes disposant d’un accès peuvent utiliser : Seuls les utilisateurs, les groupes et les principaux de service accordés explicitement aux autorisations dans le modal des autorisations peuvent accéder à l’application.
-
Toute personne de mon organisation peut utiliser : Tous les utilisateurs et principales de service du compte Azure Databricks actuel (le groupe
All account users) reçoivent des autorisationsCAN USE. Les utilisateurs et les principaux de service auxquels on a explicitement attribué des autorisationsCAN MANAGEconservent ces autorisations accrues, qui sont stockées séparément.
Les utilisateurs approvisionnés par JIT doivent toujours s’authentifier via le fournisseur d’identité de votre organisation et être reconnus par Azure Databricks en tant qu’utilisateurs de compte. Vous pouvez accorder à ces utilisateurs CAN USE l’accès aux applications, même s’ils n’ont pas accès à un espace de travail. Toutefois, l’accès dépend de la stratégie d’authentification de l’espace de travail. Par exemple, si PrivateLink est activé, Azure Databricks peut revenir à l’authentification au niveau de l’espace de travail. Dans ce cas, l’accès est bloqué pour les utilisateurs qui se connectent via le point de terminaison public Azure Databricks.
Vous ne pouvez pas rendre les applications Databricks publiques. L’accès anonyme et le contournement de l’authentification unique (SSO) ne sont pas pris en charge. Pour accorder l’accès aux collaborateurs externes, utilisez la fédération d’identité avec le provisionnement SCIM et JIT pour intégrer des utilisateurs via votre fournisseur d’identité sans accorder l’accès complet à l’espace de travail.
Autorisations et autorisation
Dans Databricks Apps, il est important de faire la distinction entre les autorisations et les autorisations, qui sont liées mais distinctes.
Les autorisations sont affectées au niveau de l’espace de travail et définissent qui au sein de l’espace de travail peut gérer ou utiliser une application. Les autorisations contrôlent l’accès à l’application elle-même, par exemple qui peut déployer, mettre à jour ou l’exécuter. Les autorisations ne contrôlent pas les données auxquels l’application ou ses utilisateurs peuvent accéder.
L’autorisation fait référence au contrôle de l’accès aux données et aux ressources, et comporte deux sous-catégories :
- Autorisation utilisateur : lorsque les utilisateurs s’authentifient auprès d’une application, Azure Databricks transfère leur identité au runtime de l’application. Cela permet à Unity Catalog et à d’autres stratégies d’accès aux données d’appliquer des autorisations en fonction de l’identité de l’utilisateur, en limitant les données que l’application peut accéder en son nom.
- Autorisation d’application : l’application s’exécute à l’aide d’un principal de service disposant de ses propres autorisations pour accéder aux ressources Azure Databricks requises. Cette autorisation régit ce que l’application elle-même peut faire indépendamment de n’importe quel utilisateur.
En résumé, les autorisations contrôlent l’accès au niveau de l’espace de travail à l’application (qui peut l’utiliser ou la gérer), tandis que l’autorisation régit l’accès aux données et aux ressources, y compris l’accès en fonction de l’identité utilisateur et l’accès au principal app service.
Pour plus d’informations, consultez Configurer l’autorisation dans une application Databricks.
Droits d’application
Tout utilisateur d’un espace de travail peut créer Databricks Apps, comme d’autres produits serverless. Toutefois, les droits suivants contrôlent différents aspects de l’accès aux applications :
- Accès et gestion des applications : Qui peut accéder à l’application et la gérer, contrôlé via des niveaux d’autorisations
- Autorisations du principal de service : Autorisations attribuées au principal de service dédié de l’application
- Consentement de l’utilisateur : Indique si un utilisateur consent à autoriser l’application à utiliser son identité pour l’autorisation de l’utilisateur
- Autorisations utilisateur : Autorisations de catalogue Unity et d’espace de travail sous-jacentes des utilisateurs accédant à l’application
Bonnes pratiques pour les autorisations
Suivez ces bonnes pratiques pour gérer les autorisations d’application Databricks en toute sécurité :
- Suivez le principe du privilège minimum en accordant uniquement les autorisations nécessaires pour le rôle de chaque utilisateur.
- Préférez attribuer une
CAN USEautorisation, sauf si les utilisateurs nécessitent des fonctionnalités de gestion. - Utilisez des groupes ou des principaux de service pour gérer efficacement les autorisations à grande échelle.