Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page présente une vue d’ensemble des principaux de service dans Azure Databricks. Pour savoir comment gérer les principaux de service, consultez Gérer les principaux de service.
Qu’est-ce qu’un principal de service ?
Un principal de service est une identité spécialisée dans Azure Databricks conçue pour l’automatisation et l’accès par programmation. Les principaux de service offrent aux outils et scripts automatisés un accès api uniquement aux ressources Azure Databricks, ce qui offre une sécurité supérieure à l’utilisation de comptes d’utilisateurs.
Vous pouvez accorder et restreindre l’accès d’un principal de service aux ressources de la même façon qu’un utilisateur Azure Databricks. Par exemple, vous pouvez :
- Accorder un principal de service au rôle d’administrateur de compte ou d’administrateur d’espace de travail
- Accordez à un principal de service l’accès aux données à l’aide du catalogue Unity.
- Ajoutez un principal de service en tant que membre à un groupe.
Vous pouvez accorder aux utilisateurs, aux principaux de service et aux groupes Azure Databricks des autorisations d’utilisation d’un principal de service. Cela permet aux utilisateurs d’exécuter des travaux en tant que principal de service, au lieu de leur identité, ce qui empêche les travaux d’échouer si un utilisateur quitte votre organisation ou un groupe est modifié.
Avantages de l’utilisation des principaux de service :
- Sécurité et stabilité : Automatisez les travaux et les flux de travail sans compter sur des informations d’identification utilisateur individuelles pour réduire les risques associés aux modifications ou aux départs de compte d’utilisateur.
- Autorisations flexibles : Autoriser les utilisateurs, les groupes ou d’autres principaux de service à déléguer des autorisations à un principal de service, ce qui permet l’exécution du travail en leur nom.
- identitéAPI-Only : Contrairement aux utilisateurs standard de Databricks, les principaux de service sont conçus uniquement pour l’accès aux API et ne peuvent pas se connecter à l’interface utilisateur Databricks.
Principaux de service Databricks et Microsoft Entra ID
Les principaux de service peuvent être des principaux de service gérés Azure Databricks ou gérés par Microsoft Entra ID.
Les principaux de service gérés par Azure Databricks peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons d’accès personnels. Les principaux de service gérés par Microsoft Entra ID peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons Microsoft Entra ID. Pour plus d’informations sur l’authentification des principaux de service, voir Gérer les jetons d’un principal de service.
Les principaux de service géré Azure Databricks sont gérés directement dans Azure Databricks. Les principaux de service géré Microsoft Entra ID sont gérés dans Microsoft Entra ID, ce qui nécessite des autorisations supplémentaires. Databricks vous recommande d’utiliser des principaux de service gérés par Azure Databricks pour l’automatisation Azure Databricks, et d’utiliser des principaux de service gérés par Microsoft Entra ID pour les cas où vous devez vous authentifier en même temps auprès d’Azure Databricks et auprès d’autres ressources Azure.
Pour créer un principal de service géré par Azure Databricks, passez cette section et poursuivez la lecture avec Qui peut gérer et utiliser des principaux de service ?.
Pour utiliser des principaux du service gérés par Microsoft Entra ID dans Azure Databricks, un administrateur doit créer une application Microsoft Entra ID dans Azure. Pour créer un principal de service managé Microsoft Entra ID, consultez l’authentification du principal de service MS Entra.
Qui peut gérer et utiliser les principaux de service ?
Pour gérer les principaux de service dans Azure Databricks, vous devez disposer de l’un des éléments suivants : le rôle d’administrateur de compte, le rôle d’administrateur d’espace de travail ou le rôle de gestionnaire ou d’utilisateur sur un principal de service.
- Les administrateurs de compte peuvent ajouter des principaux de service au compte et leur attribuer des rôles d'administrateur. Ils peuvent également attribuer des principaux de service à des espaces de travail, tant que ceux-ci utilisent la fédération d’identité.
- Les administrateurs d’espace de travail peuvent ajouter des principaux de service à des espaces de travail Azure Databricks, leur attribuer le rôle d’administrateur de l’espace de travail. De plus, ils peuvent gérer l’accès aux objets et fonctionnalités de l’espace de travail, comme la possibilité de créer des clusters ou d’accéder à des environnements basés sur des personnages spécifiés.
- Les Gestionnaires de principal de service peuvent gérer des rôles sur un principal de service. Le créateur d’un principal de service devient le gestionnaire du principal de service. Les administrateurs de compte sont des gestionnaires de principaux de service sur tous les principaux de service d’un compte.
- Les Utilisateurs du principal de service peuvent exécuter des tâches en tant que principal de service. Le travail s’exécute en utilisant l’identité du principal de service, au lieu de l’identité du propriétaire du travail. Pour plus d’informations, consultez Gérer les identités, les autorisations et les privilèges pour les projets Databricks.
Les utilisateurs disposant du rôle Gestionnaire principal de service n’héritent pas du rôle Utilisateur du principal de service. Si vous souhaitez utiliser le principal de service pour exécuter des travaux, vous devez vous attribuer explicitement le rôle d’utilisateur principal du service, même après avoir créé le principal de service.
Pour plus d’informations sur l’octroi de rôles d’utilisateur et de gestionnaire de principal de service, consultez Rôles de gestion des principaux de service.
Synchroniser les principaux de service avec votre compte Azure Databricks à partir de votre locataire Microsoft Entra ID
Vous pouvez synchroniser automatiquement les principaux de service Microsoft Entra ID de votre locataire Microsoft Entra ID avec votre compte Azure Databricks à l’aide de la gestion automatique des identités (préversion publique). Databricks utilise l’ID Microsoft Entra comme source, de sorte que les modifications apportées aux utilisateurs ou aux appartenances aux groupes soient respectées dans Azure Databricks. Pour obtenir des instructions, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.
L’approvisionnement SCIM ne prend pas en charge la synchronisation des principaux de service.