Gérer les principaux de service

Cet article explique comment créer et gérer des principaux de service pour vos comptes et espaces de travail Azure Databricks.

Pour obtenir une vue d’ensemble du modèle d’identité Azure Databricks, consultez Identités Azure Databricks.

Qu’est-ce qu’un principal de service ?

Un principal de service est une identité que vous créez dans Azure Databricks pour être utilisée avec des outils, des travaux et des applications automatisés. Les principaux de service fournissent aux outils et aux scripts automatisés un accès d’API uniquement aux ressources Azure Databricks, offrant une plus grande sécurité que l’utilisation d’utilisateurs ou de groupes.

Vous pouvez accorder et restreindre l’accès d’un principal de service aux ressources de la même façon que pour un utilisateur Azure Databricks. Vous pouvez par exemple procéder comme suit :

• Donnez des rôles d’administrateur de compte et d’administrateur d’espace de travail de principal de service.
• Accordez à un principal de service l’accès aux données, soit au niveau du compte à l’aide de Unity Catalog, soit au niveau de l’espace de travail.
• Ajoutez un principal de service à un groupe au niveau du compte et de l’espace de travail, y compris le groupe admins d’espace de travail.

Vous pouvez également accorder aux utilisateurs, aux principaux de service et aux groupes Azure Databricks des autorisations pour utiliser un principal de service. Cela permet aux utilisateurs d’exécuter des travaux en tant que principal de service plutôt qu’en tant qu’identité. Cela empêche l’échec des travaux si un utilisateur quitte votre organisation ou si un groupe est modifié.

Contrairement à un utilisateur Azure Databricks, un principal de service est une identité d’API uniquement ; il ne peut pas accéder à l’interface utilisateur Azure Databricks.

Databricks vous recommande d’activer vos espaces de travail pour la fédération des identités. La fédération des identités vous permet de configurer des principaux de service dans la console de compte, puis d’attribuer ces accès à des espaces de travail spécifiques. Cela simplifie l’administration et la gouvernance des données Azure Databricks.

Important

Si votre compte a été créé après le 9 novembre 2023, la fédération d’identité est activée sur tous les nouveaux espaces de travail par défaut et ne peut pas être désactivée.

Principaux des services Databricks et Microsoft Entra ID (anciennement Azure Active Directory)

Les principaux de service peuvent être des principaux de service gérés Azure Databricks ou gérés par Microsoft Entra ID.

Les principaux de service gérés par Azure Databricks peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons d’accès personnels. Les principaux de service gérés par Microsoft Entra ID peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons Microsoft Entra ID. Pour plus d’informations sur l’authentification des principaux de service, voir Gérer les jetons d’un principal de service.

Les principaux de service géré Azure Databricks sont gérés directement dans Azure Databricks. Les principaux de service géré Microsoft Entra ID sont gérés dans Microsoft Entra ID, ce qui nécessite des autorisations supplémentaires. Databricks vous recommande d’utiliser des principaux de service gérés par Azure Databricks pour l’automatisation Azure Databricks, et d’utiliser des principaux de service gérés par Microsoft Entra ID pour les cas où vous devez vous authentifier en même temps auprès d’Azure Databricks et auprès d’autres ressources Azure.

Pour créer un principal de service géré par Azure Databricks, passez cette section et poursuivez la lecture avec Qui peut gérer et utiliser des principaux de service ?.

Pour utiliser des principaux du service gérés par Microsoft Entra ID dans Azure Databricks, un administrateur doit créer une application Microsoft Entra ID dans Azure. Pour créer un principal de service géré par Microsoft Entra ID, suivez ces instructions :

1. Connectez-vous au portail Azure.

   Remarque

   Le portail à utiliser diffère selon que votre application Microsoft Entra ID (anciennement Azure Active Directory) s’exécute dans le cloud public Azure ou dans un cloud national ou souverain. Pour plus d’informations, voir Clouds nationaux

2. Si vous avez accès à plusieurs locataires, abonnements ou répertoires, cliquez sur l’icône Répertoires + abonnements (répertoire avec filtre) dans le menu supérieur pour basculer vers le répertoire dans lequel vous souhaitez approvisionner le principal de service.

3. Dans Ressources de recherche, services et documents, recherchez et sélectionnez Microsoft Entra ID.

4. Cliquez sur + Ajouter, puis sélectionnez Inscription d’application.

5. Dans Nom, entrez le nom de l’application.

6. Dans la section Types de comptes pris en charge, sélectionnez Comptes de cet annuaire organisationnel uniquement (Locataire unique).

7. Cliquez sur S'inscrire.

8. Dans la page Présentation de la page d’application, dans la section Essentials, copiez les valeurs suivantes :

   • ID d’application (client)
   • ID de l’annuaire (locataire)

   

9. Pour générer une clé secrète client, dans Gérer, cliquez sur Certificats et secrets.

   Remarque

   Vous utilisez cette clé secrète client pour générer des jetons Microsoft Entra ID pour authentifier les principaux de service Microsoft Entra ID avec Azure Databricks. Pour déterminer si un outil Azure Databricks ou un kit de développement logiciel (SDK) peut utiliser des jetons Microsoft Entra ID, consultez la documentation de l’outil ou du kit de développement logiciel (SDK).

10. Sous l’onglet Clés secrètes client, cliquez sur Nouvelle clé secrète client.

    

11. Dans le volet Ajouter une clé secrète client, pour Description, entrez une description pour la clé secrète client.

12. Pour Expirer, sélectionnez une période d’expiration pour la clé secrète client, puis cliquez sur Ajouter.

13. Copiez et stockez la valeur de la clé secrète client dans un endroit sûr, car cette clé secrète client est le mot de passe de votre application.

Qui peut gérer et utiliser les principaux de service ?

Pour gérer les principaux de service dans Azure Databricks, vous devez disposer de l’un des éléments suivants : le rôle d’administrateur de compte, le rôle d’administrateur d’espace de travail ou le rôle de gestionnaire ou d’utilisateur sur un principal de service.

• Les administrateurs de compte peuvent ajouter des principaux de service au compte et leur attribuer des rôles d'administrateur. Ils peuvent également attribuer des principaux de service à des espaces de travail, tant que ceux-ci utilisent la fédération d’identité.
• Les administrateurs d’espace de travail peuvent ajouter des principaux de service à des espaces de travail Azure Databricks, leur attribuer le rôle d’administrateur de l’espace de travail. De plus, ils peuvent gérer l’accès aux objets et fonctionnalités de l’espace de travail, comme la possibilité de créer des clusters ou d’accéder à des environnements basés sur des personnages spécifiés.
• Les Gestionnaires de principal de service peuvent gérer des rôles sur un principal de service. Le créateur d’un principal de service devient le gestionnaire du principal de service. Les administrateurs de compte sont des gestionnaires de principaux de service sur tous les principaux de service d’un compte.

Remarque

Si un principal de service a été créé avant le 13 juin 2023, le créateur de celui-ci n’a pas le rôle de gestionnaire de principal de service par défaut. Demandez à un administrateur de compte de vous accorder le rôle de gestionnaire de principal de service.

• Les Utilisateurs du principal de service peuvent exécuter des tâches en tant que principal de service. Le travail s’exécute en utilisant l’identité du principal de service, au lieu de l’identité du propriétaire du travail. Pour plus d’informations, consultez Exécuter un travail en tant que principal de service.

Pour plus d’informations sur l’octroi de rôles d’utilisateur et de gestionnaire de principal de service, consultez Rôles de gestion des principaux de service.

Gérer les principaux de service dans votre compte

Les administrateurs de compte peuvent ajouter des principaux de service à votre compte Azure Databricks à l’aide de la console de compte.

Ajouter des principaux de service à votre compte à l’aide de la console de compte

Les principaux de service peuvent être créés dans Azure Databricks ou liés à partir d’un principal de service Microsoft Entra ID (anciennement Azure Active Directory) existant. Voir les principaux de service Databricks et Microsoft Entra ID (anciennement Azure Active Directory).

1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
3. Sous l’onglet Principaux de service, cliquez sur Ajouter un principal de service.
4. Sous Gestion, choisissez Géré par Databricks ou Géré par Microsoft Entra ID.
5. Si vous avez choisi Microsoft Entra ID managé, sous l’ID d’application Microsoft Entra, collez l’ID de l’application (client) pour le principal de service.
6. Entrez un nom pour le principal de service.
7. Cliquez sur Ajouter.

Attribuer des droits d’administrateur de compte à un principal de service

1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
3. Sous l’onglet Principaux de service, recherchez et cliquez sur le nom d’utilisateur.
4. Sous l’onglet Rôles, activez Administrateur de compte ou Administrateur de marketplace.

Affecter un principal de service à un espace de travail à l’aide de la console de compte

Pour ajouter des utilisateurs à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Les administrateurs d’espace de travail peuvent également attribuer des principaux de service aux espaces de travail en utilisant la page des paramètres d’administration de l’espace de travail. Pour plus d’information, consultezAjouter un principal de service à un espace de travail en utilisant des paramètres d’administration de l’espace de travail.

1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
2. Dans la barre latérale, cliquez sur Espaces de travail.
3. Cliquez sur le nom de votre espace de travail.
4. Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
5. Recherchez et sélectionnez le principal de service, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.

Supprimer un principal de service d’un espace de travail à l’aide de la console de compte

Pour supprimer des principaux de service d’un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Lorsqu’un principal de service est supprimé d’un espace de travail, le principal de service ne peut plus accéder à l’espace de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté à l’espace de travail, il retrouve ses autorisations précédentes.

1. En tant qu’administrateur de compte, connectez-vous à la console de compte
2. Dans la barre latérale, cliquez sur Espaces de travail.
3. Cliquez sur le nom de votre espace de travail.
4. Sous l’onglet Autorisations, recherchez le principal de service.
5. Cliquez sur le menu à trois points tout en haut à droite de la ligne du principal de service et sélectionnez Supprimer.
6. Cliquez sur Supprimer dans la boîte de dialogue de confirmation.

Désactivez un principal de service dans votre compte Azure Databricks

Les administrateurs de compte peuvent désactiver des principaux de service sur l’ensemble d’un compte Azure Databricks. Un principal de service désactivé ne peut pas s’authentifier sur le compte ou les espaces de travail Azure Databricks Toutefois, toutes les autorisations du principal de service et tous les objets d’espace de travail de l’utilisateur restent inchangés. Lorsqu’un principal de service est désactivé, ce qui suit est avéré :

• Le principal de service ne peut pas s’authentifier sur le compte ou sur l’un de ses espaces de travail, quelle que soit la méthode employée.
• Les applications ou scripts qui utilisent les jetons générés par le principal de service ne peuvent plus accéder à l’API Databricks. Les jetons sont conservés mais ne peuvent pas être utilisés pour l’authentification tant qu’un principal de service reste désactivé.
• Les clusters appartenant au principal de service restent en exécution.
• Les travaux planifiés créés par le principal de service échouent, sauf s’ils sont attribués à un nouveau propriétaire.

Lorsqu’un principal de service est réactivé, il peut se connecter à Azure Databricks avec les mêmes autorisations. Databricks recommande de désactiver les principaux de service du compte au lieu de les supprimer, car la suppression de ceux-ci est une action destructrice. Consultez Supprimer des principaux de service de votre compte Azure Databricks. Lorsque vous désactivez un principal de service du compte, celui-ci est également désactivé dans ses espaces de travail fédérés par identité.

Vous ne pouvez pas désactiver en utilisant la console de compte. Utilisez plutôt l’API de principaux de services de comptes. Consultez Désactiver un principal de service à l’aide de l’API.

Supprimer des principaux de service de votre compte Azure Databricks

Les administrateurs de compte peuvent supprimer des principaux de service d’un compte Azure Databricks. Les administrateurs d’espace de travail ne le peuvent pas. Lorsque vous supprimez un principal de service du compte, ce principal est également supprimé de leurs espaces de travail.

Important

Quand vous supprimez un principal de service du compte, celui-ci est également supprimé de ses espaces de travail, que la fédération des identités ait été activée ou non. Nous vous recommandons de ne pas supprimer les principaux de service au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Tenez compte des conséquences suivantes liées à la suppression de principaux de service :

• Les applications ou les scripts qui utilisent les jetons générés par le principal du service ne peuvent plus accéder aux API Databricks.
• Les tâches appartenant au principal du service échouent.
• Les clusters appartenant au principal du service s'arrêtent.
• Les requêtes ou tableaux de bord créés par le principal de service et partagés avec les informations d'identification Exécuter en tant que propriétaire sont affectés à un nouveau propriétaire pour empêcher l'échec du partage.

Lorsqu’un principal de service Microsoft Entra ID est supprimé d’un compte, le principal de service ne peut plus accéder au compte ou à ses espaces de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté au compte, il retrouve ses autorisations précédentes.

Procédez comme suit pour supprimer un principal de service à l’aide de la console de compte :

1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
3. Sous l’onglet Principaux de service, recherchez et cliquez sur le nom d’utilisateur.
4. Sous l’onglet Informations sur le principal, cliquez sur le en haut à droite et sélectionnez Supprimer.
5. Dans la boîte de dialogue de confirmation, cliquez sur Confirmer la suppression.

Gérer les principaux de service dans votre espace de travail

Les administrateurs d’espace de travail peuvent gérer les principaux de service dans leurs espaces de travail en utilisant la page des paramètres d’administration de l’espace de travail.

Ajouter un principal de service à un espace de travail à l’aide des paramètres d’administration de l’espace de travail

Les principaux de service peuvent être créés dans Azure Databricks ou liés à partir d’un principal de service Microsoft Entra ID (anciennement Azure Active Directory) existant. Voir les principaux de service Databricks et Microsoft Entra ID (anciennement Azure Active Directory).

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres d’administration.

3. Cliquez sur l’onglet Identité et accès.

4. À côté de Principaux de service, cliquez sur Gérer.

5. Cliquez sur Ajouter un principal de service.

6. Sélectionnez un principal de service existant à attribuer à l’espace de travail ou cliquez sur Ajouter pour en créer un.

   Pour ajouter un nouveau principal de service, choisissez Databricks managé ou Microsoft Entra ID managé. Si vous choisissez Microsoft Entra ID managé, collez l’ID de l’application (client) pour le principal de service et entrez un nom d’affichage.

7. Cliquez sur Add.

Remarque

Si votre espace de travail n’est pas activé pour la fédération des identités, vous ne pouvez pas affecter de principaux de service de compte existants à votre espace de travail.

Attribuez le rôle d’administrateur d’espace de travail à un principal de service en utilisant la page des paramètres d’administration d’espace de travail

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres d’administration.
3. Cliquez sur l’onglet Identité et accès.
4. À côté de Groupes, cliquez sur Gérer.
5. Sélectionnez le groupe système admins.
6. Cliquez sur Ajouter des membres.
7. Sélectionnez le principal de service et cliquez sur Confirmer.

Pour supprimer le rôle d’administrateur de l’espace de travail d’un principal de service, supprimez ce dernier du groupe d’administration.

Gérer des droits d’utilisation de l’espace de travail pour un principal de service

Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les droits sont attribués aux utilisateurs au niveau de l’espace de travail. Le tableau suivant répertorie les droits et le nom de propriété de l’interface utilisateur de l’espace de travail et de l’API que vous utilisez pour gérer chacun d’entre eux. Vous pouvez utiliser la page des paramètres d’administration de l’espace de travail et les API REST SCIM au niveau de l’espace de travail pour gérer les droits.

Nom du droit d'utilisation	Nom de l’API de droits d’utilisation	Default	Description
Accès à l’espace de travail	workspace-access	Accordé par défaut.	Une fois que les utilisateurs ou principaux de service se voient accorder les droits appropriés, ils peuvent accéder aux environnements basés sur des personnages Data Science & Engineering et Databricks Machine Learning. Ne peut pas être supprimé des administrateurs d’espace de travail.
Accès à Databricks SQL	databricks-sql-access	Accordé par défaut.	Quand il est accordé à un utilisateur ou à un principal de service, ceux-ci peuvent accéder à Databricks SQL.
Autoriser la création de cluster sans restriction	allow-cluster-create	Non accordé aux utilisateurs ou principaux de service par défaut.	Quand ce droit est accordé à un utilisateur ou à un principal de service, ceux-ci peuvent créer des clusters sans restriction. Vous pouvez restreindre l’accès aux clusters existants avec des autorisations au niveau du cluster. Ne peut pas être supprimé des administrateurs d’espace de travail.
Autoriser la création du pool (non disponible via l’interface utilisateur)	allow-instance-pool-create	Ne peut pas être accordé à des principaux de service ou à des utilisateurs individuels.	Quand il est accordé à un groupe, ses membres peuvent créer des pools d’instances. Ne peut pas être supprimé des administrateurs d’espace de travail.

Par défaut, le groupe users dispose des droits Accès à l’espace de travail et Accès à Databricks SQL. Tous les utilisateurs et principaux de service de l’espace de travail sont membres du groupe users. Pour attribuer ces droits utilisateur par utilisateur, un administrateur d’espace de travail doit supprimer le droit du groupe users et l’attribuer individuellement aux utilisateurs, principaux de service et groupes.

Important

Pour se connecter et accéder à un espace de travail Azure Databricks, un utilisateur doit avoir le droit d'utilisation Accès à Databricks SQL ou Accès à l’espace de travail.

Vous ne pouvez pas accorder le droit allow-instance-pool-create à l’aide de la page des paramètres d’administration. Utilisez plutôt l’API Utilisateurs de l’espace de travail, Principaux de service ou Groupes.

Ajouter ou supprimer un droit pour un principal de service à l’aide de la page des paramètres d’administration de l’espace de travail

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres d’administration.
3. Cliquez sur l’onglet Identité et accès.
4. À côté de Principaux de service, cliquez sur Gérer.
5. Sélectionnez le principal de service à mettre à jour.
6. Pour ajouter un droit, sous Droits, cochez la case correspondante.

Pour supprimer un droit, effectuez les mêmes étapes, mais cette fois-ci, décochez la case.

Désactivez un principal de service dans votre espace de travail Azure Databricks

Les administrateurs d’espace de travail peuvent désactiver des principaux de service dans un espace de travail Azure Databricks. Un principal de service désactivé ne peut pas accéder à l’espace de travail à partir des API Azure Databricks, mais tous les autorisations et objets de l’espace de travail du principal de service restent inchangés. Lorsqu’un principal de service est désactivé :

• Le principal de service ne peut pas s’authentifier sur les espaces de travail, quelle que soit la méthode employée.
• L’état du principal de service indique Inactif dans la page des paramètres d’administration de l’espace de travail.
• Les applications ou les scripts qui utilisent les jetons générés par le principal de service ne peuvent plus accéder à l’API Databricks. Les jetons sont conservés mais ne peuvent pas être utilisés pour l’authentification tant qu’un principal de service reste désactivé.
• Les clusters appartenant au principal de service restent en exécution.
• Les travaux planifiés créés par le principal de service doivent être attribués à un nouveau propriétaire pour empêcher leur échec.

Lorsqu’un principal de service est réactivé, il peut s’authentifier sur l’espace de travail avec les mêmes autorisations. Databricks recommande de désactiver les principaux de service au lieu de les supprimer, car la suppression de ceux-ci est une action destructrice.

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres d’administration.
3. Cliquez sur l’onglet Identité et accès.
4. À côté de Principaux de service, cliquez sur Gérer.
5. Sélectionnez le principal de service à désactiver.
6. Sous État, décochez la case Actif.

Pour définir un principal de service sur Actif, effectuez les mêmes étapes, mais cette fois-ci, cochez la case.

Supprimer un principal de service d’un espace de travail en utilisant la page des paramètres d’administration de l’espace de travail

La suppression d’un principal de service d’un espace de travail ne supprime pas celui-ci du compte. Pour supprimer un principal de service de votre compte, consultez Supprimer des principaux de service de votre compte Azure Databricks.

Lorsqu’un principal de service est supprimé d’un espace de travail, le principal de service ne peut plus accéder à l’espace de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté à un espace de travail, il retrouve ses autorisations précédentes.

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres d’administration.
3. Cliquez sur l’onglet Identité et accès.
4. À côté de Principaux de service, cliquez sur Gérer.
5. Sélectionnez le principal de service.
6. Dans le coin supérieur droit, cliquez sur Supprimer.
7. Cliquez sur Delete (Supprimer) pour confirmer.

Gérer les principaux de service en utilisant l’API

Les administrateurs de compte et les administrateurs d’espace de travail peuvent gérer les principaux de service dans le compte Azure Databricks et les espaces de travail en utilisant les API Databricks. Pour gérer les rôles d’un principal de service à l’aide de l’API, voir Gérer les rôles d’un principal de service à l’aide de l’interface CLI de Databricks.

Gérer les principaux de service dans le compte en utilisant l’API

Les administrateurs peuvent ajouter et gérer des principaux de service dans le compte Azure Databricks en utilisant l’API de principaux de service de comptes. Les administrateurs de compte et les administrateurs d’espace de travail appellent l’API en utilisant une autre URL de point de terminaison :

• Les administrateurs de compte utilisent {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Les administrateurs d’espace de travail utilisent {workspace-domain}/api/2.0/account/scim/v2/.

Pour plus d’information, consultez API de principal de service du compte.

Désactiver un principal de service en utilisant l’API

Les administrateurs de compte peuvent modifier l’état d’un principal de service sur « false » pour désactiver le principal de service en utilisant l’API de principaux de service du compte.

Par exemple :

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

L’état d’un principal de compte désactivé est étiqueté Inactive (Inactif) dans la console du compte. Lorsque vous désactivez un principal de service du compte, celui-ci est également désactivé dans ses espaces de travail.

Gérer les principaux de service dans l’espace de travail à l’aide de l’API

Les administrateurs de compte et d’espace de travail peuvent utiliser l’API d’attribution d’espace de travail pour attribuer des principaux de service aux espaces de travail activés pour la fédération d’identité. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.

• Les administrateurs de compte utilisent {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Les administrateurs d’espace de travail utilisent {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Voir API d’affectation d’espace de travail.

Si votre espace de travail n’est pas activé pour la fédération des identités, un administrateur d’espace de travail peut utiliser les API au niveau de l’espace de travail pour attribuer des principaux de service à ses espaces de travail. Consultez API de principaux de service de l’espace de travail.

Gérer les jetons pour un principal de service

Les principaux de service peuvent s’authentifier auprès d’API sur Azure Databricks à l’aide de jetons OAuth Azure Databricks ou de jetons d’accès personnels Azure Databricks, de la manière suivante :

• Les jetons OAuth Azure Databricks peuvent être utilisés pour s’authentifier auprès des API au niveau du compte et de l’espace de travail Azure Databricks.
  • Les jetons OAuth Azure Databricks qui sont créés au niveau du compte Azure Databricks peuvent être utilisés pour s’authentifier auprès des API au niveau du compte et de l’espace de travail Azure Databricks.
  • Les jetons OAuth Azure Databricks qui sont créés au niveau de l’espace de travail Azure Databricks peuvent être utilisés pour s’authentifier uniquement auprès des API au niveau de l’espace de travail Azure Databricks.
• Les jetons d’accès personnel Azure Databricks peuvent être utilisés pour s’authentifier uniquement de l’appel d’API au niveau de l’espace de travail Azure Databricks.

Les principaux de service peuvent également s’authentifier auprès des API sur Azure Databricks à l’aide de jetons Microsoft Entra ID (anciennement Azure Active Directory).

Gérer l’authentification OAuth Databricks pour un principal de service

Pour vous authentifier auprès d’API REST Databricks au niveau du compte et de l’espace de travail, les administrateurs de comptes peuvent utiliser des jetons OAuth Azure Databricks pour les principaux de service. Vous pouvez demander un jeton OAuth en utilisant l’ID client et une clé secrète client pour le principal de service. Pour plus d’informations, consultez Authentification OAuth machine à machine (M2M).

Gérer les jetons d’accès personnels pour un principal de service

Pour authentifier un principal de service auprès d’API au niveau de l’espace de travail sur Azure Databricks uniquement, un principal de service peut créer des jetons d’accès personnels Databricks pour lui-même, de la manière suivante :

Remarque

Vous ne pouvez pas utiliser l’interface utilisateur Azure Databricks pour générer des jetons d’accès personnels Azure Databricks pour les principaux de service. Ce processus utilise Databricks CLI version 0.205 ou ultérieure pour générer un jeton d’accès pour un principal de service. Si l’interface CLI Databricks n’est pas déjà installée, consultez Installer ou mettre à jour l’interface CLI Databricks.

Cette procédure suppose que vous utilisez l’authentification de machine à machine OAuth (M2M) ou l’authentification du principal du service Microsoft Entra ID pour configurer l’authentifier du principal de service par l’interface CLI Databricks afin de générer des jetons d’accès personnels Azure Databricks pour lui-même. Consultez Authentification OAuth machine à machine (M2M) ou Authentification du principal du service Microsoft Entra ID.

1. Utilisez l’interface CLI Databricks pour exécuter la commande suivante, qui génère un autre jeton d’accès pour le principal de service.

   Dans la commande suivante, remplacez ces espaces réservés :

   • Si vous le souhaitez, remplacez <comment> par tout commentaire significatif sur l’objectif du jeton d’accès. Si l’option --comment n’est pas spécifiée, aucun commentaire n’est généré.
   • Si vous le souhaitez, remplacez <lifetime-seconds> par le nombre de secondes de la durée de validité du jeton d’accès. Par exemple, 1 jour représente 86 400 secondes. Si l’option --lifetime-seconds n’est pas spécifiée, le jeton d’accès est défini pour ne jamais expirer (non recommandé).
   • Si vous le souhaitez, remplacez <profile-name> par le nom d’un profil de configuration Azure Databricks qui contient des informations d’authentification pour le principal de service et l’espace de travail cible. Si l’option -p n’est pas spécifiée, l’interface CLI Databricks tente de rechercher et d’utiliser un profil de configuration nommé DEFAULT.

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

2. Dans la réponse, copiez la valeur de token_value, qui est le jeton d’accès pour le principal de service.

   Veillez à enregistrer le jeton copié dans un emplacement sécurisé. Ne partagez pas votre jeton copié avec d'autres. Si vous le perdez, vous ne pouvez pas régénérer exactement le même. Vous devez donc répéter cette procédure pour créer un jeton.

   Si vous n'êtes pas en mesure de créer ou d'utiliser des jetons dans votre espace de travail, cela peut être dû au fait que votre administrateur d'espace de travail a désactivé les jetons ou ne vous a pas donné l'autorisation de créer ou d'utiliser des jetons. Consultez votre administrateur d'espace de travail ou les personnes suivantes :

   • Activer ou désactiver l'authentification par jeton d'accès personnel pour l'espace de travail
   • Autorisations de jeton d'accès personnel

Gérer l’authentification Microsoft Entra ID (anciennement Azure Active Directory) pour un principal de service

Seuls les principaux de service gérés par Microsoft Entra ID peuvent s’authentifier auprès d’API en utilisant des jetons Microsoft Entra ID. Pour créer un jeton d’accès Microsoft Entra ID, voir Obtenir des jetons Microsoft Entra ID (anciennement Azure Active Directory) pour les principaux de service.

Le jeton d’accès Microsoft Entra ID peut être utilisé pour appeler l’API Jetons afin de créer un jeton d’accès personnel Databricks pour le principal de service.