Authentification et contrôle d’accès
Cet article présente l’authentification et le contrôle d’accès dans Azure Databricks. Pour plus d’informations sur la sécurisation de l’accès à vos données, consultez Gouvernance des données avec Unity Catalog.
Pour plus d’informations sur la meilleure manière de configurer des utilisateurs et des groupes dans Azure Databricks, consultez Meilleures pratiques en matière d’identité.
Authentification unique
L’authentification unique sous la forme de connexion basée sur Microsoft Entra ID (anciennement Azure Active Directory) est disponible dans le compte Azure Databricks et les espaces de travail par défaut. Vous utilisez l’authentification unique Microsoft Entra ID pour la console de compte et les espaces de travail. Vous pouvez activer l’authentification multifacteur via Microsoft Entra ID.
Azure Databricks prend également en charge l’accès conditionnel Microsoft Entra ID qui permet aux administrateurs de contrôler où et quand les utilisateurs sont autorisés à se connecter à Azure Databricks. Consultez Accès conditionnel.
Synchroniser des utilisateurs et des groupes de Microsoft Entra ID en utilisant le provisionnement SCIM
Vous pouvez utiliser SCIM (System for Cross-domain Identity Management), une norme ouverte qui vous permet d’automatiser le provisionnement d’utilisateurs, pour synchroniser automatiquement les utilisateurs et les groupes de Microsoft Entra ID avec votre compte Azure Databricks. SCIM simplifie l’intégration d’un nouvel employé ou d’une nouvelle équipe en utilisant Microsoft Entra ID pour créer des utilisateurs et des groupes dans Azure Databricks, et pour leur donner le niveau d’accès approprié. Quand un utilisateur quitte votre organisation ou n’a plus besoin d’accéder à Azure Databricks, les administrateurs peuvent le supprimer de Microsoft Entra ID : son compte est alors également supprimé d’Azure Databricks. Vous bénéficiez ainsi d’un processus de retrait cohérent qui empêche les utilisateurs non autorisés d’accéder à des données sensibles. Pour plus d’informations, consultez Synchroniser des utilisateurs et des groupes depuis Microsoft Entra ID.
Authentification par API sécurisée
Les jetons d’accès personnels Azure Databricks font partie des types d’informations d’identification les mieux pris en charge pour les ressources et opérations au niveau de l’espace de travail Azure Databricks. Pour sécuriser l’authentification par API, les administrateurs de l’espace de travail peuvent contrôler quels utilisateurs, principaux de service et groupes peuvent créer et utiliser des jetons d’accès personnels Azure Databricks.
Pour plus d’informations, consultez Gérer l’accès à l’automatisation Azure Databricks.
Les administrateurs d’espace de travail peuvent aussi examiner les jetons d’accès personnels Azure Databricks actuels, supprimer des jetons et définir la durée de vie maximale des nouveaux jetons pour leur espace de travail. Consultez Monitorer et gérer des jetons d’accès personnels.
Pour plus d’informations sur l’authentification pour l’automatisation Azure Databricks, consultez Authentification pour l’automatisation Azure Databricks.
Vue d’ensemble du contrôle d’accès
Dans Azure Databricks, il existe différents systèmes de contrôle d’accès pour différents objets sécurisables. Le tableau ci-dessous montre quel système de contrôle d'accès régit quel type d'objet sécurisable.
| Objet sécurisable | Système de contrôle d’accès |
|---|---|
| Objets sécurisables au niveau de l'espace de travail | Listes de contrôle d’accès |
| Objets sécurisables au niveau du compte | Contrôle d'accès basé sur le rôle du compte |
| Objets sécurisables | Unity Catalog |
Azure Databricks fournit également des rôles et des droits d'administrateur attribués directement aux utilisateurs, aux principaux de service et aux groupes.
Pour obtenir plus d’informations sur la sécurisation des données, consultez Gouvernance des données avec Unity Catalog.
Listes de contrôle d’accès
Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets d’espace de travail tels que des notebooks et des entrepôts SQL. Les listes de contrôle d’accès peuvent être gérées par tous les utilisateurs administrateurs de l’espace de travail et par les utilisateurs qui ont reçu des autorisations déléguées pour gérer ces listes. Pour obtenir plus d’informations sur les listes de contrôle d’accès, voir Liste de contrôle d’accès.
Contrôle d'accès basé sur le rôle du compte
Vous pouvez utiliser le contrôle d'accès basé sur le rôle du compte pour configurer l'autorisation d'utiliser des objets au niveau du compte, tels que des principaux de service et des groupes. Les rôles de compte sont définis une seule fois, dans votre compte, et s'appliquent à tous les espaces de travail. Tous les utilisateurs administrateurs de compte peuvent gérer les rôles de compte, tout comme les utilisateurs disposant d'autorisations déléguées pour les gérer, tels que les gestionnaires de groupe et les gestionnaires principaux de service.
Suivez ces articles pour plus d'informations sur les rôles de compte sur des objets spécifiques au niveau du compte :
- Rôles pour la gestion des principaux de service
- Gérer les rôles sur un groupe à l'aide de la console du compte
Rôles d'administrateur Databricks
Outre le contrôle d'accès aux objets sécurisables, il existe des rôles intégrés sur la plateforme Azure Databricks. Les utilisateurs, les principaux de service et les groupes peuvent se voir attribuer des rôles.
Il existe deux principaux niveaux de privilèges d’administrateur disponibles sur la plateforme Azure Databricks :
Administrateurs de compte : ils gèrent le compte Azure Databricks, notamment l’activation d’Unity Catalog, l’approvisionnement d’utilisateurs et la gestion des identités au niveau du compte.
Administrateurs d’espace de travail : ils gèrent les identités de l’espace de travail, le contrôle d’accès, les paramètres et les fonctionnalités des espaces de travail individuels dans le compte.
En outre, les utilisateurs peuvent se voir attribuer ces rôles d’administrateur spécifiques aux fonctionnalités, qui ont des ensembles de privilèges plus réduits :
- Administrateurs de la Place de marché : peuvent gérer le profil du fournisseur de Place de marché Databricks de leur compte, y compris la création et la gestion des listes de la Place de marché.
- Administrateurs de metastore : peuvent gérer les privilèges et la propriété pour tous les objets sécurisables dans un metastore, par exemple décider qui peut créer des catalogues ou interroger une table.
Les utilisateurs peuvent également être désignés comme utilisateurs de l'espace de travail. Un utilisateur d'espace de travail a la possibilité de se connecter à un espace de travail, où il peut bénéficier d'autorisations au niveau de l'espace de travail.
Pour obtenir plus d’informations, consultez Configurer l'authentification unique (SSO).
Droits d'accès à l'espace de travail
Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les administrateurs de l'espace de travail attribuent des droits aux utilisateurs, aux principaux de service et aux groupes au niveau de l'espace de travail. Pour obtenir plus d’informations, consultez Gérer les droits d’utilisation.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour