Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article présente l’authentification et le contrôle d’accès dans Azure Databricks. Pour plus d’informations sur la sécurisation de l’accès à vos données, consultez Gouvernance des données avec Unity Catalog.
Authentification unique à l’aide de l’ID Microsoft Entra
L’authentification unique sous la forme de connexion basée sur Microsoft Entra ID est disponible dans le compte Azure Databricks et les espaces de travail par défaut. Vous utilisez l’authentification unique Microsoft Entra ID pour la console de compte et les espaces de travail. Vous pouvez activer l’authentification multifacteur à l’aide de l’ID Microsoft Entra.
Vous pouvez configurer le provisionnement juste-à-temps (JIT) pour créer automatiquement de nouveaux comptes d’utilisateur à partir de Microsoft Entra ID lors de leur première connexion. Consultez Provisionner automatiquement les utilisateurs (JIT).
Synchroniser les utilisateurs et les groupes à partir de l’ID Microsoft Entra
Databricks recommande la synchronisation des identités de Microsoft Entra ID vers Azure Databricks à l’aide de la gestion automatique des identités (préversion publique).
À l’aide de la gestion automatique des identités, vous pouvez rechercher directement dans des espaces de travail fédérés d’identité des utilisateurs, des principaux de service et des groupes Microsoft Entra ID et les ajouter à votre espace de travail et au compte Azure Databricks. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux utilisateurs ou aux appartenances aux groupes sont donc respectées dans Azure Databricks. Pour obtenir des instructions détaillées, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.
Vous pouvez également utiliser le provisionnement SCIM pour synchroniser les utilisateurs et les groupes de Microsoft Entra ID vers Azure Databricks, consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.
Authentification d’API sécurisée avec OAuth
Azure Databricks OAuth prend en charge les informations d’identification sécurisées et l’accès aux ressources et aux opérations au niveau de l’espace de travail Azure Databricks, et prend en charge les autorisations affinées pour l’autorisation.
Databricks prend également en charge les jetons d’accès personnels (PAT), mais vous recommande d’utiliser OAuth à la place. Pour surveiller et gérer les PAT, consultez Surveiller et révoquer des jetons d’accès personnels et gérer les autorisations de jeton d’accès personnel.
Pour plus d’informations sur l’authentification auprès d’Azure Databricks automation dans l’ensemble, consultez Autoriser l’accès aux ressources Azure Databricks.
Vue d’ensemble du contrôle d’accès
Dans Azure Databricks, il existe différents systèmes de contrôle d’accès pour différents objets sécurisables. Le tableau ci-dessous montre quel système de contrôle d'accès régit quel type d'objet sécurisable.
| Objet sécurisable | Système de contrôle d’accès |
|---|---|
| Objets sécurisables au niveau de l'espace de travail | Listes de contrôle d’accès |
| Objets sécurisables au niveau du compte | Contrôle d'accès basé sur le rôle du compte |
| Objets sécurisables | Unity Catalog |
Azure Databricks fournit également des rôles et des droits d'administrateur attribués directement aux utilisateurs, aux principaux de service et aux groupes.
Pour obtenir plus d’informations sur la sécurisation des données, consultez Gouvernance des données avec Unity Catalog.
Listes de contrôle d’accès
Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets d’espace de travail tels que des notebooks et des entrepôts SQL. Les listes de contrôle d’accès peuvent être gérées par tous les utilisateurs administrateurs de l’espace de travail et par les utilisateurs qui ont reçu des autorisations déléguées pour gérer ces listes. Pour obtenir plus d’informations sur les listes de contrôle d’accès, voir Liste de contrôle d’accès.
Contrôle d'accès basé sur le rôle du compte
Vous pouvez utiliser le contrôle d'accès basé sur le rôle du compte pour configurer l'autorisation d'utiliser des objets au niveau du compte, tels que des principaux de service et des groupes. Les rôles de compte sont définis une seule fois, dans votre compte, et s'appliquent à tous les espaces de travail. Tous les utilisateurs administrateurs de compte peuvent gérer les rôles de compte, tout comme les utilisateurs disposant d'autorisations déléguées pour les gérer, tels que les gestionnaires de groupe et les gestionnaires principaux de service.
Suivez ces articles pour plus d'informations sur les rôles de compte sur des objets spécifiques au niveau du compte :
Rôles d’administrateur et droits d’espace de travail
Il existe deux principaux niveaux de privilèges d’administrateur disponibles sur la plateforme Azure Databricks :
- Administrateurs de compte : gérez le compte Azure Databricks, notamment l’activation du catalogue Unity et de la gestion des utilisateurs.
- Administrateurs d’espace de travail : ils gèrent les identités de l’espace de travail, le contrôle d’accès, les paramètres et les fonctionnalités des espaces de travail individuels dans le compte.
Il existe également des rôles d’administrateur spécifiques aux fonctionnalités avec un ensemble plus étroit de privilèges. Pour en savoir plus sur les rôles disponibles, consultez l’introduction de l’administration Azure Databricks.
Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les administrateurs de l'espace de travail attribuent des droits aux utilisateurs, aux principaux de service et aux groupes au niveau de l'espace de travail. Pour obtenir plus d’informations, consultez Gérer les droits d’utilisation.