Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Databricks fournit une gestion centralisée des identités pour les utilisateurs, les groupes et les principaux de service sur votre compte et vos espaces de travail. La gestion des identités dans Azure Databricks vous permet de contrôler qui peut accéder à vos espaces de travail, données et ressources de calcul, avec des options flexibles pour synchroniser les identités à partir de votre fournisseur d’identité.
Pour obtenir un point de vue d’opinion sur la configuration optimale de l’identité dans Azure Databricks, consultez les meilleures pratiques relatives à l’identité.
Pour gérer l’accès pour les utilisateurs, les principaux de service et les groupes, consultez Authentification et contrôle d’accès.
Identités Azure Databricks
Databricks prend en charge trois types d’identités pour l’authentification et le contrôle d’accès :
| Type d'identité | Descriptif |
|---|---|
| Utilisateurs | Identités utilisateur reconnues par Azure Databricks et représentées par des adresses e-mail. |
| Principaux de service | Identités à utiliser avec des travaux, des outils automatisés et des systèmes tels que des scripts, des applications et des plateformes CI/CD. |
| Groupes | Collection d’identités utilisées par les administrateurs pour gérer l’accès au groupe aux espaces de travail, aux données et à d’autres objets sécurisables. Toutes les identités Databricks peuvent être attribuées en tant que membres de groupes. |
Un compte Azure Databricks peut avoir un maximum de 10 000 utilisateurs et directeurs de service combinés, ainsi que jusqu’à 5 000 groupes. Chaque espace de travail peut également compter un maximum de 10 000 utilisateurs et directeurs de service combinés en tant que membres, ainsi qu’un maximum de 5 000 groupes.
Qui peut gérer les identités dans Azure Databricks ?
Pour gérer les identités dans Azure Databricks, vous devez avoir l’un des rôles suivants :
| Role | Capacités |
|---|---|
| Administrateurs de compte |
|
| Administrateurs d’espace de travail |
|
| Gestionnaires de groupes |
|
| Gestionnaires de service principal |
|
Pour établir votre premier administrateur de compte, consultez Établir votre premier administrateur de compte.
Flux de travail de gestion des identités
Note
La plupart des espaces de travail sont activés pour la fédération d’identité par défaut. La fédération d’identité vous permet de gérer les identités de manière centralisée au niveau du compte et de les affecter aux espaces de travail. Cette page suppose que la fédération d’identité de votre espace de travail est activée. Si vous disposez d’un espace de travail hérité sans fédération d’identité, consultez Espaces de travail hérités sans fédération d’identité.
Fédération d’identité
Databricks a commencé à activer automatiquement les nouveaux espaces de travail pour la fédération des identités et le catalogue Unity le 9 novembre 2023. Les espaces de travail activés pour la fédération d’identité par défaut ne peuvent pas le désactiver. Pour plus d’informations, consultez Activation automatique du catalogue Unity.
Dans un espace de travail fédéré d’identité, lorsque vous ajoutez un utilisateur, un principal de service ou un groupe dans les paramètres d’administration de l’espace de travail, vous pouvez sélectionner parmi les identités qui existent dans votre compte. Dans un espace de travail fédéré sans identité, vous n’avez pas la possibilité d’ajouter des utilisateurs, des principaux de service ou des groupes à partir de votre compte.
Pour vérifier si la fédération d’identité de votre espace de travail est activée, recherchez la fédération d’identité : activée sur la page de l’espace de travail dans la console de compte. Pour activer la fédération d’identité pour un espace de travail plus ancien, un administrateur de compte doit activer l’espace de travail pour Unity Catalog en affectant un metastore de Unity Catalog. Consultez Activer un espace de travail pour le catalogue Unity.
Synchroniser les identités depuis votre fournisseur d’identité
Databricks recommande de synchroniser les identités de Microsoft Entra ID vers Azure Databricks à l’aide de la gestion automatique des identités. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025.
À l’aide de la gestion automatique des identités, vous pouvez rechercher directement des utilisateurs d’ID Microsoft Entra, des principaux de service et des groupes dans les paramètres d’administration de l’espace de travail et les ajouter à votre espace de travail et au compte Azure Databricks. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux utilisateurs ou aux appartenances aux groupes sont donc respectées dans Azure Databricks. Pour obtenir des instructions détaillées, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de l’ID Microsoft Entra.
Attribuer des identités à des espaces de travail
Pour permettre à un utilisateur, un principal de service ou un groupe de travailler dans un espace de travail Azure Databricks, un administrateur de compte ou un administrateur d’espace de travail les affecte à l’espace de travail. Vous pouvez affecter l’accès à l’espace de travail à n’importe quel utilisateur, principal de service ou groupe qui existe dans le compte.
Les administrateurs d’espace de travail peuvent également ajouter un nouvel utilisateur, un principal de service ou un groupe directement à un espace de travail. Cette action ajoute automatiquement l’identité au compte et l’affecte à cet espace de travail.
Pour obtenir des instructions détaillées, consultez :
- Ajouter des utilisateurs à un espace de travail
- Ajouter des principaux de service à un espace de travail
- Ajouter des groupes à un espace de travail
Partager des tableaux de bord avec des utilisateurs de compte
Les utilisateurs peuvent partager les tableaux de bord publiés avec d’autres utilisateurs du compte Azure Databricks, même si ces derniers ne sont pas membres de leur espace de travail. À l’aide de la gestion automatique des identités, les utilisateurs peuvent partager des tableaux de bord avec n’importe quel utilisateur dans Microsoft Entra ID, ce qui ajoute l’utilisateur au compte Azure Databricks lors de la connexion. Les utilisateurs du compte Azure Databricks qui ne sont membres d’aucun espace de travail sont des utilisateurs en lecture seule dans d’autres outils. Ils peuvent afficher les objets qui ont été partagés avec eux sans les modifier. Les utilisateurs d’un compte Azure Databricks n’ont pas d’accès par défaut à un espace de travail, à des données ou à des ressources de calcul. Pour plus d’informations, consultez Gestion des utilisateurs et des groupes.
Authentication
Authentification unique (SSO)
L’authentification unique (SSO) sous la forme d’une connexion avec Microsoft Entra ID est disponible par défaut dans Azure Databricks pour tous les clients, tant pour la console du compte que pour les espaces de travail. Consultez l’authentification unique à l’aide de l’ID Microsoft Entra.
Approvisionnement juste-à-temps
Vous pouvez configurer le provisionnement juste-à-temps (JIT) pour créer automatiquement de nouveaux comptes d’utilisateur à partir de Microsoft Entra ID lors de leur première connexion. Consultez Provisionner automatiquement les utilisateurs (JIT).
Contrôle d’accès
Les administrateurs peuvent attribuer des rôles, des droits et des autorisations aux utilisateurs, aux principaux de service et aux groupes pour contrôler l’accès aux espaces de travail, aux données et à d’autres objets sécurisables. Pour plus d’informations, consultez la page Vue d’ensemble du contrôle d’accès.
Espaces de travail hérités sans fédération d’identité
Pour les espaces de travail qui ne sont pas activés pour la fédération d’identité, les administrateurs de l’espace de travail gèrent entièrement les utilisateurs de l’espace de travail, les entités de service et les groupes au sein de l’espace de travail. Les utilisateurs et les principaux de service ajoutés aux espaces de travail fédérés non identitaires sont automatiquement ajoutés au compte. Si l’utilisateur de l’espace de travail partage un nom d’utilisateur (autrement dit, une adresse e-mail) avec un utilisateur de compte ou un administrateur qui existe déjà, ces utilisateurs sont fusionnés en une seule identité. Les groupes ajoutés aux espaces de travail fédérés non identitaires sont des groupes locaux d'espaces de travail hérités qui ne sont pas ajoutés au compte.
Pour activer la fédération d’identité pour un espace de travail ancien, consultez Fédération des identités.
Ressources supplémentaires
- Bonnes pratiques de gestion des identités - Conseils sur la configuration de l’identité dans Azure Databricks
- Utilisateurs - Gérer les identités des utilisateurs
- Principaux de service - Gérer les identités des principaux de service
- Groupes - Gérer les identités de groupe
- Contrôle d’accès - Gérer les autorisations et l’accès
- Approvisionnement SCIM - Synchroniser les identités à partir de votre fournisseur d’identité
- Groupes locaux de l'espace de travail - Gérer les groupes locaux de l'espace de travail hérités