Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page explique comment gérer les entités de service pour votre compte Azure Databricks et vos espaces de travail.
Pour obtenir une vue d’ensemble des principaux de service, consultez Les principaux de service.
Remarque
Cette page suppose que la fédération d’identité de votre espace de travail est activée, qui est la valeur par défaut pour la plupart des espaces de travail. Pour plus d’informations sur les espaces de travail hérités sans fédération d’identité, consultez Espaces de travail hérités sans fédération d’identité.
Synchroniser les principaux de service avec votre compte Azure Databricks à partir de votre locataire Microsoft Entra ID
Vous pouvez synchroniser automatiquement les principaux de service Microsoft Entra ID de votre tenant Microsoft Entra ID vers votre compte Azure Databricks à l’aide de la gestion d'identité automatique. Databricks utilise l’ID Microsoft Entra comme source, de sorte que les modifications apportées aux utilisateurs ou aux appartenances aux groupes soient respectées dans Azure Databricks. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Consultez Synchroniser les utilisateurs et les groupes automatiquement à partir de Microsoft Entra ID.
L’approvisionnement SCIM ne prend pas en charge la synchronisation des principaux de service.
Ajouter des principaux de service à votre compte
Les administrateurs de compte et les administrateurs d’espace de travail peuvent ajouter des principaux de service au compte Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Les principaux de service peuvent être créés dans Azure Databricks ou liés à partir d’un principal de service Microsoft Entra ID existant. Consulter Principaux de service Databricks et Microsoft Entra ID. Lorsque la gestion automatique des identités est activée, vous pouvez rechercher et ajouter des principaux de service directement à partir de l’ID Microsoft Entra.
Les administrateurs de compte et les administrateurs d’espace de travail peuvent ajouter des principaux de service au compte Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Principaux de service, cliquez sur Ajouter un principal de service.
- Sous Gestion, choisissez Géré par Databricks ou Géré par Microsoft Entra ID.
- Si vous avez choisi Microsoft Entra ID managé, sous l’ID d’application Microsoft Entra, collez l’ID de l’application (client) pour le principal de service.
- Entrez un nom pour le principal de service.
- Cliquez sur Ajouter.
Paramètres d’administrateur de l’espace de travail
En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
Cliquez sur l’onglet Identité et accès.
À côté de Principaux de service, cliquez sur Gérer.
Cliquez sur Ajouter un principal de service.
Cliquez sur Ajouter nouveau.
Sélectionnez Managé par Databricks ou Managé par Microsoft Entra ID. Si vous sélectionnez Managé par Microsoft Entra ID, collez l’ID de l’application (client) du principal de service.
Entrez un nom pour le principal de service.
Cliquez sur Ajouter.
Attribuer des rôles d’administrateur au niveau du compte à un principal de service
Remarque
La page détails du principal de service affiche uniquement les rôles directement affectés au principal de service. Les rôles hérités par le biais de l’appartenance à un groupe sont actifs, mais leurs bascules ne sont pas affichées comme étant activées dans l’interface utilisateur.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Principaux de service, recherchez et cliquez sur le nom d’utilisateur.
- Sous l’onglet Rôles , sélectionnez un ou plusieurs rôles.
Affecter un principal de service à un espace de travail
Les administrateurs de compte et les administrateurs d’espace de travail peuvent affecter des principaux de service à un espace de travail Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
- Recherchez et sélectionnez le principal de service, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.
Paramètres d’administrateur de l’espace de travail
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- À côté de Principaux de service, cliquez sur Gérer.
- Cliquez sur Ajouter un principal de service.
- Sélectionnez un principal de service existant.
- Cliquez sur Ajouter.
Supprimer un principal de service d’un espace de travail
Les administrateurs de compte et les administrateurs d’espace de travail peuvent supprimer un principal de service d’un espace de travail Azure Databricks à l’aide de la console de compte ou de la page des paramètres d’administration de l’espace de travail.
Lorsqu’un principal de service est supprimé d’un espace de travail, le principal de service ne peut plus accéder à l’espace de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté à l’espace de travail, il retrouve ses autorisations précédentes.
Console de compte
- En tant qu’administrateur de compte, connectez-vous à la console de compte
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Autorisations, recherchez le principal de service.
- Cliquez sur
situé à l’extrême droite de la ligne du principal de service, puis sélectionnez Supprimer. - Cliquez sur Supprimer dans la boîte de dialogue de confirmation.
Paramètres d’administrateur de l’espace de travail
Lorsqu’un principal de service est supprimé d’un espace de travail, le principal de service ne peut plus accéder à l’espace de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté à un espace de travail, il retrouve ses autorisations précédentes.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- À côté de Principaux de service, cliquez sur Gérer.
- Sélectionnez le principal de service.
- Dans le coin supérieur droit, cliquez sur Supprimer.
- Cliquez sur Delete (Supprimer) pour confirmer.
Attribuer le rôle d’administrateur d’espace de travail à un principal de service
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe système
admins. - Cliquez sur Ajouter des membres.
- Sélectionnez le principal de service et cliquez sur Confirmer.
Pour supprimer le rôle d’administrateur de l’espace de travail d’un principal de service, supprimez ce dernier du groupe d’administration.
Désactiver un principal de service
Vous pouvez désactiver un principal de service au niveau du compte ou de l’espace de travail. La désactivation empêche le principal de service d’authentifier et d’accéder aux API Databricks, mais ne supprime pas ses autorisations ni ses objets. Cela est préférable à la suppression, qui est une action destructrice.
Effets de la désactivation :
- Le principal de service ne peut pas authentifier ou accéder aux API Databricks.
- Les applications ou scripts qui utilisent les jetons générés par le principal de service ne peuvent plus accéder à l’API Databricks. Les jetons sont conservés mais ne peuvent pas être utilisés pour l’authentification tant qu’un principal de service reste désactivé.
- Les ressources de calcul détenues par le principal de service restent en cours d’exécution.
- Les travaux planifiés créés par le principal de service échouent, sauf s’ils sont attribués à un nouveau propriétaire.
Lorsqu’il est réactivé, le principal de service récupère l’accès avec les mêmes autorisations.
Désactivation au niveau du compte
Les administrateurs de compte peuvent désactiver des principaux de service sur l’ensemble d’un compte Azure Databricks. Lorsqu’un principal de service est désactivé au niveau du compte, il ne peut pas s’authentifier auprès du compte Azure Databricks ou à tout espace de travail du compte.
Vous ne pouvez pas désactiver un principal de service en utilisant la console de compte. Utilisez plutôt l’API de principaux de services de comptes.
Par exemple:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .
update-sp.json :
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Désactivation au niveau de l’espace de travail
Lorsqu’un principal de service est désactivé au niveau de l’espace de travail, il ne peut pas s’authentifier auprès de cet espace de travail spécifique, mais il peut toujours s’authentifier auprès du compte et d’autres espaces de travail du compte.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- À côté de Principaux de service, cliquez sur Gérer.
- Sélectionnez le principal de service à désactiver.
- Sous État, décochez la case Actif.
Pour définir un principal de service sur Actif, effectuez les mêmes étapes, mais cette fois-ci, cochez la case.
Supprimer des principaux de service de votre compte Azure Databricks
Les administrateurs de compte peuvent supprimer des principaux de service d’un compte Azure Databricks. Les administrateurs d’espace de travail ne le peuvent pas. Lorsque vous supprimez un principal de service du compte, ce principal est également supprimé de leurs espaces de travail.
Important
Quand vous supprimez un principal de service du compte, celui-ci est également supprimé de ses espaces de travail, que la fédération des identités ait été activée ou non. Nous vous recommandons de ne pas supprimer les principaux de service au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Tenez compte des conséquences suivantes liées à la suppression de principaux de service :
- Les applications ou les scripts qui utilisent les jetons générés par le principal du service ne peuvent plus accéder aux API Databricks.
- Les tâches appartenant au principal du service échouent.
- Le calcul appartenant au principal de service s’arrête
- Les requêtes ou tableaux de bord créés par le principal de service et partagés avec les informations d'identification Exécuter en tant que propriétaire sont affectés à un nouveau propriétaire pour empêcher l'échec du partage.
Lorsqu’un principal de service Microsoft Entra ID est supprimé d’un compte, le principal de service ne peut plus accéder au compte ou à ses espaces de travail, mais les autorisations d’accès sont maintenues sur le principal de service. Si le principal de service est à nouveau ajouté au compte, il retrouve ses autorisations précédentes.
Procédez comme suit pour supprimer un principal de service à l’aide de la console de compte :
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Principaux de service, recherchez et cliquez sur le nom d’utilisateur.
- Sous l’onglet Informations du principal , cliquez sur Menu kebab dans le coin supérieur droit, puis sélectionnez Supprimer.
- Dans la boîte de dialogue de confirmation, cliquez sur Confirmer la suppression.
Remarque
Lorsque la gestion automatique des identités est activée, les entités de service qui se trouvent dans Microsoft Entra ID sont visibles dans la console de compte. Leur état est affiché en tant qu’inactif : aucune utilisation et elles ne peuvent pas être supprimées de la liste des principaux de service. Ils ne sont pas actifs dans le compte et ne sont pas comptabilisés par rapport aux limites.
Gérer les principaux de service en utilisant l’API
Les administrateurs de compte et les administrateurs d’espace de travail peuvent gérer les principaux de service dans le compte Azure Databricks et les espaces de travail en utilisant les API Databricks. Pour gérer les rôles d’un principal de service à l’aide de l’API, voir Gérer les rôles d’un principal de service à l’aide de l’interface CLI de Databricks.
Gérer les principaux de service dans le compte en utilisant l’API
Les administrateurs peuvent ajouter et gérer des principaux de service dans le compte Azure Databricks en utilisant l’API de principaux de service de comptes. Les administrateurs de compte et les administrateurs d’espace de travail appellent l’API en utilisant une autre URL de point de terminaison :
- Les administrateurs de compte utilisent
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Les administrateurs d’espace de travail utilisent
{workspace-domain}/api/2.0/account/scim/v2/.
Pour plus d’information, consultez API de principal de service du compte.
Gérer les principaux de service dans l’espace de travail à l’aide de l’API
Les administrateurs de compte et d’espace de travail peuvent utiliser l’API Affectation d’espace de travail pour affecter des principaux de service à des espaces de travail. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.
- Les administrateurs de compte utilisent
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Les administrateurs d’espace de travail utilisent
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.
Voir API d’affectation d’espace de travail.
Remarque
Pour les espaces de travail existants sans fédération d’identité, les administrateurs d’espace de travail peuvent utiliser l’API des principaux du service pour les espaces de travail afin d’attribuer des principaux de service à leurs espaces de travail.
Gérer les jetons pour un principal de service
Les principaux de service peuvent s’authentifier auprès des API Databricks à l’aide de jetons OAuth ou de jetons d’accès personnels (PAT), chacun avec des étendues et des considérations de sécurité différentes.
Important
Databricks recommande d’utiliser des jetons OAuth pour l’authentification du principal de service dans la mesure du possible pour améliorer la gestion de la sécurité et du cycle de vie. Utilisez des PAT uniquement lorsque OAuth n’est pas disponible pour votre cas d’usage.
Jetons OAuth Azure Databricks
- Authentifiez-vous aux API au niveau du compte et de l’espace de travail.
- Les jetons OAuth créés au niveau du compte peuvent accéder aux API de compte et d’espace de travail. Les jetons OAuth créés au niveau de l’espace de travail sont limités aux API d’espace de travail.
- OAuth est recommandé pour la plupart des scénarios en raison d’une sécurité renforcée et d’une gestion automatique des jetons.
- Pour obtenir des instructions de configuration, consultez l’accès au principal de service Autoriser l’accès à Azure Databricks avec OAuth.
Jetons d’accès personnels
- Authentifiez uniquement les API au niveau de l’espace de travail.
- Databricks recommande d’utiliser des paT uniquement lorsque OAuth n’est pas pris en charge.
- Pour plus d'informations, consultez Authentification avec des Jetons d'Accès Personnels Azure Databricks (Legacy).
Pour plus d’informations sur l’utilisation des jetons d’accès MSI (Microsoft Managed Service Identity) ou Microsoft Entra ID, consultez S’authentifier avec des identités managées Azure et s’authentifier auprès des principaux de service Microsoft Entra , respectivement.