Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un principal de service est une identité spécialisée dans Azure Databricks conçue pour l’automatisation et l’accès par programmation. Les principaux de service fournissent un accès sécurisé et à l’API uniquement aux ressources Azure Databricks pour les outils automatisés, les scripts et les plateformes CI/CD, sans s’appuyer sur des informations d’identification utilisateur individuelles.
Pour savoir comment gérer les principaux de service, consultez Gérer les principaux de service.
Note
Cette page suppose que la fédération d’identité de votre espace de travail est activée, qui est la valeur par défaut pour la plupart des espaces de travail. Pour plus d’informations sur les espaces de travail hérités sans fédération d’identité, consultez Espaces de travail hérités sans fédération d’identité.
Qu’est-ce qu’un principal de service ?
Les principaux de service offrent aux outils et scripts automatisés un accès api uniquement aux ressources Azure Databricks, ce qui offre une sécurité supérieure à l’utilisation de comptes d’utilisateur. Vous pouvez accorder et restreindre l’accès d’un principal de service aux ressources de la même façon qu’un utilisateur Azure Databricks. Par exemple, vous pouvez accorder à un principal de service le rôle d’administrateur de compte ou d’administrateur d’espace de travail, accorder l’accès aux données à l’aide de Unity Catalog ou ajouter un principal de service en tant que membre à un groupe.
Vous pouvez accorder aux utilisateurs, aux principaux de service et aux groupes Azure Databricks des autorisations d’utilisation d’un principal de service. Cela permet aux utilisateurs d’exécuter des travaux en tant que principal de service, au lieu de leur identité, ce qui empêche les travaux d’échouer si un utilisateur quitte votre organisation ou un groupe est modifié.
Principaux de service Databricks et Microsoft Entra ID
Les principaux de service peuvent être des principaux de service gérés Azure Databricks ou gérés par Microsoft Entra ID.
Les principaux de service gérés par Azure Databricks peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons d’accès personnels. Les principaux de service gérés par Microsoft Entra ID peuvent s’authentifier auprès d’Azure Databricks en utilisant l’authentification OAuth Databricks et des jetons Microsoft Entra ID. Pour plus d’informations sur l’authentification des principaux de service, voir Gérer les jetons d’un principal de service.
Les principaux de service géré Azure Databricks sont gérés directement dans Azure Databricks. Les principaux de service géré Microsoft Entra ID sont gérés dans Microsoft Entra ID, ce qui nécessite des autorisations supplémentaires. Databricks vous recommande d’utiliser des principaux de service gérés par Azure Databricks pour l’automatisation Azure Databricks, et d’utiliser des principaux de service gérés par Microsoft Entra ID pour les cas où vous devez vous authentifier en même temps auprès d’Azure Databricks et auprès d’autres ressources Azure.
Pour créer un principal de service géré par Azure Databricks, passez cette section et poursuivez la lecture avec Qui peut gérer et utiliser des principaux de service ?.
Pour utiliser des principaux du service gérés par Microsoft Entra ID dans Azure Databricks, un administrateur doit créer une application Microsoft Entra ID dans Azure. Pour créer un principal de service managé Microsoft Entra ID, consultez S’authentifier auprès des principaux de service Microsoft Entra.
Cas d’utilisation courants
Les principaux de service sont idéaux pour les scénarios d’automatisation tels que les suivants, où vous avez besoin d’un accès programmatique sécurisé et fiable aux ressources Databricks :
| Cas d’utilisation | Example |
|---|---|
| Pipelines CI/CD | Déployez automatiquement des notebooks, des bibliothèques et des configurations dans le cadre de vos flux de travail d’intégration et de déploiement continus. |
| Travaux planifiés | Exécutez des pipelines ETL, des travaux de traitement des données et des rapports automatisés selon une planification sans dépendre des comptes d’utilisateur individuels. |
| Intégrations entre systèmes | Connectez des applications et services externes à Databricks pour l’ingestion, la transformation ou l’analytique des données. |
| Tests automatisés | Exécutez des tests d’intégration et validez les pipelines de données dans le cadre de votre infrastructure de test. |
| Infrastructure en tant que code | Provisionnez et gérez des ressources Databricks à l’aide d’outils tels que Terraform, des modèles ARM ou des bundles de ressources Databricks. |
Qui peut gérer et utiliser les principaux de service ?
Pour gérer les principaux de service dans Azure Databricks, vous devez avoir l’un des rôles suivants :
| Role | Capacités |
|---|---|
| Administrateurs de compte |
|
| Administrateurs d’espace de travail |
|
| Gestionnaires de service principal |
|
| Utilisateurs du service principal |
|
Note
- Le créateur d’un principal de service devient automatiquement le gestionnaire du principal de service.
- Les utilisateurs disposant du rôle de gestionnaire de principal de service n’héritent pas du rôle d’utilisateur du principal de service. Si vous souhaitez utiliser le principal de service pour exécuter des travaux, vous devez vous attribuer explicitement le rôle d’utilisateur principal du service, même après avoir créé le principal de service.
- Lorsque le paramètre
RestrictWorkspaceAdminsest défini surALLOW ALL, les administrateurs de l’espace de travail peuvent créer des jetons pour le compte de tout principal de service de leur espace de travail. Consultez Restreindre les administrateurs de l’espace de travail.
Pour plus d’informations sur l’octroi de rôles d’utilisateur et de gestionnaire de principal de service, consultez Rôles de gestion des principaux de service.
Synchroniser les principaux de service avec votre compte Azure Databricks à partir de votre locataire Microsoft Entra ID
Vous pouvez synchroniser automatiquement les principaux de service Microsoft Entra ID de votre tenant Microsoft Entra ID vers votre compte Azure Databricks à l’aide de la gestion d'identité automatique. Databricks utilise l’ID Microsoft Entra comme source, de sorte que les modifications apportées aux utilisateurs ou aux appartenances aux groupes soient respectées dans Azure Databricks. La gestion automatique des identités est activée par défaut pour les comptes créés après le 1er août 2025. Consultez Synchroniser les utilisateurs et les groupes automatiquement à partir de Microsoft Entra ID.
L’approvisionnement SCIM ne prend pas en charge la synchronisation des principaux de service.
Ressources supplémentaires
- Gérer les principaux de service - Créer et gérer des principaux de service
- Contrôle d’accès du principal de service - Accorder des rôles de gestionnaire et d’utilisateur
- Privilèges de travail - Exécuter des travaux en tant que principal de service
- Authentification pour Databricks Automation - Méthodes d’authentification pour les service principals
- Gérer les identités - Vue d’ensemble de la gestion des identités dans Databricks
- Principal de service Azure - Créer un principal de service Microsoft Entra ID
- Gestion automatique des identités - Synchroniser les entités de service à partir de Microsoft Entra ID