Modifier l’accès de l’espace de travail par défaut en accès consommateur

Cette page explique comment les administrateurs de l’espace de travail peuvent définir l'accès par défaut des nouveaux utilisateurs en accès Consommateur à l'aide du clonage de groupe. Cette fonctionnalité vous aide à simplifier l’intégration des consommateurs à grande échelle tout en conservant les niveaux d’accès appropriés pour les utilisateurs qui ont besoin de privilèges de création.

Aperçu

Par défaut, chaque utilisateur ajouté à un espace de travail devient membre du groupe système users . Ce groupe dispose généralement d’un accès à l’espace de travail ou de droits d’accès Databricks SQL, qui sont des droits de création qui permettent aux utilisateurs de créer et de modifier des objets d’espace de travail.

Pour fournir aux utilisateurs une expérience consommateur en lecture seule, le groupe users doit disposer uniquement d’un droit consommateur. Les droits sont additifs, de sorte que l'accès en mode consommateur offre l'expérience simplifiée en mode d'affichage uniquement lorsqu'il s'agit du seul droit octroyé à un utilisateur. Le clonage de groupe vous permet d’apporter cette modification sans perturber les utilisateurs existants qui ont besoin de privilèges de création. Il crée un groupe pour les utilisateurs existants et met à jour le groupe par défaut users pour les nouveaux utilisateurs.

Pour plus d’informations sur l’accès consommateur et ses fonctionnalités, consultez Qu’est-ce que l’accès consommateur ?. Pour en savoir plus sur les droits, consultez Gérer les droits.

Quand utiliser cette fonctionnalité

Utilisez cette fonctionnalité quand :

• Vous souhaitez que les nouveaux utilisateurs de l’espace de travail accèdent par défaut à l’accès consommateur uniquement.
• Vous devez séparer les utilisateurs qui ont besoin de privilèges de création (accès à l'Espace de travail ou Databricks SQL) par rapport aux consommateurs avec droits d'affichage uniquement.
• Vous souhaitez simplifier l’intégration des consommateurs à grande échelle.

Fonctionnement du clonage de groupe

Le groupe système users est automatiquement géré par Azure Databricks et inclut tous les utilisateurs de l’espace de travail. Ce groupe ne peut pas être supprimé. Pour en savoir plus sur les groupes système, consultez les sources de groupe.

Lorsque vous clonez le users groupe :

1. Un nouveau groupe est créé avec les mêmes droits que ceux dont dispose actuellement le users groupe.
2. Tous les utilisateurs d’espace de travail existants sont automatiquement déplacés vers le groupe cloné, ce qui leur permet de conserver leurs niveaux d’accès actuels.
3. Le users groupe est mis à jour pour avoir uniquement le droit du consommateur.
4. Les futurs utilisateurs ajoutés à l’espace de travail deviennent automatiquement membres du users groupe et reçoivent uniquement les droits du consommateur.

Lorsque le users groupe contient des groupes qui sont trop profondément imbriqués (qui sont membres d'autres groupes), vous pouvez choisir comment les gérer :

• Ajoutez tous les membres du groupe directement (recommandé) : ajoute tous les membres du groupe imbriqué directement au groupe cloné. Cela simplifie la structure de groupe.
• Exclure : ignore entièrement le groupe imbriqué. Les membres du groupe imbriqué exclu ne sont pas ajoutés au groupe cloné.

Spécifications

Pour modifier l’accès à l’espace de travail par défaut, vous devez être administrateur d’espace de travail.

Modifier l’accès à l’espace de travail par défaut à l’aide de l’interface utilisateur

Pour modifier l'accès de l'espace de travail par défaut à l'accès consommateur :

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

3. Cliquez sur l’onglet Avancé.

4. Sous Contrôle d’accès, en regard de Modifier l’accès de l’espace de travail par défaut à l’accès consommateur, cliquez sur Ouvrir.

5. Dans la boîte de dialogue, entrez un nom pour le groupe cloné. Ce groupe contiendra tous les utilisateurs existants qui doivent conserver leurs droits actuels.

   

6. Cliquez sur Créer et cloner un groupe.

   Le système crée le nouveau groupe et commence le processus de clonage. Ne fermez pas la fenêtre modale pendant que le clonage est en cours.

7. Si le users groupe contient des groupes profondément imbriqués, vous devrez les gérer.

   • Sélectionnez Ajouter tous les membres du groupe directement (recommandé) pour aplatir le groupe en ajoutant tous les membres du groupe imbriqué directement au groupe cloné.
   • Sélectionnez Exclure ce groupe pour ignorer ce groupe imbriqué.
   • Si vous le souhaitez, sélectionnez Appliquer cette décision à tous les groupes futurs qui dépassent la limite de profondeur d’imbrication pour utiliser votre choix pour tous les groupes imbriqués futurs pendant cette opération.

8. Étape finale : déplacer les autorisations de création et modifier l’accès par défaut, cliquez sur Terminer.

   Le système met à jour le users groupe pour qu’il dispose uniquement d’un droit consommateur et affecte les droits d’origine au groupe cloné.

9. Passez en revue le résumé, puis cliquez sur Terminé.

   

Vérifier les modifications

Une fois le processus terminé, vérifiez que les modifications ont été appliquées correctement :

1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
2. Cliquez sur votre nom d’utilisateur dans la barre supérieure, puis sélectionnez Paramètres.
3. Cliquez sur l’onglet Identité et accès .
4. En regard de Groupes, cliquez sur Gérer.
5. Vérifiez les éléments suivants :
   • Le groupe cloné existe et a le même nombre d’utilisateurs que le groupe d’origine users .
   • Le users groupe dispose désormais uniquement du droit consommateur.

Considérations et bonnes pratiques

Tenez compte des éléments suivants lors de la modification de l’accès par défaut à l’espace de travail :

• Impact sur les nouveaux utilisateurs : après avoir modifié l’accès par défaut, tous les nouveaux utilisateurs ajoutés à l’espace de travail reçoivent uniquement le droit consommateur. Ils peuvent afficher et interagir avec les tableaux de bord, les espaces Génie et Databricks Apps partagés avec eux, mais ne peuvent pas créer d’objets d’espace de travail. Leur page d’accueil Databricks par défaut est la page Databricks One. Pour plus d’informations, consultez Qu’est-ce que l’accès consommateur ? et Qu’est-ce que Databricks One ?.

• Octroi de privilèges de création : lorsque vous devez accorder des privilèges plus élevés aux nouveaux utilisateurs, vous devez les ajouter manuellement au groupe cloné ou attribuer des droits supplémentaires individuellement. Pour obtenir des instructions sur la gestion de l’appartenance aux groupes, consultez Gérer les groupes.

• Restauration des modifications : si vous avez besoin de rétablir cette configuration, accordez l’accès à l’espace de travail et les droits d’accès SQL Databricks au users groupe. Les nouveaux utilisateurs reçoivent ensuite ces droits par défaut. Vous pouvez conserver ou supprimer le groupe cloné selon que vous en avez toujours besoin pour organiser les utilisateurs.

• Coordination avec les fournisseurs d’identité : si vous utilisez le provisionnement SCIM ou la gestion automatique des identités pour synchroniser les utilisateurs et les groupes, coordonnez cette modification avec vos processus de gestion des identités. Consultez Synchroniser les utilisateurs et les groupes de Microsoft Entra ID à l’aide de SCIM.

Automatiser le clonage de groupe à l’aide du Kit de développement logiciel (SDK)

Pour les opérations en bloc ou l’automatisation sur plusieurs espaces de travail, vous pouvez utiliser le Kit de développement logiciel (SDK) Databricks pour Python afin d’automatiser le processus de clonage de groupe. Cette méthode est utile lorsque vous devez appliquer la même configuration sur plusieurs espaces de travail ou intégrer le clonage de groupe dans des flux de travail infrastructure-as-code.

Le script Python suivant automatise la duplication du users groupe et affecte les droits appropriés. Il utilise le Kit de développement logiciel (SDK) Databricks pour Python et nécessite un principal de service disposant de privilèges d’administrateur pour le compte et l’espace de travail, authentifié à l’aide d’OAuth. Consultez Autoriser l’accès utilisateur à Azure Databricks avec OAuth.

Prerequisites

• Principal de service avec des droits d’administrateur
• Ensemble de variables d’environnement :
  • DATABRICKS_ACCOUNT_ID (UUID à partir de l’URL de la console de compte)
  • DATABRICKS_WORKSPACE_ID(ID numérique de l’URL de l’espace de travail)
  • DATABRICKS_CLIENT_ID (ID client du Service Principal)
  • DATABRICKS_CLIENT_SECRET(secret client principal du service)

Exemple de script

import os
import databricks.sdk as dbx
from databricks.sdk.service import iam

# Set the Databricks account host URL for your account's cloud
DATABRICKS_HOST = "https://accounts.azuredatabricks.net"

# Fetch credentials from environment variables
DATABRICKS_ACCOUNT_ID = os.getenv("DATABRICKS_ACCOUNT_ID")
DATABRICKS_WORKSPACE_ID = os.getenv("DATABRICKS_WORKSPACE_ID")
DATABRICKS_CLIENT_ID = os.getenv("DATABRICKS_CLIENT_ID")
DATABRICKS_CLIENT_SECRET = os.getenv("DATABRICKS_CLIENT_SECRET")

# Initialize Databricks account client
account_client = dbx.AccountClient(
    host=DATABRICKS_HOST,
    account_id=DATABRICKS_ACCOUNT_ID,
    client_id=DATABRICKS_CLIENT_ID,
    client_secret=DATABRICKS_CLIENT_SECRET,
)

print(f"Authenticated to Databricks account {DATABRICKS_ACCOUNT_ID}")

# Get workspace and initialize workspace client
workspace = account_client.workspaces.get(workspace_id=DATABRICKS_WORKSPACE_ID)
workspace_name = workspace.workspace_name
workspace_client = account_client.get_workspace_client(workspace)

print(f"Authenticated to Databricks workspace {DATABRICKS_WORKSPACE_ID}, '{workspace_name}'")

def get_workspace_group(group_name):
    """
    Fetches the workspace group with the given name.
    """
    group = list(workspace_client.groups.list(filter=f"displayName eq '{group_name}'"))[0]
    print(f"Found workspace group: {group.display_name}")
    print(f"Workspace {group.display_name} has {len(group.members)} members")
    return group

def clone_workspace_group_to_account(workspace_group_name, new_account_group_name):
    workspace_group = get_workspace_group(workspace_group_name)
    group = account_client.groups.create(
        display_name=new_account_group_name, members=workspace_group.members
    )
    print(f"Created account group: {new_account_group_name}")
    print(f"Cloned workspace group {workspace_group.display_name} to account group {group.display_name}")
    print(f"Account {group.display_name} has {len(group.members)} members")
    return group

def add_account_group_to_workspace(account_group, workspace):
    permissions = account_client.workspace_assignment.update(
        workspace_id=workspace.workspace_id,
        principal_id=account_group.id,
        permissions=[iam.WorkspacePermission.USER],
    )
    print(f"Added account group {account_group.display_name} to workspace {workspace.workspace_id}, {workspace.workspace_name}")
    return permissions

# Clone workspace 'users' group to new account group '{workspace_name}-contributors'
account_group = clone_workspace_group_to_account(
    "users", f"{workspace_name}-contributors"
)

# Add account group '{workspace_name}-contributors' to the workspace
permissions = add_account_group_to_workspace(account_group, workspace)

Après avoir exécuté le script pour dupliquer vos groupes existants et réaffecter des autorisations, accordez à un consommateur l’accès au users groupe afin que les nouveaux utilisateurs reçoivent automatiquement cet accès.

Nouveautés suivantes

Après avoir modifié l’accès à l’espace de travail par défaut, vous souhaiterez peut-être :

• Gérez l’appartenance au groupe pour accorder des privilèges de création aux nouveaux utilisateurs en les ajoutant au groupe cloné. Consultez Gérer les groupes.
• Passez en revue et ajustez les droits d’utilisation pour des utilisateurs ou des groupes individuels. Consultez Gérer les droits d’utilisation.
• En savoir plus sur l’expérience d’accès au consommateur. Voir Qu’est-ce que l’accès consommateur ? et Qu’est-ce que Databricks One ?.
• Configurez les contrôles de gouvernance des données pour les utilisateurs consommateurs. Consultez les filtres de lignes et les masques de colonne.