Gérer les groupes
Cet article explique comment les administrateurs créent et gèrent des groupes Azure Databricks. Pour obtenir une vue d’ensemble du modèle d’identité Azure Databricks, consultez Identités Azure Databricks.
Pour gérer l’accès des groupes, consultez Authentification et contrôle d’accès.
Vue d’ensemble de la gestion des groupes
Les groupes simplifient la gestion des identités, en facilitant l’octroi d’accès à des espaces de travail, des données et d’autres objets sécurisables. Toutes les identités Databricks peuvent être attribuées en tant que membres de groupes.
types de groupes dans Azure Databricks
Azure Databricks a quatre types de groupes, classés en fonction de leur source :
Les groupes de comptes peuvent se voir octroyer un accès aux données d’un metastore Unity Catalog, des rôles sur les principaux de service et des autorisations sur les espaces de travail fédérés par identité.
groupes locaux d’espace de travail sont des groupes hérités qui ne peuvent être utilisés que dans le contexte de l’espace de travail dans lequel ils ont été créés. Ces groupes ne peuvent pas être affectés à des espaces de travail supplémentaires, avoir accès aux données dans un métastore du catalogue Unity ou à des rôles au niveau du compte. Databricks recommande de transformer des groupes locaux d’espace de travail existants en groupes de comptes. Pour plus d’informations sur les groupes locaux d’espace de travail, consultez Gérer des groupes locaux d’espace de travail (hérités).
groupes externes sont des groupes créés dans Azure Databricks à partir de l’ID Microsoft Entra. Ces groupes sont créés à l’aide d’un connecteur d’approvisionnement SCIM et restent synchronisés avec l’ID Microsoft Entra. Par défaut, l’appartenance à un groupe externe ne peut pas être mise à jour à partir de la console de compte Azure Databricks ou de la page des paramètres d’administration de l’espace de travail. Les groupes externes sont des groupes de comptes.
Remarque
Pour mettre à jour l'appartenance à un groupe externe depuis l'interface utilisateur Azure Databricks, un administrateur de compte peut désactiver Aperçu des Groupes Externes Immuables dans la page d'aperçu de la console du compte.
groupes système sont créés et gérés par Azure Databricks. Chaque compte possède un groupe de système de compte appelé
account users
, qui inclut tous les utilisateurs. Il existe deux groupes de système au niveau de l’espace de travail dans chaque espace de travail :users
etadmins
. Tous les membres de l’espace de travail appartiennent au groupeusers
, et les administrateurs de l’espace de travail sont également membres du groupeadmins
. Les groupes de systèmes ne peuvent pas être supprimés.
Les utilisateurs dotés du rôle de Contributeur ou de Propriétaire dans Azure sont automatiquement attribués au groupe admins
de l’espace de travail. Pour plus d’informations, consultez Gérer votre abonnement.
Qui peut gérer les groupes de comptes ?
Pour créer des groupes de comptes dans Azure Databricks, vous devez être administrateur de compte ou administrateur d’espace de travail. Les administrateurs d’espace de travail doivent se trouver dans des espaces de travail fédérés par identité pour créer un groupe de comptes.
Pour gérer des groupes de comptes dans Azure Databricks, vous devez avoir le rôle (Préversion publique) de responsable de groupe sur un groupe. Les gestionnaires de groupe peuvent gérer l'appartenance au groupe et supprimer le groupe. Ils peuvent également attribuer à d'autres utilisateurs le rôle de gestionnaire de groupe. Les administrateurs de compte peuvent gérer des rôles de groupe en utilisant la console de compte et les administrateurs d’espace de travail peuvent gérer des rôles de groupe en utilisant la page des paramètres d’administrateur d’espace de travail. Les responsables de groupes qui ne sont pas administrateurs d’espace de travail peuvent manager des rôles de groupe à l’aide de l’API Contrôle d’accès aux comptes.
Les administrateurs de compte ont le rôle de responsable de groupe au niveau du compte, ce qui signifie qu’ils ont le rôle de responsable de groupe sur tous les groupes du compte. Les administrateurs d'espace de travail ont le rôle de gestionnaire de groupe sur les groupes de comptes qu'ils créent.
Les administrateurs d’espace de travail peuvent également créer et gérer des groupes locaux d’espace de travail.
Synchroniser des groupes avec votre compte Azure Databricks depuis votre locataire Microsoft Entra ID
Vous pouvez synchroniser des groupes depuis votre locataire Microsoft Entra ID vers votre compte Azure Databricks automatiquement ou en utilisant un connecteur d’approvisionnement SCIM.
gestion automatique des identités (préversion publique) vous permet d’ajouter des utilisateurs, des principaux de service et des groupes à partir de l’ID Microsoft Entra dans Azure Databricks sans configurer une application dans Microsoft Entra ID. Databricks utilise l’ID Microsoft Entra comme source d’enregistrement. Les modifications apportées aux utilisateurs ou aux appartenances aux groupes sont donc respectées dans Azure Databricks. Cet aperçu prend en charge les groupes imbriqués. Pour plus d’informations, consultez Synchroniser automatiquement les utilisateurs et les groupes à partir de Microsoft Entra ID.
.. Remarque :: Pendant la préversion publique de gestion automatique des identités, les groupes imbriqués ne sont pas répertoriés dans l’interface utilisateur Azure Databricks. Consultez Limitations de l’interface utilisateur de gestion automatique des identités pendant la préversion publique.
Le provisionnement SCIM vous permet de configurer une application d’entreprise dans Microsoft Entra ID pour maintenir les utilisateurs et les groupes synchronisés avec Microsoft Entra ID. L’approvisionnement SCIM ne prend pas en charge les groupes imbriqués. Pour obtenir des instructions, consultez Synchroniser des utilisateurs et des groupes à partir de Microsoft Entra ID à l’aide de SCIM.
Gérer des groupes de comptes à l’aide de la console de compte
Les administrateurs de compte peuvent ajouter et gérer des groupes dans le compte Azure Databricks à l’aide de la console de compte. Les administrateurs d’espaces de travail et les responsables de groupes peuvent gérer des groupes en utilisant la page des paramètres de l’espace de travail et des API Databricks. Consultez Gérer des groupes de comptes à l’aide de la page des paramètres d’administration de l’espace de travail et Gérer des groupes de comptes en utilisant l’API.
Ajouter des groupes à votre compte à l’aide de la console de compte
Pour ajouter un groupe au compte à l’aide de la console de compte, procédez comme suit :
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Dans l’onglet Groupes, cliquez sur Ajouter un groupe.
- Donnez un nom au groupe.
- Cliquez sur Confirmer.
- Lorsque vous y êtes invité, ajoutez des utilisateurs, des principaux de service et des groupes au groupe.
Ajouter des membres à un groupe à l’aide de la console de compte
Pour maintenir la synchronisation des groupes externes avec l’ID Microsoft Entra, vous ne pouvez pas gérer l’appartenance à des groupes externes dans la console de compte par défaut. Pour ajouter des utilisateurs, des principaux de service et des groupes à un groupe à l’aide de la console de compte, procédez comme suit :
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
- Cliquez sur Ajouter des membres.
- Recherchez l’utilisateur, le groupe ou le principal de service que vous souhaitez ajouter et sélectionnez-le.
- Cliquez sur Add.
Il y a un délai de quelques minutes entre la mise à jour d’un groupe à partir d’un compte et le groupe mis à jour dans les espaces de travail.
Ajouter des membres à un groupe en utilisant la console de compte
Important
Cette fonctionnalité est disponible en préversion publique.
Les administrateurs de compte peuvent accorder des rôles sur des groupes de comptes dans la console de compte.
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, recherchez et cliquez sur le nom du groupe.
- Cliquez sur l'onglet Permissions .
- Cliquez sur Accorder l’accès.
- Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.
- Cliquez sur Enregistrer.
Modifier le nom d’un groupe
Pour maintenir la synchronisation des groupes externes avec l’ID Microsoft Entra, vous ne pouvez pas mettre à jour le nom d’un groupe externe dans la console de compte par défaut. Les administrateurs de compte peuvent mettre à jour les noms des groupes de comptes à l’aide de la console de compte :
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
- Cliquez sur Informations de groupe.
- Sous Nom, mettez à jour le nom.
- Cliquez sur Enregistrer.
Les responsables du groupe ne peuvent pas modifier le nom d’un groupe à l’aide de la console de compte. Utilisez plutôt l’API Groupes de comptes. Par exemple :
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Pour plus d’informations sur l’authentification auprès de l’API Groupes de comptes, consultez Autoriser l’accès aux ressources Azure Databricks.
Affecter un groupe à un espace de travail à l’aide de la console de compte
Pour ajouter des groupes à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Seuls les groupes de comptes sont attribuables aux espaces de travail.
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
- Recherchez et sélectionnez le groupe, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.
Supprimer un groupe d’un espace de travail à l’aide de la console de compte
Pour supprimer des groupes à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Seuls les groupes de comptes sont amovibles des espaces de travail au moyen de la console de compte.
Lorsqu’un groupe de comptes est supprimé d’un espace de travail, les membres du groupe ne peuvent plus accéder à l’espace de travail, mais les autorisations sont conservées dans le groupe. Si le groupe est à nouveau ajouté à un espace de travail, le groupe récupère ses autorisations précédentes.
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Espaces de travail.
- Cliquez sur le nom de votre espace de travail.
- Sous l’onglet Autorisations, recherchez le groupe.
- Cliquez sur le menu kebab
à l’extrémité droite de la ligne groupe et sélectionnez Supprimer.
- Cliquez sur Supprimer dans la boîte de dialogue de confirmation.
Attribuer des rôles d’administrateur de compte à un groupe
Vous ne pouvez pas attribuer le rôle d’administrateur de compte ou le rôle d’administrateur de marketplace à un groupe à l’aide de la console de compte, mais vous pouvez plutôt l’attribuer à des groupes à l’aide de l’API Groupes de comptes. Par exemple :
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Pour plus d’informations sur l’authentification auprès de l’API Groupes de comptes, consultez Autoriser l’accès aux ressources Azure Databricks.
Supprimer des groupes de votre compte Azure Databricks
Les administrateurs de compte peuvent supprimer des groupes d’un compte Azure Databricks. Les responsables de groupes peuvent également supprimer des groupes du compte en utilisant l’API Groupes de compte. Consultez Gérer des groupes de comptes en utilisant l’API.
Important
Lorsque vous supprimez un groupe, tous les utilisateurs de ce groupe sont supprimés du compte et perdent l’accès aux espaces de travail auxquels ils avaient accès (sauf s’ils sont membres d’un autre groupe ou ont été directement autorisés à accéder au compte ou à tous les espaces de travail). Databricks vous recommande de ne pas supprimer des groupes au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Prenez en compte les conséquences suivantes de la suppression d’utilisateurs :
- Les applications ou scripts qui utilisent les jetons générés par l'utilisateur ne peuvent plus accéder aux API Databricks
- Les tâches appartenant à l'utilisateur échouent
- Les clusters appartenant à l'utilisateur s'arrêtent
- Les requêtes ou les tableaux de bord créés par l'utilisateur et partagés à l'aide des informations d'identification Exécuter en tant que propriétaire doivent être attribués à un nouveau propriétaire pour éviter l'échec du partage
Pour supprimer un groupe à l’aide de la console de compte, procédez comme suit :
- Connectez-vous à la console de compte en tant qu’administrateur de compte.
- Dans la barre latérale, cliquez sur Gestion des utilisateurs.
- Sous l’onglet Groupes, cherchez le groupe que vous souhaitez supprimer.
- Cliquez sur le menu à trois points
tout en haut à droite de la ligne d’utilisateur et sélectionnez Supprimer.
- Dans la boîte de dialogue de confirmation, cliquez sur Confirmer la suppression.
Si vous supprimez un groupe à l’aide de la console de compte, vous devez également vous assurer que vous supprimez le groupe à l’aide de connecteurs d’approvisionnement SCIM ou d’applications d’API SCIM qui ont été configurés pour le compte. Si ce n’est pas le cas, l’approvisionnement SCIM rajoutera simplement le groupe et ses membres à la prochaine synchronisation. Voir Synchroniser les utilisateurs et les groupes depuis Microsoft Entra ID avec SCIM.
Pour supprimer un groupe d’un compte Azure Databricks en utilisant l’API, consultez Synchroniser des utilisateurs et des groupes de votre compte Azure Databricks et API Groupes de comptes.
Manager des groupes de comptes à l’aide de la page des paramètres d’administration de l’espace de travail
Les administrateurs de l'espace de travail peuvent créer et manager des groupes de comptes dans des espaces de travail fédérés par identité à l'aide de la page des paramètres d'administration de l'espace de travail.
Remarque
Il y a un délai de quelques minutes entre la mise à jour d’un groupe à partir d’un espace de travail et le groupe mis à jour dans le compte.
Pour plus d’informations sur la création de groupes locaux d’espace de travail dans des espaces de travail, consultez Gérer des groupes locaux d’espace de travail (hérités).
Créer ou attribuer un groupe à un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail
Pour attribuer ou créer un groupe de comptes dans un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail, procédez comme suit :
En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
Cliquez sur l’onglet Identité et accès.
En regard de Groupes, cliquez sur Gérer.
Cliquez sur Ajouter un groupe.
Sélectionnez un groupe existant à attribuer à l’espace de travail ou cliquez sur Ajouter pour créer un groupe de comptes.
Remarque
Si la fédération des identités n’est pas activée sur votre espace de travail, vous ne pouvez pas attribuer de groupes de comptes existants ou ajouter des groupes de comptes à votre espace de travail. Vous devez plutôt utiliser des groupes locaux d’espace de travail. Consultez Gérer des groupes locaux d’espace de travail (hérités).
Ajouter des membres à un groupe à l’aide de la page des paramètres d’administration de l’espace de travail
Vous devez être un administrateur d’espace de travail pour ajouter des utilisateurs, des principaux de service et des groupes à un groupe de comptes à l’aide de la page des paramètres d’administration de l’espace de travail. Vous pouvez uniquement manager les membres d’un groupe sur lequel vous avez le rôle de responsable de groupe. Pour maintenir la synchronisation des groupes externes avec l’ID Microsoft Entra, vous ne pouvez pas gérer l’appartenance à des groupes externes dans la page des paramètres d’administration de l’espace de travail par défaut.
Remarque
Vous ne pouvez pas ajouter un groupe enfant au groupe admins
. Vous ne pouvez pas ajouter de groupes d’espace de travail locaux ou de groupes de systèmes en tant que membres de groupes de comptes.
Les responsables de groupes qui ne sont pas des administrateurs d’espace de travail doivent manager l’appartenance au groupe en utilisant l’API Groupes de comptes.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.
- Sous l’onglet Membres, cliquez sur Ajouter des membres.
- Dans la boîte de dialogue, recherchez les utilisateurs, les principaux de service et les groupes que vous souhaitez ajouter et sélectionnez-les.
- Cliquez sur Confirmer.
Manager des rôles sur un groupe de comptes à l’aide de la page des paramètres d’administration de l’espace de travail
Important
Cette fonctionnalité est disponible en préversion publique.
Vous pouvez attribuer le rôle de responsable de groupe aux utilisateurs, aux groupes de comptes et aux principaux de service. Les responsables de groupe peuvent manager l’appartenance au groupe. Ils peuvent également attribuer le rôle de responsable de groupe à d'autres utilisateurs.
Vous devez être un administrateur d’espace de travail pour manager des rôles de groupe à l’aide de la page des paramètres d’administration de l’espace de travail. Les responsables de groupes qui ne sont pas administrateurs d’espace de travail peuvent gérer des rôles de groupe à l’aide de l’API Contrôle d’accès au compte.
En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
Cliquez sur l’onglet Identité et accès.
En regard de Groupes, cliquez sur Gérer.
Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.
Cliquez sur l'onglet Permissions .
Cliquez sur Accorder l’accès.
Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.
Remarque
Vous ne pouvez pas attribuer de groupes d’espace de travail locaux ou de groupes de systèmes à des groupes de comptes.
Cliquez sur Enregistrer.
Afficher les groupes parents
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe que vous souhaitez consulter.
- Sous l’onglet Groupe parents, affichez les groupes parents de votre groupe.
Supprimer un groupe d’un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail
La suppression d’un groupe d’un espace de travail ne supprime pas le groupe dans le compte. Lorsqu’un groupe est supprimé d’un espace de travail, les membres du groupe ne peuvent plus accéder à l’espace de travail, mais les autorisations sont conservées dans le groupe. Si le groupe est à nouveau ajouté à l’espace de travail, le groupe récupère ses autorisations précédentes.
- En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
- Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
- Cliquez sur l’onglet Identité et accès.
- En regard de Groupes, cliquez sur Gérer.
- Sélectionnez le groupe, puis cliquez sur x Supprimer.
- Cliquez sur Delete (Supprimer) pour confirmer.
Manager des groupes de comptes à l’aide de l’API
Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupes peuvent ajouter, supprimer et gérer des groupes dans le compte Azure Databricks en tirant parti de l’API Groupes de comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :
- Les administrateurs de compte utilisent
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Les administrateurs d’espace de travail et les responsables de groupe utilisent
{workspace-domain}/api/2.0/account/scim/v2/
.
Si vous souhaitez obtenir plus d’informations, consultez API Groupes de comptes.
Attribuer un groupe à un espace de travail à l’aide de l’API
Les administrateurs de compte et d’espace de travail peuvent utiliser l’API d’attribution d’espace de travail pour attribuer des groupes aux espaces de travail sur lesquels est activée la fédération d’identité. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.
- Les administrateurs de compte utilisent
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Les administrateurs d’espace de travail utilisent
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
.
Voir API d’affectation d’espace de travail.
Manager les rôles d’un groupe à l’aide de l’API
Important
Cette fonctionnalité est disponible en préversion publique.
Les responsables de groupes peuvent manager les rôles de groupe à l’aide de l’API Contrôle d’accès aux comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :
- Les administrateurs de compte utilisent
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
. - Les administrateurs d’espace de travail et les responsables de groupe utilisent
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
.
Consultez l’API Contrôle d’accès au compte et l’API Proxy d’espace de travail de contrôle d’accès aux comptes.