Authentification et contrôle d’accès
Cet article présente l’authentification et le contrôle d’accès dans Azure Databricks. Pour plus d’informations sur la sécurisation de l’accès à vos données, consultez Gouvernance des données avec Unity Catalog.
Authentification unique à l’aide de l’ID Microsoft Entra
L’authentification unique sous la forme de connexion basée sur Microsoft Entra ID est disponible dans le compte Azure Databricks et les espaces de travail par défaut. Vous utilisez l’authentification unique Microsoft Entra ID pour la console de compte et les espaces de travail. Vous pouvez activer l’authentification multifacteur via Microsoft Entra ID.
Azure Databricks prend également en charge l’accès conditionnel Microsoft Entra ID qui permet aux administrateurs de contrôler où et quand les utilisateurs sont autorisés à se connecter à Azure Databricks. Consultez Accès conditionnel.
Synchroniser les utilisateurs et les groupes à partir de l’ID Microsoft Entra
Vous pouvez synchroniser automatiquement des utilisateurs et des groupes à partir de Microsoft Entra ID avec votre compte Azure Databricks à l’aide de SCIM. SCIM est une norme ouverte qui vous permet d’automatiser l’approvisionnement d’utilisateurs. SCIM permet un processus d’intégration et de désintérration cohérents. Il utilise l’ID Microsoft Entra pour créer des utilisateurs et des groupes dans Azure Databricks et leur donner le niveau d’accès approprié. Quand un utilisateur quitte votre organisation ou n’a plus besoin d’accéder à Azure Databricks, les administrateurs peuvent le supprimer de Microsoft Entra ID : son compte est alors également supprimé d’Azure Databricks. Cela empêche les utilisateurs non autorisés d’accéder aux données sensibles. Pour plus d’informations, consultez Synchroniser des utilisateurs et des groupes depuis Microsoft Entra ID.
Pour plus d’informations sur la configuration optimale des utilisateurs et des groupes dans Azure Databricks, consultez les meilleures pratiques relatives à l’identité.
Authentification d’API sécurisée avec OAuth
Azure Databricks OAuth prend en charge les informations d’identification sécurisées et l’accès aux ressources et aux opérations au niveau de l’espace de travail Azure Databricks, et prend en charge les autorisations affinées pour l’autorisation.
Databricks prend également en charge les jetons d’accès personnels (PAT), mais vous recommande d’utiliser OAuth à la place. Pour surveiller et gérer les PAT, consultez Surveiller et révoquer des jetons d’accès personnels et gérer les autorisations de jeton d’accès personnel.
Pour plus d’informations sur l’authentification dans l’automatisation Azure Databricks, consultez Authentifier l’accès aux ressources Azure Databricks.
Vue d’ensemble du contrôle d’accès
Dans Azure Databricks, il existe différents systèmes de contrôle d’accès pour différents objets sécurisables. Le tableau ci-dessous montre quel système de contrôle d'accès régit quel type d'objet sécurisable.
| Objet sécurisable | Système de contrôle d’accès |
|---|---|
| Objets sécurisables au niveau de l'espace de travail | Listes de contrôle d’accès |
| Objets sécurisables au niveau du compte | Contrôle d'accès basé sur le rôle du compte |
| Objets sécurisables | Unity Catalog |
Azure Databricks fournit également des rôles et des droits d'administrateur attribués directement aux utilisateurs, aux principaux de service et aux groupes.
Pour obtenir plus d’informations sur la sécurisation des données, consultez Gouvernance des données avec Unity Catalog.
Listes de contrôle d’accès
Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer l’autorisation d’accéder aux objets d’espace de travail tels que des notebooks et des entrepôts SQL. Les listes de contrôle d’accès peuvent être gérées par tous les utilisateurs administrateurs de l’espace de travail et par les utilisateurs qui ont reçu des autorisations déléguées pour gérer ces listes. Pour obtenir plus d’informations sur les listes de contrôle d’accès, voir Liste de contrôle d’accès.
Contrôle d'accès basé sur le rôle du compte
Vous pouvez utiliser le contrôle d'accès basé sur le rôle du compte pour configurer l'autorisation d'utiliser des objets au niveau du compte, tels que des principaux de service et des groupes. Les rôles de compte sont définis une seule fois, dans votre compte, et s'appliquent à tous les espaces de travail. Tous les utilisateurs administrateurs de compte peuvent gérer les rôles de compte, tout comme les utilisateurs disposant d'autorisations déléguées pour les gérer, tels que les gestionnaires de groupe et les gestionnaires principaux de service.
Suivez ces articles pour plus d'informations sur les rôles de compte sur des objets spécifiques au niveau du compte :
- Rôles pour la gestion des principaux de service
- Gérer les rôles sur un groupe à l'aide de la console du compte
Rôles d’administrateur et droits d’espace de travail
Il existe deux principaux niveaux de privilèges d’administrateur disponibles sur la plateforme Azure Databricks :
Administrateurs de compte : gérez le compte Azure Databricks, notamment l’activation du catalogue Unity et de la gestion des utilisateurs.
Administrateurs d’espace de travail : ils gèrent les identités de l’espace de travail, le contrôle d’accès, les paramètres et les fonctionnalités des espaces de travail individuels dans le compte.
Il existe également des rôles d’administrateur spécifiques aux fonctionnalités avec un ensemble plus étroit de privilèges. Pour en savoir plus sur les rôles disponibles, consultez l’introduction de l’administration Azure Databricks.
Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les administrateurs de l'espace de travail attribuent des droits aux utilisateurs, aux principaux de service et aux groupes au niveau de l'espace de travail. Pour obtenir plus d’informations, consultez Gérer les droits d’utilisation.