Partager via


Gérer les utilisateurs

Cet article explique comment ajouter, mettre à jour et supprimer des utilisateurs Azure Databricks.

Pour obtenir une vue d’ensemble du modèle d’identité Azure Databricks, consultez Identités Azure Databricks.

Pour gérer l’accès des utilisateurs, consultez Authentification et contrôle d’accès.

Vue d’ensemble de la gestion des utilisateurs

Pour gérer les utilisateurs dans Azure Databricks, vous devez être un administrateur de compte ou un administrateur d’espace de travail.

  • Les administrateurs de compte peuvent ajouter des utilisateurs au compte et leur attribuer des rôles d’administrateur. Ils peuvent également affecter des utilisateurs aux espaces de travail et configurer l’accès aux données pour ces derniers entre les espaces de travail, tant que ces espaces de travail utilisent la fédération des identités.

  • Les administrateurs d’espace de travail peuvent ajouter des utilisateurs à un espace de travail Azure Databricks, leur attribuer le rôle d’administrateur de l’espace de travail et gérer l’accès aux objets et fonctionnalités de l’espace de travail, comme la possibilité de créer des clusters ou d’accéder à des environnements basés sur des personnages spécifiés. L’ajout d’un utilisateur à un espace de travail Azure Databricks l’ajoute également au compte.

    Les administrateurs d’espace de travail sont membres du adminsgroupe dans l’espace de travail, qui est un groupe réservé ne pouvant pas être supprimé.

    Les utilisateurs disposant d’un rôle Contributeur ou Propriétaire intégré dans Azure sont automatiquement affectés au rôle d’administrateur de l’espace de travail lorsqu’ils cliquent sur Lancer l’espace de travail dans le portail Azure. Pour plus d’informations, consultez Que sont les administrateurs d’espace de travail ?

Important

Databricks a commencé à activer automatiquement de nouveaux espaces de travail pour Unity Catalog le 9 novembre 2023, avec une procédure de déploiement progressive entre les comptes. Si la fédération des identités est activée par défaut sur votre espace de travail, elle ne peut pas être désactivée. Pour plus d’informations, consultez Activation automatique d’Unity Catalog.

Synchroniser des utilisateurs avec votre compte Azure Databricks depuis votre locataire Microsoft Entra ID

Les administrateurs de comptes peuvent synchroniser les utilisateurs de votre locataire Microsoft Entra ID avec votre compte Azure Databricks à l’aide d’un connecteur d’approvisionnement SCIM.

Important

Si vous disposez déjà de connecteurs SCIM qui synchronisent les identités directement avec vos espaces de travail, vous devez désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Pour obtenir des instructions, consultez Approvisionner des identités sur votre compte Azure Databricks à l’aide de Microsoft Entra ID.

Gérer les utilisateurs dans votre compte

Les administrateurs de compte peuvent ajouter des utilisateurs à votre compte Azure Databricks avec la console de compte. Les utilisateurs d’un compte Azure Databricks n’ont pas d’accès par défaut à un espace de travail, à des données ou à des ressources de calcul.

Ajouter des utilisateurs à votre compte à l’aide de la console de compte

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Sous l’onglet Utilisateurs, cliquez sur Ajouter un utilisateur.
  4. Entrez le nom et l’adresse e-mail de l’utilisateur.
  5. Cliquez sur Add User.

Remarque

Un utilisateur ne peut pas appartenir à plus de 50 comptes Azure Databricks.

Pour permettre aux utilisateurs d’accéder à un espace de travail, vous devez les ajouter à l’espace de travail. Consultez Gérer les utilisateurs dans votre espace de travail.

Attribuer des rôles d’administrateur de compte à un utilisateur

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.

  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.

  3. Recherchez le nom d’utilisateur et cliquez dessus.

  4. Sous l’onglet Rôles, activez l’administrateur de compte, l’administrateur de la Place de marché ou l’administrateur de facturation.

Affecter un utilisateur à un espace de travail à l’aide de la console de compte

Pour ajouter des utilisateurs à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Les administrateurs d’espace de travail peuvent également affecter des utilisateurs aux espaces de travail en utilisant la page des paramètres d’administration de l’espace de travail. Consultez Affecter un utilisateur à un espace de travail en utilisant la page des paramètres d’administration de l’espace de travail.

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Espaces de travail.
  3. Cliquez sur le nom de votre espace de travail.
  4. Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
  5. Recherchez et sélectionnez l’utilisateur, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.

Supprimer un utilisateur d’un espace de travail à l’aide de la console de compte

Pour supprimer des utilisateurs d’un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Lorsqu’un utilisateur est supprimé d’un espace de travail, il ne peut plus accéder à l’espace de travail, mais garde ses autorisations d’accès. Si l’utilisateur est ajouté ultérieurement à l’espace de travail, il récupère ses autorisations précédentes.

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte
  2. Dans la barre latérale, cliquez sur Espaces de travail.
  3. Cliquez sur le nom de votre espace de travail.
  4. Sous l’onglet Autorisations, recherchez l’utilisateur.
  5. Cliquez sur le menu à trois points Menu kebab tout en haut à droite de la ligne d’utilisateur et sélectionnez Supprimer.
  6. Cliquez sur Supprimer dans la boîte de dialogue de confirmation.

Désactiver un utilisateur dans votre compte Azure Databricks

Les administrateurs de compte peuvent désactiver des utilisateurs à l’échelle d’un compte Azure Databricks. Un utilisateur désactivé ne peut pas se connecter au compte ou aux espaces de travail Azure Databricks. Toutefois, toutes les autorisations et tous les objets d’espace de travail de l’utilisateur restent inchangés. Lorsqu’un utilisateur est désactivé, ce qui suit est avéré :

  • L’utilisateur ne peut pas se connecter au compte ou à l’un de ses espaces de travail, quelle que soit la méthode employée.
  • Les applications ou les scripts qui utilisent les jetons générés par l’utilisateur ne peuvent plus accéder à l’API Databricks. Les jetons sont conservés mais ne peuvent pas être utilisés pour l’authentification alors qu’un utilisateur est désactivé.
  • Les notebooks appartenant à l’utilisateur sont conservés.
  • Les clusters appartenant à l’utilisateur continueront de s’exécuter.
  • Les travaux planifiés créés par l’utilisateur doivent être attribués à un nouveau propriétaire pour empêcher leur échec.

Lorsqu’un utilisateur est réactivé, il peut se connecter à Azure Databricks avec les mêmes autorisations. Databricks recommande de désactiver les utilisateurs du compte au lieu de les supprimer, car la suppression d’un utilisateur est une action destructrice. L’état d’un utilisateur désactivé est étiqueté Inactive (Inactif) dans la console du compte. Vous pouvez également désactiver un utilisateur depuis un espace de travail spécifique. Consultez Désactiver un utilisateur dans votre espace de travail Azure Databricks.

Vous ne pouvez pas désactiver en utilisant la console de compte. Utilisez plutôt l’API Utilisateurs de compte. Par exemple :

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Supprimer des utilisateurs de votre compte Azure Databricks

Les administrateurs de compte peuvent supprimer des utilisateurs d’un compte Azure Databricks. Les administrateurs d’espace de travail ne le peuvent pas. Lorsque vous supprimez un utilisateur du compte, cet utilisateur est également supprimé de ses espaces de travail.

Important

Lorsque vous supprimez un utilisateur du compte, cet utilisateur est également supprimé de ses espaces de travail, que la fédération d’identité ait été activée ou non. Nous vous recommandons de vous abstenir de supprimer des utilisateurs au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Prenez en compte les conséquences suivantes de la suppression d’utilisateurs :

  • Les applications ou scripts qui utilisent les jetons générés par l'utilisateur ne peuvent plus accéder aux API Databricks
  • Les tâches appartenant à l'utilisateur échouent
  • Les clusters appartenant à l'utilisateur s'arrêtent
  • Les requêtes ou les tableaux de bord créés par l'utilisateur et partagés à l'aide des informations d'identification Exécuter en tant que propriétaire doivent être attribués à un nouveau propriétaire pour éviter l'échec du partage

Lorsqu’un utilisateur est supprimé d’un compte, il ne peut plus accéder au compte ou à ses espaces de travail, mais garde ses autorisations d’accès. Si l’utilisateur est ajouté ultérieurement au compte, il récupère ses autorisations précédentes.

Pour supprimer un utilisateur à l’aide de la console de compte, procédez comme suit :

  1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Recherchez le nom d’utilisateur et cliquez dessus.
  4. Sous l’onglet Informations sur l’utilisateur, cliquez sur le menu Kebab en haut à droite et sélectionnez Supprimer.
  5. Cliquez sur Confirmer la suppression dans la boîte de dialogue de confirmation.

Si vous supprimez un utilisateur à l’aide de la console de compte, vous devez également vous assurer que vous supprimez l’utilisateur à l’aide de connecteurs d’approvisionnement SCIM ou d’applications d’API SCIM qui ont été configurés pour le compte. Si ce n’est pas le cas, l’approvisionnement SCIM rajoute l’utilisateur à la prochaine synchronisation. Consulter Synchroniser les utilisateurs et les groupes de Microsoft Entra ID.

Pour supprimer un utilisateur d’un compte Azure Databricks à l’aide des API SCIM, vous devez être administrateur de compte. Consultez Synchroniser des utilisateurs et des groupes de votre compte Azure Databricks et API Groupes de compte.

Gérer les utilisateurs dans votre espace de travail

Les administrateurs de l’espace de travail peuvent ajouter et gérer des utilisateurs à l’aide de la page des paramètres d’administration de l’espace de travail.

Affecter un utilisateur à un espace de travail en utilisant la page des paramètres d’administration de l’espace de travail

Pour ajouter un utilisateur à un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail, procédez comme suit :

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

  3. Cliquez sur l’onglet Identité et accès.

  4. En regard d’Utilisateurs, cliquez sur Gérer.

  5. Cliquez sur Add User.

  6. Sélectionnez un utilisateur existant à attribuer à l’espace de travail ou cliquez sur Ajouter pour en créer un.

    Vous pouvez ajouter n’importe quel utilisateur appartenant au locataire Microsoft Entra ID de votre espace de travail Azure Databricks. L’ajout d’un nouvel utilisateur à votre espace de travail ajoute également l’utilisateur à votre compte Azure Databricks.

  7. Cliquez sur Add.

Remarque

Si votre espace de travail n’est pas activé pour la fédération d’identité, vous ne voyez que l’option permettant d’ajouter un nouvel utilisateur à l’espace de travail. Si vous ajoutez un utilisateur qui partage un nom d’utilisateur (adresse e-mail) avec un utilisateur existant du compte, ces utilisateurs sont fusionnés.

Attribuer le rôle d’administrateur de l’espace de travail à un utilisateur en utilisant la page des paramètres d’administration de l’espace de travail

Pour attribuer le rôle d’administrateur de l’espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail, procédez comme suit :

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. En regard d’Utilisateurs, cliquez sur Gérer.
  5. Sélectionnez l’utilisateur.
  6. Cliquez sur l’onglet Droits d’utilisation.
  7. Cliquez sur le bouton bascule en regard d’Accès administrateur.

Pour supprimer le rôle d’administrateur d’espace de travail d’un utilisateur d’un espace de travail, effectuez les mêmes étapes, mais désactivez le bouton bascule Accès administrateur.

Désactiver un utilisateur dans votre espace de travail Azure Databricks

Les administrateurs d’espace de travail peuvent désactiver des utilisateurs dans un espace de travail Azure Databricks. Un utilisateur désactivé ne peut pas se connecter à l’espace de travail ou y accéder à partir des API Azure Databricks, mais tous les autorisations et objets de l’espace de travail de l’utilisateur restent inchangés. Lorsqu’un utilisateur est désactivé :

  • L’utilisateur ne peut pas se connecter aux espaces de travail à partir d’une méthode quelconque.
  • L’état de l’utilisateur s’affiche comme Inactif dans la page des paramètres d’administration de l’espace de travail.
  • Les applications ou les scripts qui utilisent les jetons générés par l’utilisateur ne peuvent plus accéder à l’API Databricks. Les jetons sont conservés mais ne peuvent pas être utilisés pour l’authentification alors qu’un utilisateur est désactivé.
  • Les notebooks appartenant à l’utilisateur sont conservés.
  • Les clusters appartenant à l’utilisateur continueront de s’exécuter.
  • Les travaux planifiés créés par l’utilisateur doivent être attribués à un nouveau propriétaire pour empêcher leur échec.

Lorsqu’un utilisateur est réactivé, il peut se connecter à l’espace de travail avec les mêmes autorisations. Databricks recommande de désactiver les utilisateurs au lieu de les supprimer, car la suppression d’un utilisateur est une action destructrice. Vous ne pouvez pas désactiver un utilisateur en utilisant la page des paramètres d’administration de l’espace de travail. Utilisez plutôt l’API Utilisateurs de l’espace de travail. Par exemple :

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Supprimer un utilisateur d’un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail

Lorsqu’un utilisateur est supprimé d’un espace de travail, il ne peut plus accéder à l’espace de travail, mais garde ses autorisations d’accès. Si l’utilisateur est ajouté ultérieurement à l’espace de travail, il récupère ses autorisations précédentes.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. En regard d’Utilisateurs, cliquez sur Gérer.
  5. Trouvez l’utilisateur et le menu kebab menu Kebab tout en haut à droite de la ligne d’utilisateur et sélectionnez Supprimer.
  6. Cliquez sur Delete (Supprimer) pour confirmer.

Gérer les utilisateurs avec l’API

Les administrateurs de compte et les administrateurs d’espace de travail peuvent gérer les utilisateurs dans le compte Azure Databricks, et les espaces de travail en utilisant les API Databricks.

Gérer les utilisateurs dans le compte avec l’API

Les administrateurs peuvent ajouter et gérer des utilisateurs dans le compte Azure Databricks avec l’API Utilisateurs de compte. Les administrateurs de compte et les administrateurs d’espace de travail appellent l’API en utilisant une autre URL de point de terminaison :

  • Les administrateurs de compte utilisent {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Les administrateurs d’espace de travail utilisent {workspace-domain}/api/2.0/account/scim/v2/.

Pour plus de détails, consultez API Utilisateurs de compte.

Gérer les utilisateurs dans l’espace de travail avec l’API

Les administrateurs de compte et d’espace de travail peuvent utiliser l’API Attribution d’espace de travail pour affecter des utilisateurs aux espaces de travail sur lesquels la fédération d’identité est activée. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.

  • Les administrateurs de compte utilisent {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Les administrateurs d’espace de travail utilisent {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Voir API d’affectation d’espace de travail.

Si votre espace de travail n’est pas activé pour la fédération des identités, un administrateur d’espace de travail peut utiliser les API au niveau de l’espace de travail pour affecter des utilisateurs à ses espaces de travail. Consultez API Utilisateurs de l’espace de travail.