Gérer les groupes

Cet article explique comment les administrateurs créent et gèrent des groupes Azure Databricks. Pour obtenir une vue d’ensemble du modèle d’identité Azure Databricks, consultez Identités Azure Databricks.

Pour gérer l’accès des groupes, consultez Authentification et contrôle d’accès.

Vue d’ensemble de la gestion des groupes

Les groupes simplifient la gestion des identités, en facilitant l’octroi d’accès à des espaces de travail, des données et d’autres objets sécurisables. Toutes les identités Databricks peuvent être attribuées en tant que membres de groupes.

Différence entre les groupes de comptes et les groupes locaux d’espace de travail

Azure Databricks utilise le concept de groupes de comptes et de groupes locaux d’espace de travail hérités :

  • Les groupes de comptes peuvent se voir octroyer un accès aux données d’un metastore Unity Catalog, des rôles sur les principaux de service et des autorisations sur les espaces de travail fédérés par identité.
  • Les groupes locaux d’espace de travail sont des groupes hérités. Ces groupes sont identifiés comme locaux d’espace de travail dans la page des paramètres d’administration de l’espace de travail. Les groupes locaux d’espace de travail ne peuvent pas être affectés à des espaces de travail supplémentaires ou se voir accorder l’accès aux données dans un metastore Unity Catalog. Les groupes locaux d’espace de travail ne peuvent pas se voir attribuer des rôles au niveau du compte. Pour plus d’informations sur les groupes locaux d’espace de travail, consultez Gérer des groupes locaux d’espace de travail (hérités).

Il existe deux groupes de systèmes dans chaque espace de travail : users et admins. Tous les utilisateurs de l’espace de travail sont membres du groupe users et tous les administrateurs de l’espace de travail sont membres du groupe admins. Les groupes locaux d’espace de travail sont des groupes de systèmes. Les groupes de systèmes ne peuvent pas être supprimés.

Databricks recommande de transformer les groupes locaux d’espace de travail en groupes de comptes pour tirer parti de l’attribution centralisée de l’espace de travail et de la gestion d’accès aux données à l’aide de Unity Catalog. Consultez Migrer des groupes locaux d’espace de travail vers des groupes de comptes.

Remarque

Les utilisateurs disposant d’un rôle intégré de Contributeur, de Propriétaire ou personnalisé avec l’autorisation Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action sur la ressource d’espace de travail dans Azure sont automatiquement attribués au groupe admins de l’espace de travail. Pour plus d’informations, consultez Gérer votre abonnement.

Qui peut gérer les groupes de comptes ?

Pour créer des groupes de comptes dans Azure Databricks, vous devez être administrateur de compte ou administrateur d’espace de travail. Les administrateurs d’espace de travail doivent se trouver dans des espaces de travail fédérés par identité pour créer un groupe de comptes.

Pour gérer des groupes de comptes dans Azure Databricks, vous devez avoir le rôle (Préversion publique) de responsable de groupe sur un groupe. Les gestionnaires de groupe peuvent gérer l'appartenance au groupe et supprimer le groupe. Ils peuvent également attribuer à d'autres utilisateurs le rôle de gestionnaire de groupe. Les administrateurs de compte peuvent gérer des rôles de groupe en utilisant la console de compte et les administrateurs d’espace de travail peuvent gérer des rôles de groupe en utilisant la page des paramètres d’administrateur d’espace de travail. Les responsables de groupes qui ne sont pas administrateurs d’espace de travail peuvent manager des rôles de groupe à l’aide de l’API Contrôle d’accès aux comptes.

Les administrateurs de compte ont le rôle de responsable de groupe au niveau du compte, ce qui signifie qu’ils ont le rôle de responsable de groupe sur tous les groupes du compte. Les administrateurs d'espace de travail ont le rôle de gestionnaire de groupe sur les groupes de comptes qu'ils créent.

Les administrateurs d’espace de travail peuvent également créer et gérer des groupes locaux d’espace de travail.

Synchroniser des groupes avec votre compte Azure Databricks depuis votre locataire Microsoft Entra ID

Vous pouvez synchroniser des groupes depuis votre locataire Microsoft Entra ID vers votre compte Azure Databricks en utilisant un connecteur d’approvisionnement SCIM. Pour obtenir des instructions, consultez Provisionner des identités sur votre compte Azure Databricks à l’aide de Microsoft Entra ID.

Important

Si vous disposez de connecteurs SCIM qui synchronisent directement les identités avec vos espaces de travail et que ces espaces de travail sont activés pour la fédération des identités, nous vous recommandons de désactiver ces connecteurs SCIM lorsque le connecteur SCIM au niveau du compte est activé. Si vous avez des espaces de travail qui n’utilisent pas la fédération des identités, vous devez continuer à utiliser tous les connecteurs SCIM que vous avez configurés pour ces espaces de travail et qui s’exécutent en parallèle avec le connecteur SCIM au niveau du compte.

Gérer des groupes de comptes à l’aide de la console de compte

Les administrateurs de compte peuvent ajouter et gérer des groupes dans le compte Azure Databricks à l’aide de la console de compte. Les administrateurs d’espaces de travail et les responsables de groupes peuvent gérer des groupes en utilisant la page des paramètres de l’espace de travail et des API Databricks. Consultez Gérer des groupes de comptes à l’aide de la page des paramètres d’administration de l’espace de travail et Gérer des groupes de comptes en utilisant l’API.

Ajouter des groupes à votre compte à l’aide de la console de compte

Pour ajouter un groupe au compte à l’aide de la console de compte, procédez comme suit :

  1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Dans l’onglet Groupes, cliquez sur Ajouter un groupe.
  4. Donnez un nom au groupe.
  5. Cliquez sur Confirmer.
  6. Lorsque vous y êtes invité, ajoutez des utilisateurs, des principaux de service et des groupes au groupe.

Ajouter des membres à un groupe à l’aide de la console de compte

Pour ajouter des utilisateurs, des principaux de service et des groupes à un groupe à l’aide de la console de compte, procédez comme suit :

  1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
  4. Cliquez sur Ajouter des membres.
  5. Recherchez l’utilisateur, le groupe ou le principal de service que vous souhaitez ajouter et sélectionnez-le.
  6. Cliquez sur Add.

Remarque

Il y a un délai de quelques minutes entre la mise à jour d’un groupe à partir d’un compte et le groupe mis à jour dans les espaces de travail.

Ajouter des membres à un groupe en utilisant la console de compte

Important

Cette fonctionnalité est disponible en préversion publique.

Les administrateurs de compte peuvent accorder des rôles sur des groupes de comptes dans la console de compte.

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Sous l’onglet Groupes, recherchez et cliquez sur le nom du groupe.
  4. Cliquez sur l'onglet Permissions .
  5. Cliquez sur Accorder l’accès.
  6. Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.
  7. Cliquez sur Enregistrer.

Modifier le nom d’un groupe

Les administrateurs de compte peuvent mettre à jour les noms des groupes de comptes à l’aide de la console de compte :

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Sous l’onglet Groupes, sélectionnez le groupe que vous souhaitez mettre à jour.
  4. Cliquez sur Informations de groupe.
  5. Sous Nom, mettez à jour le nom.
  6. Cliquez sur Enregistrer.

Les responsables du groupe ne peuvent pas modifier le nom d’un groupe à l’aide de la console de compte. Utilisez plutôt l’API Groupes de comptes. Par exemple :

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json :

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Pour plus d’informations sur l’authentification auprès de l’API des Comptes de Groupes, consultez Authentifier l’accès aux ressources Azure Databricks.

Affecter un groupe à un espace de travail à l’aide de la console de compte

Pour ajouter des groupes à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Seuls les groupes de comptes sont attribuables aux espaces de travail.

  1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
  2. Dans la barre latérale, cliquez sur Espaces de travail.
  3. Cliquez sur le nom de votre espace de travail.
  4. Sous l’onglet Permissions (Autorisations), cliquez sur Add permissions (Ajouter des autorisations).
  5. Recherchez et sélectionnez le groupe, attribuez-lui un niveau d’autorisation (Utilisateur ou Administrateur de l’espace de travail), puis cliquez sur Enregistrer.

Supprimer un groupe d’un espace de travail à l’aide de la console de compte

Pour supprimer des groupes à un espace de travail à l’aide de la console de compte, l’espace de travail doit être activé pour la fédération des identités. Seuls les groupes de comptes sont amovibles des espaces de travail au moyen de la console de compte.

Lorsqu’un groupe de comptes est supprimé d’un espace de travail, les membres du groupe ne peuvent plus accéder à l’espace de travail, mais les autorisations sont conservées dans le groupe. Si le groupe est à nouveau ajouté à un espace de travail, le groupe récupère ses autorisations précédentes.

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Dans la barre latérale, cliquez sur Espaces de travail.
  3. Cliquez sur le nom de votre espace de travail.
  4. Sous l’onglet Autorisations, recherchez le groupe.
  5. Cliquez sur le menu kebab Menu kebab à l’extrémité droite de la ligne groupe et sélectionnez Supprimer.
  6. Cliquez sur Supprimer dans la boîte de dialogue de confirmation.

Attribuer des rôles d’administrateur de compte à un groupe

Vous ne pouvez pas attribuer le rôle d’administrateur de compte ou le rôle d’administrateur de marketplace à un groupe à l’aide de la console de compte, mais vous pouvez plutôt l’attribuer à des groupes à l’aide de l’API Groupes de comptes. Par exemple :

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json :

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Pour plus d’informations sur l’authentification auprès de l’API des Comptes de Groupes, consultez Authentifier l’accès aux ressources Azure Databricks.

Supprimer des groupes de votre compte Azure Databricks

Les administrateurs de compte peuvent supprimer des groupes d’un compte Azure Databricks. Les responsables de groupes peuvent également supprimer des groupes du compte en utilisant l’API Groupes de compte. Consultez Gérer des groupes de comptes en utilisant l’API.

Important

Lorsque vous supprimez un groupe, tous les utilisateurs de ce groupe sont supprimés du compte et perdent l’accès aux espaces de travail auxquels ils avaient accès (sauf s’ils sont membres d’un autre groupe ou ont été directement autorisés à accéder au compte ou à tous les espaces de travail). Databricks vous recommande de ne pas supprimer des groupes au niveau du compte, sauf si vous souhaitez qu’ils perdent l’accès à tous les espaces de travail du compte. Prenez en compte les conséquences suivantes de la suppression d’utilisateurs :

  • Les applications ou scripts qui utilisent les jetons générés par l'utilisateur ne peuvent plus accéder aux API Databricks
  • Les tâches appartenant à l'utilisateur échouent
  • Les clusters appartenant à l'utilisateur s'arrêtent
  • Les requêtes ou les tableaux de bord créés par l'utilisateur et partagés à l'aide des informations d'identification Exécuter en tant que propriétaire doivent être attribués à un nouveau propriétaire pour éviter l'échec du partage

Pour supprimer un groupe à l’aide de la console de compte, procédez comme suit :

  1. Connectez-vous à la console de compte en tant qu’administrateur de compte.
  2. Dans la barre latérale, cliquez sur Gestion des utilisateurs.
  3. Sous l’onglet Groupes, cherchez le groupe que vous souhaitez supprimer.
  4. Cliquez sur le menu à trois points Menu kebab tout en haut à droite de la ligne d’utilisateur et sélectionnez Supprimer.
  5. Dans la boîte de dialogue de confirmation, cliquez sur Confirmer la suppression.

Si vous supprimez un groupe à l’aide de la console de compte, vous devez également vous assurer que vous supprimez le groupe à l’aide de connecteurs d’approvisionnement SCIM ou d’applications d’API SCIM qui ont été configurés pour le compte. Si ce n’est pas le cas, l’approvisionnement SCIM rajoutera simplement le groupe et ses membres à la prochaine synchronisation. Consulter Synchroniser les utilisateurs et les groupes de Microsoft Entra ID.

Pour supprimer un groupe d’un compte Azure Databricks en utilisant l’API, consultez Synchroniser des utilisateurs et des groupes de votre compte Azure Databricks et API Groupes de comptes.

Manager des groupes de comptes à l’aide de la page des paramètres d’administration de l’espace de travail

Les administrateurs de l'espace de travail peuvent créer et manager des groupes de comptes dans des espaces de travail fédérés par identité à l'aide de la page des paramètres d'administration de l'espace de travail.

Remarque

Il y a un délai de quelques minutes entre la mise à jour d’un groupe à partir d’un espace de travail et le groupe mis à jour dans le compte.

Pour plus d’informations sur la création de groupes locaux d’espace de travail dans des espaces de travail, consultez Gérer des groupes locaux d’espace de travail (hérités).

Créer ou attribuer un groupe à un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail

Pour attribuer ou créer un groupe de comptes dans un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail, procédez comme suit :

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

  3. Cliquez sur l’onglet Identité et accès.

  4. En regard de Groupes, cliquez sur Gérer.

  5. Cliquez sur Ajouter un groupe.

  6. Sélectionnez un groupe existant à attribuer à l’espace de travail ou cliquez sur Ajouter pour créer un groupe de comptes.

    Remarque

    Si la fédération des identités n’est pas activée sur votre espace de travail, vous ne pouvez pas attribuer de groupes de comptes existants ou ajouter des groupes de comptes à votre espace de travail. Vous devez plutôt utiliser des groupes locaux d’espace de travail. Consultez Gérer des groupes locaux d’espace de travail (hérités).

Ajouter des membres à un groupe à l’aide de la page des paramètres d’administration de l’espace de travail

Vous devez être un administrateur d’espace de travail pour ajouter des utilisateurs, des principaux de service et des groupes à un groupe de comptes à l’aide de la page des paramètres d’administration de l’espace de travail. Vous pouvez uniquement manager les membres d’un groupe sur lequel vous avez le rôle de responsable de groupe.

Notes

Vous ne pouvez pas ajouter un groupe enfant au groupe admins. Vous ne pouvez pas ajouter de groupes d’espace de travail locaux ou de groupes de systèmes en tant que membres de groupes de comptes.

Les responsables de groupes qui ne sont pas des administrateurs d’espace de travail doivent manager l’appartenance au groupe en utilisant l’API Groupes de comptes.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. À côté de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.
  6. Sous l’onglet Membres, cliquez sur Ajouter des membres.
  7. Dans la boîte de dialogue, recherchez les utilisateurs, les principaux de service et les groupes que vous souhaitez ajouter et sélectionnez-les.
  8. Cliquez sur Confirmer.

Manager des rôles sur un groupe de comptes à l’aide de la page des paramètres d’administration de l’espace de travail

Important

Cette fonctionnalité est disponible en préversion publique.

Vous pouvez attribuer le rôle de responsable de groupe aux utilisateurs, aux groupes de comptes et aux principaux de service. Les responsables de groupe peuvent manager l’appartenance au groupe. Ils peuvent également attribuer le rôle de responsable de groupe à d'autres utilisateurs.

Vous devez être un administrateur d’espace de travail pour manager des rôles de groupe à l’aide de la page des paramètres d’administration de l’espace de travail. Les responsables de groupes qui ne sont pas administrateurs d’espace de travail peuvent gérer des rôles de groupe à l’aide de l’API Contrôle d’accès au compte.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

  3. Cliquez sur l’onglet Identité et accès.

  4. À côté de Groupes, cliquez sur Gérer.

  5. Sélectionnez le groupe que vous souhaitez mettre à jour. Vous devez avoir le rôle de responsable de groupe sur le groupe pour le mettre à jour.

  6. Cliquez sur l'onglet Permissions .

  7. Cliquez sur Accorder l’accès.

  8. Recherchez et sélectionnez l’utilisateur, le principal de service ou le groupe, puis choisissez le rôle Groupe : Responsable.

    Remarque

    Vous ne pouvez pas attribuer de groupes d’espace de travail locaux ou de groupes de systèmes à des groupes de comptes.

  9. Cliquez sur Enregistrer.

Afficher les groupes parents

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. À côté de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe que vous souhaitez consulter.
  6. Sous l’onglet Groupe parents, affichez les groupes parents de votre groupe.

Supprimer un groupe d’un espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail

La suppression d’un groupe d’un espace de travail ne supprime pas le groupe dans le compte. Lorsqu’un groupe est supprimé d’un espace de travail, les membres du groupe ne peuvent plus accéder à l’espace de travail, mais les autorisations sont conservées dans le groupe. Si le groupe est à nouveau ajouté à l’espace de travail, le groupe récupère ses autorisations précédentes.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. En regard de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe, puis cliquez sur x Supprimer.
  6. Cliquez sur Delete (Supprimer) pour confirmer.

Manager des groupes de comptes à l’aide de l’API

Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupes peuvent ajouter, supprimer et gérer des groupes dans le compte Azure Databricks en tirant parti de l’API Groupes de comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :

  • Les administrateurs de compte utilisent {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Les administrateurs d’espace de travail et les responsables de groupe utilisent {workspace-domain}/api/2.0/account/scim/v2/.

Si vous souhaitez obtenir plus d’informations, consultez API Groupes de comptes.

Attribuer un groupe à un espace de travail à l’aide de l’API

Les administrateurs de compte et d’espace de travail peuvent utiliser l’API d’attribution d’espace de travail pour attribuer des groupes aux espaces de travail sur lesquels est activée la fédération d’identité. L’API d’attribution d’espace de travail est prise en charge via le compte et les espaces de travail Azure Databricks.

  • Les administrateurs de compte utilisent {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Les administrateurs d’espace de travail utilisent {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Voir API d’affectation d’espace de travail.

Manager les rôles d’un groupe à l’aide de l’API

Important

Cette fonctionnalité est disponible en préversion publique.

Les responsables de groupes peuvent manager les rôles de groupe à l’aide de l’API Contrôle d’accès aux comptes. Les administrateurs de compte, les administrateurs d’espace de travail et les responsables de groupe doivent appeler l’API à l’aide d’une URL de point de terminaison différente :

  • Les administrateurs de compte utilisent {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Les administrateurs d’espace de travail et les responsables de groupe utilisent {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Consultez l’API Contrôle d’accès au compte et l’API Proxy d’espace de travail de contrôle d’accès aux comptes.