Freigeben über

Verwalten von Benutzern

  • Artikel

In diesem Artikel wird erläutert, wie Sie Azure Databricks-Benutzer hinzufügen, aktualisieren und entfernen.

Eine Übersicht über das Azure Databricks-Identitätsmodell finden Sie unter Azure Databricks-Identitäten.

Informationen zum Verwalten des Zugriffs für Benutzer finden Sie unter Authentifizierung und Zugriffssteuerung.

Übersicht über die Benutzerverwaltung

Um Benutzer in Azure Databricks zu verwalten, müssen Sie entweder Kontoadministrator oder Arbeitsbereichsadministrator sein.

  • Kontoadministratoren können dem Konto Benutzer hinzufügen und ihnen Administratorrollen zuweisen. Sie können auch Benutzer zu Arbeitsbereichen zuweisen und den Datenzugriff für sie über Arbeitsbereiche hinweg konfigurieren, sofern diese Arbeitsbereiche den Identitätsverbund verwenden.

  • Arbeitsbereichsadministratoren können Benutzern zu einem Azure Databricks-Arbeitsbereich hinzufügen, ihnen die Arbeitsbereichsadministratorrolle zuweisen und den Zugriff auf Objekte und Funktionen im Arbeitsbereich verwalten, z. B. die Möglichkeit zum Erstellen von Clustern oder zum Zugreifen auf personabasierte Umgebungen. Wenn Sie einen Benutzer zu einem Azure Databricks-Arbeitsbereich hinzufügen, wird er auch dem Konto hinzugefügt.

    Arbeitsbereichsadministratoren sind Mitglieder der adminsGruppe im Arbeitsbereich, bei der es sich um eine reservierte Gruppe handelt, die nicht gelöscht werden kann.

    Benutzern mit der integrierten Rolle „Mitwirkender“ oder „Besitzer“ für die Arbeitsbereichsressource in Azure wird automatisch die Rolle „Arbeitsbereichadministrator“ zugewiesen, wenn sie im Azure-Portal auf Arbeitsbereich starten klicken. Weitere Informationen finden Sie unter Was sind Arbeitsbereichsadministratoren?.

Wichtig

Wenn Ihr Konto nach dem 9. November 2023 erstellt wurde, ist der Identitätsverbund standardmäßig für alle neuen Arbeitsbereiche aktiviert und kann nicht deaktiviert werden.

Synchronisieren von Benutzern mit Ihrem Azure Databricks-Konto von Ihrem Microsoft Entra ID-Mandanten (früher Azure Active Directory)

Kontoadministratoren können mithilfe eines SCIM-Bereitstellungsconnectors Benutzer von Ihrem Microsoft Entra ID-Mandanten (früher Azure Active Directory) mit Ihrem Azure Databricks-Konto synchronisieren.

Wichtig

Wenn Sie bereits SCIM-Connectors haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren, müssen Sie diese SCIM-Connectors deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert wird. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.

Anweisungen finden Sie unter Bereitstellen von Identitäten für Ihr Azure Databricks-Konto mithilfe von Microsoft Entra ID (früher Azure Active Directory).

Verwalten von Benutzern in Ihrem Konto

Kontoadministrator*innen können Benutzer*innen mithilfe der Kontokonsole zum Azure Databricks-Konto hinzufügen. Benutzer in einem Azure Databricks-Konto haben keinen Standardzugriff auf einen Arbeitsbereich, Daten oder Computeressourcen.

Hinzufügen von Benutzern zu Ihrem Konto mithilfe der Kontokonsole

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
  3. Klicken Sie auf der Registerkarte Benutzer auf Benutzer hinzufügen.
  4. Geben Sie den Namen und die E-Mail-Adresse für den Benutzer ein.
  5. Klicke auf Benutzer hinzufügen.

Hinweis

Ein Benutzer kann nicht mehr als 50 Azure Databricks-Konten angehören.

Damit Benutzer Zugriff auf einen Arbeitsbereich erhalten, müssen Sie sie zum Arbeitsbereich hinzufügen. Weitere Informationen finden Sie unter Verwalten von Benutzern in Ihrem Arbeitsbereich.

Zuweisen von Kontoadministratorrollen zu Benutzern

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
  3. Suchen Sie den Benutzernamen und klicken Sie darauf.
  4. Aktivieren Sie auf der Registerkarte Rollen die Option Kontoadministrator oder Marketplace Administrator.

Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Kontokonsole

Zum Hinzufügen von Benutzern zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Arbeitsbereichsadministratoren können Arbeitsbereichen auch Benutzer über die Seite mit den Einstellungen für den Arbeitsbereichsadministrator zuweisen. Weitere Informationen finden Sie unter Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche.

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
  3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
  4. Klicken Sie auf der Registerkarte Permissions auf Add permissions.
  5. Suchen Sie nach dem Benutzer, weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin) zu, und klicken Sie auf Speichern.

Entfernen eines Benutzers aus einem Arbeitsbereich mithilfe der Kontokonsole

Zum Entfernen von Benutzern aus einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Wenn ein Benutzer aus einem Arbeitsbereich entfernt wird, kann der Benutzer nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

  1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
  2. Klicken Sie auf der Randleiste auf Arbeitsbereiche.
  3. Klicken Sie auf den Namen Ihres Arbeitsbereichs.
  4. Suchen Sie auf der Registerkarte Berechtigungen den Benutzer.
  5. Klicken Sie auf das Kebab-Menü Kebab-Menü ganz rechts in der Zeile des Benutzers, und wählen Sie Entfernen aus.
  6. Klicken Sie im Bestätigungsdialogfeld auf Entfernen.

Deaktivieren eines Benutzers in Ihrem Azure Databricks-Konto

Kontoadministratoren können Benutzer in einem Azure Databricks-Konto deaktivieren. Ein deaktivierter Benutzer kann sich nicht beim Azure Databricks-Konto oder den Azure Databricks-Arbeitsbereichen anmelden. Alle Berechtigungen und Arbeitsbereichsobjekte des Benutzers bleiben jedoch unverändert. Wenn ein Benutzer deaktiviert wird, gilt Folgendes:

  • Der Benutzer kann sich über keine Methode beim Konto oder einem seiner Arbeitsbereiche anmelden.
  • Anwendungen oder Skripts, welche die vom Benutzer generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht zur Authentifizierung verwendet werden, solange ein Benutzer deaktiviert ist.
  • Notebooks, die dem Benutzer gehören, bleiben erhalten.
  • Cluster, die dem Benutzer gehören, werden weiterhin ausgeführt.
  • Geplante Aufträge, die vom Benutzer erstellt wurden, müssen einem neuen Besitzer zugewiesen werden, damit sie nicht fehlschlagen.

Wenn ein Benutzer reaktiviert wird, kann er sich mit den gleichen Berechtigungen bei Azure Databricks anmelden. Databricks empfiehlt, Benutzer*innen im Konto zu deaktivieren, anstatt sie zu entfernen, da das Entfernen von Benutzer*innen eine destruktive Aktion ist.

Sie können einen Benutzer nicht über die Kontokonsole deaktivieren. Verwenden Sie stattdessen die Kontobenutzer-API. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen in Ihrem Azure Databricks-Konto mithilfe der API.

Entfernen von Benutzern aus Ihrem Azure Databricks-Konto

Kontoadministratoren können Benutzer aus einem Azure Databricks-Konto löschen. Arbeitsbereichsadministratoren können das nicht. Wenn Sie einen Benutzer aus dem Konto löschen, wird dieser Benutzer auch aus ihren Arbeitsbereichen entfernt.

Wichtig

Wenn Sie einen Benutzer aus dem Konto entfernen, wird dieser Benutzer unabhängig von der Aktivierung des Identitätsverbunds auch aus seinen Arbeitsbereichen entfernt. Es wird empfohlen, dass Sie keine Benutzer auf Kontoebene entfernen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche im Konto verlieren. Beachten Sie die folgenden Folgen des Löschens von Benutzern:

  • Anwendungen oder Skripte, die die vom Benutzer generierten Token verwenden, können nicht mehr auf Databricks APIs zugreifen
  • Aufträge, die den jeweiligen Benutzer*innen gehören, schlagen fehl.
  • Cluster, die den jeweiligen Benutzer*innen gehören, werden beendet.
  • Vom Benutzer erstellte Abfragen oder Dashboards, die mit der Berechtigung „Als Besitzer ausführen“ freigegeben wurden, müssen einem neuen Besitzer zugewiesen werden, damit die Freigabe nicht fehlschlägt.

Wenn ein Benutzer aus einem Konto entfernt wird, kann der Benutzer nicht mehr auf das Konto oder seine Arbeitsbereiche zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Konto hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

Gehen Sie wie folgt vor, um einen Benutzer unter Verwendung der Kontokonsole zu entfernen:

  1. Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
  2. Klicken Sie in der Randleiste auf Benutzerverwaltung.
  3. Suchen Sie den Benutzernamen und klicken Sie darauf.
  4. Klicken Sie auf der Registerkarte Benutzerinformationen auf das Kebab-Menü Kebab-Menü in der rechten oberen Ecke, und wählen Sie Löschen aus.
  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.

Wenn Sie einen Benutzer mithilfe der Kontokonsole entfernen, müssen Sie sicherstellen, dass Sie den Benutzer auch mithilfe aller SCIM-Bereitstellungsconnectors oder SCIM-API-Anwendungen entfernen, die für das Konto eingerichtet wurden. Wenn Sie dies nicht tun, fügt die SCIM-Bereitstellung den Benutzer bei der nächsten Synchronisierung wieder hinzu. Siehe Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID.

Zum Entfernen eines Benutzers aus einem Azure Databricks-Konto mithilfe von SCIM-APIs müssen Sie ein Kontoadministrator sein. Weitere Informationen finden Sie unter Bereitstellen von Identitäten für Ihr Azure Databricks-Konto und Kontogruppen-API.

Verwalten von Benutzern in Ihrem Arbeitsbereich

Arbeitsbereichsadministratoren können mithilfe der Seite „Administratoreinstellungen“ des Arbeitsbereichs Benutzer hinzufügen und verwalten.

Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche

Gehen Sie wie folgt vor, um einen Benutzer mithilfe der Seite „Administratoreinstellungen“ des Arbeitsbereichs zu einem Arbeitsbereich hinzuzufügen:

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

  3. Klicken Sie auf die Registerkarte Identität und Zugriff.

  4. Klicken Sie neben Benutzer auf Verwalten.

  5. Klicken Sie auf Benutzer hinzufügen.

  6. Wählen Sie einen vorhandenen Benutzer oder eine vorhandene Benutzerin aus, den bzw. die Sie dem Arbeitsbereich zuweisen möchten, oder klicken Sie auf Neu hinzufügen, um einen neuen Benutzer oder eine neue Benutzerin zu erstellen.

    Sie können jeden Benutzer hinzufügen, der zum Microsoft Entra ID (früher Azure Active Directory)-Mandanten Ihres Azure Databricks-Arbeitsbereichs gehört.

  7. Klicken Sie auf Hinzufügen.

Hinweis

Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, wird nur die Option zum Hinzufügen eines neuen Benutzers zum Arbeitsbereich angezeigt. Wenn Sie einen Benutzer hinzufügen, der denselben Benutzernamen (E-Mail-Adresse) hat wie ein vorhandener Kontobenutzer, werden diese Benutzer zusammengeführt.

Zuweisen der Arbeitsbereichsadministratorrolle zu Benutzer*innen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche

Gehen Sie wie folgt vor, um die Rolle des Arbeitsbereichsadministrators unter Verwendung der Seite „Administratoreinstellungen“ für Arbeitsbereiche zuzuweisen:

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Benutzer auf Verwalten.
  5. Wählt den Benutzer aus.
  6. Klicken Sie auf die Registerkarte Berechtigungen.
  7. Klicken Sie auf die Umschaltfläche neben Administratorzugriff.

Um die Arbeitsbereichsadministratorrolle eines Benutzers oder einer Benutzerin im Arbeitsbereich zu entfernen, führen Sie dieselben Schritte aus, deaktivieren aber die Umschaltfläche Administratorzugriff.

Deaktivieren eines Benutzers in Ihrem Azure Databricks-Arbeitsbereich

Arbeitsbereichsadministratoren können Benutzer in einem Azure Databricks-Arbeitsbereich deaktivieren. Ein deaktivierter Benutzer kann sich nicht beim Arbeitsbereich anmelden oder über Azure Databricks-APIs darauf zugreifen, aber alle Berechtigungen und Arbeitsbereichsobjekte des Benutzers bleiben unverändert. Wenn ein Benutzer deaktiviert ist:

  • Der Benutzer kann sich über keine Methode bei den Arbeitsbereichen anmelden.
  • Der Status des Benutzers oder der Benutzerin wird auf der Seite mit den Einstellungen für Arbeitsbereichsadministrator*innen als Inaktiv angezeigt.
  • Anwendungen oder Skripts, welche die vom Benutzer generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht zur Authentifizierung verwendet werden, solange ein Benutzer deaktiviert ist.
  • Notebooks, die dem Benutzer gehören, bleiben erhalten.
  • Cluster, die dem Benutzer gehören, werden weiterhin ausgeführt.
  • Geplante Aufträge, die vom Benutzer erstellt wurden, müssen einem neuen Besitzer zugewiesen werden, damit sie nicht fehlschlagen.

Wenn ein Benutzer erneut aktiviert wird, kann er sich mit den gleichen Berechtigungen beim Arbeitsbereich anmelden. Databricks empfiehlt, Benutzer*innen zu deaktivieren, anstatt sie zu entfernen, weil das Entfernen von Benutzer*innen eine destruktive Aktion ist. Sie können einen Benutzer nicht über die Seite „Arbeitsbereichsadministratoreinstellungen“ deaktivieren. Verwenden Sie stattdessen die Arbeitsbereichsbenutzer-API. Weitere Informationen finden Sie unter Deaktivieren von Benutzer*innen in Ihrem Azure Databricks-Arbeitsbereich mithilfe der API.

Entfernen eines Benutzers aus einem Arbeitsbereich mithilfe der Administratoreinstellungen für Arbeitsbereiche

Wenn ein Benutzer aus einem Arbeitsbereich entfernt wird, kann der Benutzer nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Benutzer auf Verwalten.
  5. Navigieren Sie zum Benutzer oder zur Benutzerin und zum Kebab-Menü Kebab-Menü ganz rechts in der Benutzerzeile, und wählen Sie Entfernen aus.
  6. Klicken Sie auf Löschen, um den Vorgang zu bestätigen.

Verwalten von Benutzer*innen mithilfe der API

Kontoadministrator*innen und Arbeitsbereichsadministrator*innen können Benutzer*innen im Azure Databricks-Konto und in den Arbeitsbereichen mithilfe von Databricks-APIs verwalten.

Verwalten von Benutzer*innen im Konto mithilfe der API

Administrator*innen können Benutzer*innen im Azure Databricks-Konto mithilfe der Kontobenutzer-API hinzufügen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen rufen die API mithilfe einer anderen Endpunkt-URL auf:

  • Kontoadministratoren verwenden {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/account/scim/v2/.

Weitere Details finden Sie unter Kontobenutzer-API.

Deaktivieren von Benutzer*innen in Ihrem Azure Databricks-Konto mithilfe der API

Kontoadministrator*innen können den Status von Benutzer*innen ändern, um die Benutzer*innen mithilfe der Kontobenutzer-API zu deaktivieren. Beispiel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Der Status eines deaktivierten Benutzers wird in der Kontokonsole als Inaktiv angezeigt.

Wenn Sie einen Benutzer im Konto deaktivieren, wird dieser Benutzer auch in den Arbeitsbereichen deaktiviert.

Verwalten von Benutzer*innen im Arbeitsbereich mithilfe der API

Konto- und Arbeitsbereichsadministrator*innen können die Arbeitsbereichszuweisungs-API verwenden, um Arbeitsbereichen, für die der Identitätsverbund aktiviert ist, Benutzer*innen zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und Azure Databricks-Arbeitsbereiche unterstützt.

  • Kontoadministratoren verwenden {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Arbeitsbereichsadministratoren verwenden {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.

Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, kann ein Arbeitsbereichsadministrator die APIs auf Arbeitsbereichsebene verwenden, um Benutzer ihren Arbeitsbereichen zuzuweisen. Weitere Informationen finden Sie unter Arbeitsbereichsbenutzer-API.

Deaktivieren von Benutzer*innen in Ihrem Azure Databricks-Arbeitsbereich mithilfe der API

Arbeitsbereichsadministratoren können den Status eines Benutzers ändern, um den Benutzer mithilfe der Arbeitsbereichsbenutzer-API zu deaktivieren. Beispiel:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Der Status eines deaktivierten Benutzers wird auf der Seite mit den Administratoreinstellungen des Arbeitsbereichs als Inaktiv angezeigt.