Gestisci utenti

Questo articolo illustra come aggiungere, aggiornare e rimuovere gli utenti di Azure Databricks.

Per una panoramica del modello di identità di Azure Databricks, vedere Identità di Azure Databricks.

Per gestire l'accesso per gli utenti, vedere Autenticazione e controllo di accesso.

Panoramica della gestione utenti

Per gestire gli utenti in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro.

• Gli amministratori dell'account possono aggiungere utenti all'account e assegnarli ruoli di amministratore. Possono anche assegnare utenti alle aree di lavoro e configurare l'accesso ai dati tra aree di lavoro, purché tali aree di lavoro usino la federazione delle identità.

• Gli amministratori dell'area di lavoro possono aggiungere utenti a un'area di lavoro di Azure Databricks, assegnare loro il ruolo di amministratore dell'area di lavoro e gestire l'accesso a oggetti e funzionalità nell'area di lavoro, ad esempio la possibilità di creare cluster o accedere ad ambienti basati su persone specificati. L'aggiunta di un utente a un'area di lavoro di Azure Databricks li aggiunge anche all'account.

  Gli amministratori dell'area di lavoro sono membri del adminsgruppo nell'area di lavoro, ovvero un gruppo riservato che non può essere eliminato.

  Agli utenti con un ruolo predefinito Collaboratore o Proprietario nella risorsa dell'area di lavoro in Azure viene assegnato automaticamente il ruolo di amministratore dell'area di lavoro quando fanno clic su Avvia area di lavoro nel portale di Azure. Per altre informazioni, vedere Che cosa sono gli amministratori dell'area di lavoro?.

Importante

Se l'account è stato creato dopo il 9 novembre 2023, la federazione delle identità è abilitata in tutte le nuove aree di lavoro per impostazione predefinita e non può essere disabilitata.

Sincronizzare gli utenti con l'account Azure Databricks dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory)

Gli amministratori dell'account possono sincronizzare gli utenti dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory) all'account Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro, è necessario disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Vedere Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account.

Per istruzioni, vedere Effettuare il provisioning delle identità nell'account Azure Databricks usando l'ID Microsoft Entra.

Gestire gli utenti nell'account

Gli amministratori dell'account possono aggiungere utenti all'account Azure Databricks usando la console dell'account. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo.

Aggiungere utenti all'account usando la console dell'account

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Utenti fare clic su Aggiungi utente.
4. Immettere un nome e un indirizzo di posta elettronica per l'utente.
5. Fare clic su Add User.

Nota

Un utente non può appartenere a più di 50 account Azure Databricks.

Per concedere agli utenti l'accesso a un'area di lavoro, è necessario aggiungerli all'area di lavoro. Vedere Gestire gli utenti nell'area di lavoro.

Assegnare ruoli di amministratore dell'account a un utente

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Trovare e fare clic sul nome utente.
4. Nella scheda Ruoli attivare l'amministratoredell'account o l'amministratore del Marketplace.

Assegnare un utente a un'area di lavoro usando la console dell'account

Per aggiungere utenti a un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Gli amministratori dell'area di lavoro possono anche assegnare utenti alle aree di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro. Vedere Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
5. Cercare e selezionare l'utente, assegnare il livello di autorizzazione (utente o Amministrazione dell'area di lavoro) e fare clic su Salva.

Rimuovere un utente da un'area di lavoro usando la console dell'account

Per rimuovere gli utenti da un'area di lavoro usando la console dell'account, l'area di lavoro deve essere abilitata per la federazione delle identità. Quando un utente viene rimosso da un'area di lavoro, l'utente non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute per l'utente. Se l'utente viene aggiunto in un secondo momento all'area di lavoro, riacquisi le autorizzazioni precedenti.

1. Come amministratore dell'account, accedere alla console dell'account
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni trovare l'utente.
5. Fare clic sul menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
6. Nella finestra di dialogo di conferma fare clic su Rimuovi.

Disattivare un utente nell'account Azure Databricks

Gli amministratori dell'account possono disattivare gli utenti in un account Azure Databricks. Un utente disattivato non può accedere all'account o alle aree di lavoro di Azure Databricks. Tuttavia, tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato, è true:

• L'utente non può accedere all'account o ad alcuna delle aree di lavoro da qualsiasi metodo.
• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
• I notebook di proprietà dell'utente rimangono.
• I cluster di proprietà dell'utente rimangono in esecuzione.
• I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere ad Azure Databricks con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti dall'account invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva.

Non è possibile disattivare un utente usando la console dell'account. Usare invece l'API Utenti account. Vedere Disattivare un utente nell'account Azure Databricks usando l'API.

Rimuovere gli utenti dall'account Azure Databricks

Gli amministratori dell'account possono eliminare gli utenti da un account Azure Databricks. Gli amministratori dell'area di lavoro non possono. Quando si elimina un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro.

Importante

Quando si rimuove un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. È consigliabile evitare di eliminare utenti a livello di account, a meno che non si voglia che perdano l'accesso a tutte le aree di lavoro nell'account. Tenere presente le conseguenze seguenti dell'eliminazione degli utenti:

• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
• I processi di proprietà dell'utente hanno esito negativo
• I cluster di proprietà dell'utente si arrestano
• Le query o i dashboard creati dall'utente e condivisi tramite le credenziali Run as Owner devono essere assegnati a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Quando un utente viene rimosso da un account, l'utente non può più accedere all'account o alle aree di lavoro, ma le autorizzazioni vengono mantenute per l'utente. Se l'utente viene aggiunto in un secondo momento all'account, recupererà le autorizzazioni precedenti.

Per rimuovere un utente tramite la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Trovare e fare clic sul nome utente.
4. Nella scheda Informazioni utente fare clic sul menu kebab nell'angolo in alto a destra e selezionare Elimina.
5. Nella finestra di dialogo di conferma fare clic su Conferma eliminazione.

Se si rimuove un utente usando la console dell'account, è necessario assicurarsi di rimuovere anche l'utente usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiunge di nuovo l'utente alla successiva sincronizzazione. Vedere Sincronizzare utenti e gruppi da Microsoft Entra ID.

Per rimuovere un utente da un account Azure Databricks usando le API SCIM, è necessario essere un amministratore dell'account. Vedere Effettuare il provisioning delle identità nell'account Azure Databricks e nell'API Gruppi di account.

Gestire gli utenti nell'area di lavoro

Gli amministratori dell'area di lavoro possono aggiungere e gestire gli utenti usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per aggiungere un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, eseguire le operazioni seguenti:

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso .

4. Accanto a Utenti fare clic su Gestisci.

5. Fare clic su Add User.

6. Selezionare un utente esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo utente.

   È possibile aggiungere qualsiasi utente appartenente al tenant di Microsoft Entra ID (in precedenza Azure Active Directory) dell'area di lavoro di Azure Databricks.

7. Fare clic su Aggiungi.

Nota

Se l'area di lavoro non è abilitata per la federazione delle identità, viene visualizzata solo l'opzione per aggiungere un nuovo utente all'area di lavoro. Se si aggiunge un utente che condivide un nome utente (indirizzo di posta elettronica) con un utente di account esistente, tali utenti vengono uniti.

Assegnare il ruolo di amministratore dell'area di lavoro a un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare il ruolo di amministratore dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, eseguire le operazioni seguenti:

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Utenti fare clic su Gestisci.
5. Selezionare l'utente.
6. Fare clic sulla scheda Entitlement.
7. Fare clic sull'interruttore accanto a Amministrazione accesso.

Per rimuovere il ruolo di amministratore dell'area di lavoro da un utente dell'area di lavoro, eseguire gli stessi passaggi, ma deselezionare l'interruttore di accesso Amministrazione.

Disattivare un utente nell'area di lavoro di Azure Databricks

Gli amministratori dell'area di lavoro possono disattivare gli utenti in un'area di lavoro di Azure Databricks. Un utente disattivato non può accedere all'area di lavoro o accedervi dalle API di Azure Databricks, ma tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato:

• L'utente non può accedere alle aree di lavoro da alcun metodo.
• Lo stato dell'utente viene visualizzato come Inattivo nella pagina delle impostazioni di amministrazione dell'area di lavoro.
• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
• I notebook di proprietà dell'utente rimangono.
• I cluster di proprietà dell'utente rimangono in esecuzione.
• I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere all'area di lavoro con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva. Non è possibile disattivare un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro. Usare invece l'API Utenti dell'area di lavoro. Vedere Disattivare un utente nell'area di lavoro di Azure Databricks usando l'API.

Rimuovere un utente da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Quando un utente viene rimosso da un'area di lavoro, l'utente non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute per l'utente. Se l'utente viene aggiunto in un secondo momento all'area di lavoro, riacquisi le autorizzazioni precedenti.

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Utenti fare clic su Gestisci.
5. Trovare l'utente e il menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
6. Fare clic su Elimina per confermare.

Gestire gli utenti usando l'API

Gli amministratori dell'account e gli amministratori dell'area di lavoro possono gestire gli utenti nell'account e nelle aree di lavoro di Azure Databricks usando le API databricks.

Gestire gli utenti nell'account usando l'API

Amministrazione possono aggiungere e gestire gli utenti nell'account Azure Databricks usando l'API Utenti account. Gli amministratori dell'account e gli amministratori dell'area di lavoro richiamano l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, vedere l'API Utenti account.

Disattivare un utente nell'account Azure Databricks usando l'API

Gli amministratori dell'account possono modificare lo stato di un utente per disattivare l'utente usando l'API Utenti account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Lo stato di un utente disattivato è contrassegnato come Inattivo nella console dell'account.

Quando si disattiva un utente dall'account, tale utente viene disattivato anche dalle aree di lavoro.

Gestire gli utenti nell'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gli utenti alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

• Gli amministratori dell'account usano {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Vedere API di assegnazione dell'area di lavoro.

Se l'area di lavoro non è abilitata per la federazione delle identità, un amministratore dell'area di lavoro può usare le API a livello di area di lavoro per assegnare gli utenti alle proprie aree di lavoro. Vedere API Utenti dell'area di lavoro.

Disattivare un utente nell'area di lavoro di Azure Databricks usando l'API

Gli amministratori dell'area di lavoro possono modificare lo stato di un utente per disattivare l'utente usando l'API Utenti dell'area di lavoro. Ad esempio:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Lo stato di un utente disattivato è contrassegnato come Inattivo nella pagina delle impostazioni di amministrazione dell'area di lavoro.