Zarządzaj użytkownikami

  • Artykuł

W tym artykule wyjaśniono, jak dodawać, aktualizować i usuwać użytkowników usługi Azure Databricks.

Aby zapoznać się z omówieniem modelu tożsamości usługi Azure Databricks, zobacz Tożsamości usługi Azure Databricks.

Aby zarządzać dostępem dla użytkowników, zobacz Uwierzytelnianie i kontrola dostępu.

Omówienie zarządzania

Aby zarządzać użytkownikami w usłudze Azure Databricks, musisz być administratorem konta lub administratorem obszaru roboczego.

  • Administratorzy kont mogą dodawać użytkowników do konta i przypisywać im role administratora. Mogą również przypisywać użytkowników do obszarów roboczych i konfigurować dostęp do danych między obszarami roboczymi, o ile te obszary robocze używają federacji tożsamości.

  • Administratorzy obszaru roboczego mogą dodawać użytkowników do obszaru roboczego usługi Azure Databricks, przypisywać im rolę administratora obszaru roboczego i zarządzać dostępem do obiektów i funkcji w obszarze roboczym, takich jak możliwość tworzenia klastrów lub uzyskiwania dostępu do określonych środowisk opartych na osobach. Dodanie użytkownika do obszaru roboczego usługi Azure Databricks spowoduje również dodanie ich do konta.

    Administratorzy obszaru roboczego adminssą członkami grupy w obszarze roboczym, która jest zarezerwowaną grupą, której nie można usunąć.

    Użytkownicy z wbudowaną rolą Współautor lub Właściciel zasobu obszaru roboczego na platformie Azure są automatycznie przypisywani do roli administratora obszaru roboczego po kliknięciu przycisku Uruchom obszar roboczy w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Co to są administratorzy obszaru roboczego?.

Ważne

Jeśli twoje konto zostało utworzone po 9 listopada 2023 r., federacja tożsamości jest domyślnie włączona we wszystkich nowych obszarach roboczych i nie można jej wyłączyć.

Synchronizowanie użytkowników z kontem usługi Azure Databricks z dzierżawy microsoft Entra ID (dawniej Azure Active Directory)

Administratorzy kont mogą synchronizować użytkowników z dzierżawy microsoft Entra ID (dawniej Azure Active Directory) do konta usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM.

Ważne

Jeśli masz już łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, należy wyłączyć te łączniki SCIM po włączeniu łącznika SCIM na poziomie konta. Zobacz Migrowanie aprowizacji SCIM na poziomie obszaru roboczego do poziomu konta.

Aby uzyskać instrukcje, zobacz Provision identities to your Azure Databricks account using Microsoft Entra ID (Aprowizuj tożsamości na koncie usługi Azure Databricks przy użyciu identyfikatora Microsoft Entra).

Zarządzanie użytkownikami na koncie

Administratorzy konta mogą dodawać użytkowników do konta usługi Azure Databricks przy użyciu konsoli konta. Użytkownicy na koncie usługi Azure Databricks nie mają domyślnego dostępu do obszaru roboczego, danych ani zasobów obliczeniowych.

Dodawanie użytkowników do konta przy użyciu konsoli konta

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Użytkownicy kliknij pozycję Dodaj użytkownika.
  4. Wprowadź nazwę i adres e-mail użytkownika.
  5. Kliknij pozycję Dodaj użytkownika.

Uwaga

Użytkownik nie może należeć do więcej niż 50 kont usługi Azure Databricks.

Aby zapewnić użytkownikom dostęp do obszaru roboczego, musisz dodać je do obszaru roboczego. Zobacz Zarządzanie użytkownikami w obszarze roboczym.

Przypisywanie ról administratora konta do użytkownika

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Znajdź i kliknij nazwę użytkownika.
  4. Na karcie Role włącz pozycję Administrator konta lub Administrator witryny Marketplace.

Przypisywanie użytkownika do obszaru roboczego przy użyciu konsoli konta

Aby dodać użytkowników do obszaru roboczego przy użyciu konsoli konta, należy włączyć obszar roboczy na potrzeby federacji tożsamości. Administratorzy obszaru roboczego mogą również przypisywać użytkowników do obszarów roboczych przy użyciu strony ustawień administratora obszaru roboczego. Zobacz Przypisywanie użytkownika do obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Permissions (Uprawnienia) kliknij pozycję Add permissions (Dodaj uprawnienia).
  5. Wyszukaj i wybierz użytkownika, przypisz poziom uprawnień (użytkownik obszaru roboczego lub Administracja), a następnie kliknij przycisk Zapisz.

Usuwanie użytkownika z obszaru roboczego przy użyciu konsoli konta

Aby usunąć użytkowników z obszaru roboczego przy użyciu konsoli konta, obszar roboczy musi być włączony dla federacji tożsamości. Gdy użytkownik zostanie usunięty z obszaru roboczego, nie będzie już mógł uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane dla użytkownika. Jeśli użytkownik zostanie później dodany z powrotem do obszaru roboczego, odzyska poprzednie uprawnienia.

  1. Jako administrator konta zaloguj się do konsoli konta
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Uprawnienia znajdź użytkownika.
  5. Menu Kebab Kliknij menu kebab po prawej stronie wiersza użytkownika i wybierz pozycję Usuń.
  6. W oknie dialogowym potwierdzenia kliknij przycisk Usuń.

Dezaktywowanie użytkownika na koncie usługi Azure Databricks

Administratorzy kont mogą dezaktywować użytkowników na koncie usługi Azure Databricks. Zdezaktywowany użytkownik nie może zalogować się do konta lub obszarów roboczych usługi Azure Databricks. Jednak wszystkie uprawnienia użytkownika i obiekty obszaru roboczego pozostają niezmienione. Jeśli użytkownik zostanie zdezaktywowany, spełnione są następujące warunki:

  • Użytkownik nie może zalogować się do konta ani żadnego z ich obszarów roboczych z dowolnej metody.
  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsu API usługi Databricks. Tokeny pozostają, ale nie można ich używać do uwierzytelniania podczas dezaktywowania użytkownika.
  • Notesy należące do użytkownika pozostają.
  • Klastry należące do użytkownika pozostają uruchomione.
  • Zaplanowane zadania utworzone przez użytkownika muszą być przypisane do nowego właściciela, aby zapobiec ich awarii.

Gdy użytkownik zostanie ponownie aktywowany, może zalogować się do usługi Azure Databricks z tymi samymi uprawnieniami. Usługa Databricks zaleca dezaktywację użytkowników z konta zamiast ich usuwania, ponieważ usunięcie użytkownika jest destrukcyjną akcją.

Nie można dezaktywować użytkownika przy użyciu konsoli konta. Zamiast tego użyj interfejsu API użytkownicy konta. Zobacz Dezaktywowanie użytkownika na koncie usługi Azure Databricks przy użyciu interfejsu API.

Usuwanie użytkowników z konta usługi Azure Databricks

Administratorzy konta mogą usuwać użytkowników z konta usługi Azure Databricks. Administratorzy obszaru roboczego nie mogą. Usunięcie użytkownika z konta spowoduje również usunięcie tego użytkownika z ich obszarów roboczych.

Ważne

Gdy usuniesz użytkownika z konta, ten użytkownik zostanie również usunięty ze swoich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona. Zalecamy powstrzymanie się od usuwania użytkowników na poziomie konta, chyba że chcesz, aby utracili dostęp do wszystkich obszarów roboczych na koncie. Należy pamiętać o następujących konsekwencjach usuwania użytkowników:

  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsów API usługi Databricks
  • Zadania należące do użytkownika kończą się niepowodzeniem
  • Klastry należące do użytkownika zatrzymają
  • Zapytania lub pulpity nawigacyjne utworzone przez użytkownika i udostępnione przy użyciu poświadczeń Uruchom jako właściciel muszą być przypisane do nowego właściciela, aby zapobiec awarii udostępniania

Gdy użytkownik zostanie usunięty z konta, użytkownik nie będzie mógł już uzyskać dostępu do konta lub ich obszarów roboczych, jednak uprawnienia są zachowywane dla użytkownika. Jeśli użytkownik zostanie później dodany z powrotem do konta, odzyska swoje poprzednie uprawnienia.

Aby usunąć użytkownika przy użyciu konsoli konta, wykonaj następujące czynności:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Znajdź i kliknij nazwę użytkownika.
  4. Na karcie Informacje o użytkowniku kliknij Menu Kebab menu kebab w prawym górnym rogu i wybierz pozycję Usuń.
  5. W oknie dialogowym potwierdzenia kliknij pozycję Potwierdź usunięcie.

Jeśli usuniesz użytkownika przy użyciu konsoli konta, musisz mieć pewność, że użytkownik zostanie również usunięty przy użyciu dowolnych łączników aprowizacji SCIM lub aplikacji interfejsu API SCIM skonfigurowanych dla konta. Jeśli tak nie jest, aprowizacja SCIM dodaje użytkownika z powrotem przy następnej synchronizacji. Zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.

Aby usunąć użytkownika z konta usługi Azure Databricks przy użyciu interfejsów API SCIM, musisz być administratorem konta. Zobacz Aprowizuj tożsamości na koncie usługi Azure Databricks i interfejsie API grup kont.

Zarządzanie użytkownikami w obszarze roboczym

Administratorzy obszaru roboczego mogą dodawać użytkowników i zarządzać nimi przy użyciu strony ustawień administratora obszaru roboczego.

Przypisywanie użytkownika do obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego

Aby dodać użytkownika do obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego, wykonaj następujące czynności:

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.

  3. Kliknij kartę Tożsamość i dostęp .

  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.

  5. Kliknij pozycję Add User (Dodaj użytkownika).

  6. Wybierz istniejącego użytkownika, który ma zostać przypisany do obszaru roboczego, lub kliknij przycisk Dodaj nowy , aby utworzyć nowego użytkownika.

    Możesz dodać dowolnego użytkownika należącego do dzierżawy microsoft Entra ID (dawniej Azure Active Directory) obszaru roboczego usługi Azure Databricks.

  7. Kliknij przycisk Dodaj.

Uwaga

Jeśli obszar roboczy nie jest włączony dla federacji tożsamości, zobaczysz tylko opcję dodania nowego użytkownika do obszaru roboczego. Jeśli dodasz użytkownika, który udostępni nazwę użytkownika (adres e-mail) istniejącego użytkownika konta, zostaną one scalone.

Przypisywanie roli administratora obszaru roboczego do użytkownika przy użyciu strony ustawień administratora obszaru roboczego

Aby przypisać rolę administratora obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego, wykonaj następujące czynności:

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.
  5. Wybierz użytkownika.
  6. Kliknij kartę Uprawnienia .
  7. Kliknij przełącznik obok pozycji Administracja dostęp.

Aby usunąć rolę administratora obszaru roboczego z użytkownika obszaru roboczego, wykonaj te same kroki, ale wyczyść przełącznik Administracja dostępu.

Dezaktywowanie użytkownika w obszarze roboczym usługi Azure Databricks

Administratorzy obszaru roboczego mogą dezaktywować użytkowników w obszarze roboczym usługi Azure Databricks. Zdezaktywowany użytkownik nie może zalogować się do obszaru roboczego ani uzyskać do niego dostępu z interfejsów API usługi Azure Databricks, jednak wszystkie uprawnienia użytkownika i obiekty obszaru roboczego pozostają niezmienione. Gdy użytkownik zostanie zdezaktywowany:

  • Użytkownik nie może zalogować się do obszarów roboczych z żadnej metody.
  • Stan użytkownika jest wyświetlany jako Nieaktywny na stronie ustawienia administratora obszaru roboczego.
  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsu API usługi Databricks. Tokeny pozostają, ale nie można ich używać do uwierzytelniania podczas dezaktywowania użytkownika.
  • Notesy należące do użytkownika pozostają.
  • Klastry należące do użytkownika pozostają uruchomione.
  • Zaplanowane zadania utworzone przez użytkownika muszą być przypisane do nowego właściciela, aby zapobiec ich awarii.

Gdy użytkownik zostanie ponownie aktywowany, może zalogować się do obszaru roboczego przy użyciu tych samych uprawnień. Usługa Databricks zaleca dezaktywację użytkowników zamiast ich usuwania, ponieważ usunięcie użytkownika jest destrukcyjnym działaniem. Nie można dezaktywować użytkownika przy użyciu strony ustawień administratora obszaru roboczego. Zamiast tego użyj interfejsu API Użytkownicy obszaru roboczego. Zobacz Dezaktywowanie użytkownika w obszarze roboczym usługi Azure Databricks przy użyciu interfejsu API.

Usuwanie użytkownika z obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego

Gdy użytkownik zostanie usunięty z obszaru roboczego, nie będzie już mógł uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane dla użytkownika. Jeśli użytkownik zostanie później dodany z powrotem do obszaru roboczego, odzyska poprzednie uprawnienia.

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.
  5. Znajdź menu użytkownika i Menu Kebab kebab po prawej stronie wiersza użytkownika i wybierz pozycję Usuń.
  6. Kliknij przycisk Usuń , aby potwierdzić.

Zarządzanie użytkownikami przy użyciu interfejsu API

Administratorzy kont i administratorzy obszaru roboczego mogą zarządzać użytkownikami na koncie i obszarach roboczych usługi Azure Databricks przy użyciu interfejsów API usługi Databricks.

Zarządzanie użytkownikami na koncie przy użyciu interfejsu API

Administracja mogą dodawać użytkowników na koncie usługi Azure Databricks i zarządzać nimi przy użyciu interfejsu API Użytkownicy konta. Administratorzy konta i administratorzy obszaru roboczego wywołują interfejs API przy użyciu innego adresu URL punktu końcowego:

  • Administratorzy konta używają polecenia {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • Administratorzy obszaru roboczego używają polecenia {workspace-domain}/api/2.0/account/scim/v2/.

Aby uzyskać szczegółowe informacje, zobacz interfejs API użytkowników konta.

Dezaktywowanie użytkownika na koncie usługi Azure Databricks przy użyciu interfejsu API

Administratorzy kont mogą zmienić stan użytkowników, aby dezaktywować użytkownika przy użyciu interfejsu API użytkownicy konta. Na przykład:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Stan dezaktywowanego użytkownika ma etykietę Nieaktywne w konsoli konta.

Po dezaktywowaniu użytkownika z konta ten użytkownik jest również dezaktywowany z ich obszarów roboczych.

Zarządzanie użytkownikami w obszarze roboczym przy użyciu interfejsu API

Administratorzy kont i obszarów roboczych mogą używać interfejsu API przypisywania obszaru roboczego do przypisywania użytkowników do obszarów roboczych z włączoną federacją tożsamości. Interfejs API przypisania obszaru roboczego jest obsługiwany za pośrednictwem konta i obszarów roboczych usługi Azure Databricks.

  • Administratorzy konta używają polecenia {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Administratorzy obszaru roboczego używają polecenia {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Zobacz Interfejs API przypisania obszaru roboczego.

Jeśli obszar roboczy nie jest włączony dla federacji tożsamości, administrator obszaru roboczego może użyć interfejsów API na poziomie obszaru roboczego, aby przypisać użytkowników do swoich obszarów roboczych. Zobacz Interfejs API użytkowników obszaru roboczego.

Dezaktywowanie użytkownika w obszarze roboczym usługi Azure Databricks przy użyciu interfejsu API

Administratorzy obszaru roboczego mogą zmienić stan użytkowników, aby dezaktywować użytkownika przy użyciu interfejsu API Użytkownicy obszaru roboczego. Na przykład:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Stan zdezaktywowanego użytkownika ma etykietę Nieaktywne na stronie ustawień administratora obszaru roboczego.