管理使用者

  • 發行項

本文說明如何新增、更新和移除 Azure Databricks 使用者。

如需 Azure Databricks 身分識別模型的概觀,請參閱 Azure Databricks 身分識別

若要管理使用者的存取權,請參閱 驗證和訪問控制

使用者管理概觀

若要管理 Azure Databricks 中的使用者,您必須是 帳戶管理員工作區管理員

  • 帳戶管理員可以 將使用者新增至帳戶,並指派系統管理員角色。 他們也可以將使用者指派給工作區,並設定跨工作區的數據存取,只要這些工作區使用 身分識別同盟即可。

  • 「工作區管理員」可以將使用者新增至 Azure Databricks 工作區、指派工作區管理員角色,以及管理工作區中物件和功能的存取權,例如建立叢集或存取指定角色型環境的能力。 將使用者新增至 Azure Databricks 工作區也會將它們新增至帳戶。

    工作區系統管理員是工作區中群組的成員admins,這是無法刪除的保留群組。

    在 Azure 中的工作區資源上具有內建參與者或擁有者角色的使用者,會在使用者按兩下 [Azure 入口網站 中的 [啟動工作區] 時,自動指派工作區管理員角色。 如需詳細資訊,請參閱 什麼是工作區管理員?

重要

如果您的帳戶是在 2023 年 11 月 9 日之後建立的,則預設會在所有新的工作區上啟用身分識別同盟,而且無法停用。

將使用者從 Microsoft Entra ID (先前稱為 Azure Active Directory) 租使用者同步至您的 Azure Databricks 帳戶

帳戶管理員可以使用 SCIM 布建連接器,將使用者從 Microsoft Entra ID(先前稱為 Azure Active Directory)租使用者同步至您的 Azure Databricks 帳戶。

重要

如果您已經有將身分識別直接同步至工作區的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級

如需指示,請參閱 使用 Microsoft Entra ID 將身分識別布建至您的 Azure Databricks 帳戶。

管理帳戶中的使用者

帳戶管理員可以使用 帳戶控制台,將使用者新增至您的 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、數據或計算資源沒有任何預設存取權。

使用帳戶主控台將使用者新增至您的帳戶

  1. 身為帳戶管理員,登入 帳戶控制台
  2. 在提要欄位中,按兩下 [ 使用者管理]。
  3. 在 [ 使用者] 索引標籤上,按兩下 [ 新增使用者]。
  4. 輸入使用者的名稱和電子郵件位址。
  5. 按兩下 [ 新增使用者]。

注意

使用者不能屬於超過 50 個 Azure Databricks 帳戶。

若要讓使用者存取工作區,您必須將它們新增至工作區。 請參閱 管理工作區中的使用者。

將帳戶管理員角色指派給使用者

  1. 身為帳戶管理員,登入 帳戶控制台
  2. 在提要欄位中,按兩下 [ 使用者管理]。
  3. 尋找並按下用戶名稱。
  4. 在 [角色] 索引標籤上,開啟 [帳戶管理員] 或 [Marketplace 管理員]。

使用帳戶主控台將使用者指派給工作區

若要使用帳戶主控台將使用者新增至工作區,必須啟用身分識別同盟的工作區。 工作區系統管理員也可以使用工作區系統管理員設定頁面,將使用者指派給工作區。 請參閱 使用工作區系統管理員設定頁面將使用者指派給工作區。

  1. 身為帳戶管理員,登入 帳戶控制台
  2. 在提要欄位中,按兩下 [ 工作區]。
  3. 按兩下您的工作區名稱。
  4. 在 [ 許可權] 索引標籤上,按兩下 [ 新增許可權]。
  5. 搜尋並選取使用者、指派許可權等級(工作區使用者或 管理員),然後按兩下 [儲存]。

使用帳戶主控台從工作區移除使用者

若要使用帳戶主控台從工作區移除使用者,您必須啟用身分識別同盟的工作區。 當使用者從工作區中移除時,使用者就無法再存取工作區,不過用戶會維護用戶的許可權。 如果使用者稍後又新增回工作區,他們會重新取得先前的許可權。

  1. 身為帳戶管理員,登入 帳戶控制台
  2. 在提要欄位中,按兩下 [ 工作區]。
  3. 按兩下您的工作區名稱。
  4. 在 [ 許可權] 索引標籤上,尋找使用者。
  5. Kebab 功能表按兩下用戶資料列最右邊的Kebab功能表,然後選取[移除]。
  6. 在確認對話框中,按兩下 [ 移除]。

停用 Azure Databricks 帳戶中的使用者

帳戶管理員可以停用 Azure Databricks 帳戶中的使用者。 停用的用戶無法登入 Azure Databricks 帳戶或工作區。 不過,所有用戶的許可權和工作區物件都保持不變。 當使用者停用時,下列內容為 true:

  • 用戶無法從任何方法登入帳戶或其任何工作區。
  • 使用使用者所產生的令牌的應用程式或腳本無法再存取 Databricks API。 令牌會保留,但無法在停用用戶時用來驗證。
  • 用戶所擁有的筆記本會維持不變。
  • 用戶所擁有的叢集會繼續執行。
  • 使用者所建立的排程工作必須指派給新的擁有者,以防止他們失敗。

重新啟用使用者時,他們可以使用相同的許可權登入 Azure Databricks。 Databricks 建議從帳戶停用使用者,而不是移除使用者,因為移除使用者是破壞性動作。

您無法使用帳戶主控台停用使用者。 請改用帳戶使用者 API。 請參閱 使用 API 停用 Azure Databricks 帳戶中的使用者。

從 Azure Databricks 帳戶移除使用者

帳戶管理員可以從 Azure Databricks 帳戶刪除使用者。 工作區系統管理員無法。 當您從帳戶中刪除使用者時,該使用者也會從其工作區中移除。

重要

當您從帳戶中移除使用者時,不論是否已啟用身分識別同盟,該使用者也會從其工作區中移除。 我們建議您避免刪除帳戶層級的使用者,除非您希望他們失去帳戶中所有工作區的存取權。 請注意下列刪除使用者的後果:

  • 使用使用者所產生的令牌的應用程式或腳本無法再存取 Databricks API
  • 用戶所擁有的作業失敗
  • 用戶所擁有的叢集停止
  • 使用者建立並使用執行身分擁有者認證共用的查詢或儀錶板必須指派給新的擁有者,以防止共享失敗

當使用者從帳戶中移除時,使用者就無法再存取帳戶或其工作區,但用戶會維護許可權。 如果使用者稍後又新增回帳戶,他們會重新取得先前的許可權。

若要使用帳戶主控台移除使用者,請執行下列動作:

  1. 身為帳戶管理員,登入帳戶控制台。
  2. 在提要欄位中,按兩下 [ 使用者管理]。
  3. 尋找並按下用戶名稱。
  4. 在 [ 用戶資訊] 索引標籤上,單擊 Kebab 功能表 右上角的 Kebab 功能表,然後選取 [ 刪除]。
  5. 在確認對話框中,按兩下 [ 確認刪除]。

如果您使用帳戶主控台移除使用者,您必須確定您也使用已為帳戶設定的任何 SCIM 布建連接器或 SCIM API 應用程式來移除使用者。 如果您未這麼做,SCIM 佈建會在下次同步處理時將使用者新增回 。 請參閱 從 Microsoft Entra 識別碼同步使用者和群組。

若要使用 SCIM API 從 Azure Databricks 帳戶中移除使用者,您必須是帳戶管理員。請參閱 將身分識別布建至您的 Azure Databricks 帳戶帳戶群組 API

管理工作區中的使用者

工作區管理員可以使用工作區系統管理員設定頁面來新增及管理使用者。

使用工作區系統管理員設定頁面將使用者指派給工作區

若要使用工作區系統管理員設定頁面將使用者新增至工作區,請執行下列動作:

  1. 身為工作區管理員,登入 Azure Databricks 工作區。

  2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [管理員 設定]。

  3. 按兩下 [ 身分識別和存取 ] 索引標籤。

  4. 按兩下 [使用者] 旁的 [管理]。

  5. 按兩下 [ 新增使用者]。

  6. 選取現有的使用者以指派給工作區,或按兩下 [ 新增 ] 以建立新的使用者。

    您可以新增任何屬於 Azure Databricks 工作區之 Microsoft Entra ID(先前稱為 Azure Active Directory)租用戶的使用者。

  7. 按一下新增

注意

如果您的工作區未啟用 身分識別同盟,您只會看到將新使用者新增至工作區的選項。 如果您新增與現有帳戶使用者共用使用者名稱(電子郵件位址)的使用者,則會合併這些使用者。

使用工作區系統管理員設定頁面將工作區管理員角色指派給使用者

若要使用工作區系統管理員設定頁面指派工作區管理員角色,請執行下列動作:

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [管理員 設定]。
  3. 按兩下 [ 身分識別和存取 ] 索引標籤。
  4. 按兩下 [使用者] 旁的 [管理]。
  5. 選取使用者。
  6. 按兩下 [ 權利] 索引標籤
  7. 按兩下 管理員 存取旁的切換。

若要從工作區用戶移除工作區管理員角色,請執行相同的步驟,但清除 管理員 存取切換。

停用 Azure Databricks 工作區中的使用者

工作區管理員可以停用 Azure Databricks 工作區中的使用者。 停用的用戶無法登入工作區,或從 Azure Databricks API 存取工作區,不過所有用戶的許可權和工作區物件都保持不變。 停用使用者時:

  • 用戶無法從任何方法登入工作區。
  • 使用者在工作區管理員設定頁面中的狀態會顯示為 [非使用 中]。
  • 使用使用者所產生的令牌的應用程式或腳本無法再存取 Databricks API。 令牌會保留,但無法在停用用戶時用來驗證。
  • 用戶所擁有的筆記本會維持不變。
  • 用戶所擁有的叢集會繼續執行。
  • 使用者所建立的排程工作必須指派給新的擁有者,以防止他們失敗。

重新啟用使用者時,他們可以使用相同的許可權登入工作區。 Databricks 建議停用使用者,而不是移除使用者,因為移除使用者是破壞性動作。 您無法使用工作區系統管理員設定頁面停用使用者。 請改用工作區使用者 API。 請參閱 使用 API 停用 Azure Databricks 工作區中的使用者。

使用工作區系統管理員設定頁面從工作區移除使用者

當使用者從工作區中移除時,使用者就無法再存取工作區,不過用戶會維護用戶的許可權。 如果使用者稍後又新增回工作區,他們會重新取得先前的許可權。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按兩下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [管理員 設定]。
  3. 按兩下 [ 身分識別和存取 ] 索引標籤。
  4. 按兩下 [使用者] 旁的 [管理]。
  5. 在用戶數據列最右邊尋找使用者和 Kebab 功能表 kebab功能表,然後選取[ 移除]。
  6. 按兩下 [ 刪除 ] 以確認。

使用 API 管理使用者

帳戶管理員和工作區管理員可以使用 Databricks API 來管理 Azure Databricks 帳戶和工作區中的使用者。

使用 API 管理帳戶中的使用者

管理員 可以使用帳戶使用者 API 在 Azure Databricks 帳戶中新增和管理使用者。 帳戶管理員和工作區管理員會使用不同的端點 URL 叫用 API:

  • 帳號管理員使用 {account-domain}/api/2.0/accounts/{account_id}/scim/v2/
  • 工作區系統管理員使用 {workspace-domain}/api/2.0/account/scim/v2/

如需詳細資訊,請參閱 帳戶使用者 API

使用 API 停用 Azure Databricks 帳戶中的使用者

帳戶管理員可以變更用戶狀態,以使用 帳戶使用者 API 停用使用者。 例如:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

停用的用戶狀態會在帳戶控制台中標示為 [非 使用中]。

當您從帳戶停用使用者時,該使用者也會從其工作區停用。

使用 API 管理工作區中的使用者

帳戶和工作區管理員可以使用工作區指派 API,將使用者指派給已啟用身分識別同盟的工作區。 透過 Azure Databricks 帳戶和工作區支援工作區指派 API。

  • 帳號管理員使用 {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
  • 工作區系統管理員使用 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}

請參閱 工作區指派 API

如果您的工作區未啟用身分識別同盟,工作區系統管理員可以使用工作區層級 API 將使用者指派給其工作區。 請參閱 工作區使用者 API

使用 API 停用 Azure Databricks 工作區中的使用者

工作區管理員可以變更用戶狀態,以使用 工作區使用者 API 停用使用者。 例如:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

停用的用戶狀態會在工作區系統管理員設定頁面中標示為 [非使用 中]。