Udostępnij przez

Zarządzaj użytkownikami

W tym artykule wyjaśniono, jak dodawać, aktualizować i usuwać użytkowników usługi Azure Databricks.

Aby uzyskać omówienie modelu tożsamości usługi Azure Databricks, zobacz Tożsamości usługi Azure Databricks.

Aby zarządzać dostępem dla użytkowników, zobacz Uwierzytelnianie i kontrola dostępu.

Uwaga

Na tej stronie założono, że obszar roboczy ma włączoną federację tożsamości, która jest domyślna dla większości obszarów roboczych. Aby uzyskać informacje o starszych obszarach roboczych bez federacji tożsamości, zobacz Starsze obszary robocze bez federacji tożsamości.

Kto może zarządzać użytkownikami?

Aby zarządzać użytkownikami w usłudze Azure Databricks, musisz być administratorem konta lub administratorem obszaru roboczego.

  • Administratorzy kont mogą dodawać użytkowników do konta i przypisywać im role administratora. Mogą również przypisywać użytkowników do obszarów roboczych i konfigurować dostęp do danych między obszarami roboczymi.

  • Administratorzy obszaru roboczego mogą dodawać użytkowników do obszaru roboczego usługi Azure Databricks, przypisywać im rolę administratora obszaru roboczego i zarządzać dostępem do obiektów i funkcji w obszarze roboczym, takich jak możliwość tworzenia klastrów lub uzyskiwania dostępu do określonych środowisk opartych na osobach. Dodanie użytkownika do obszaru roboczego usługi Azure Databricks spowoduje również dodanie ich do konta.

    Administratorzy obszaru roboczego admins są członkami grupy w obszarze roboczym, która jest zarezerwowaną grupą, której nie można usunąć.

    Użytkownicy z wbudowaną rolą Współautor lub Właściciel platformy Azure lub rola niestandardowa z wymaganymi uprawnieniami administratora platformy Azure są automatycznie przypisywani do roli administratora obszaru roboczego po kliknięciu przycisku Uruchom obszar roboczy w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Co to są administratorzy obszaru roboczego?.

Synchronizowanie użytkowników z kontem usługi Azure Databricks z dzierżawy Microsoft Entra ID

Możesz zsynchronizować użytkowników z dzierżawy Microsoft Entra ID do konta Azure Databricks automatycznie lub za pomocą łącznika aprowizacji SCIM.

Automatyczne zarządzanie tożsamościami umożliwia dodawanie użytkowników, jednostek usługi i grup z identyfikatora Entra firmy Microsoft do usługi Azure Databricks bez konfigurowania aplikacji w usłudze Microsoft Entra ID. Usługa Databricks używa Microsoft Entra ID jako głównego źródła danych, więc wszelkie zmiany w użytkownikach lub członkostwie grup są uwzględniane w usłudze Azure Databricks. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Aby uzyskać szczegółowe informacje, zobacz Automatyczne synchronizowanie użytkowników i grup z identyfikatora entra firmy Microsoft.

Aprowizacja SCIM umożliwia skonfigurowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID w celu zachowania synchronizacji użytkowników i grup z identyfikatorem Entra firmy Microsoft. Aby uzyskać instrukcje, zobacz Synchronizowanie użytkowników i grup z Microsoft Entra ID przy użyciu protokołu SCIM.

Dodawanie użytkowników do konta

Konsola konta

Administratorzy konta mogą dodawać użytkowników do konta usługi Azure Databricks przy użyciu konsoli konta. Użytkownicy na koncie usługi Azure Databricks nie mają domyślnego dostępu do obszaru roboczego, danych ani zasobów obliczeniowych. Użytkownik nie może należeć do więcej niż 50 kont usługi Azure Databricks.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Użytkownicy kliknij pozycję Dodaj użytkownika.
  4. Wprowadź nazwę i adres e-mail użytkownika.
  5. Kliknij pozycję Dodaj użytkownika.

Ustawienia administratora obszaru roboczego

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.

  3. Kliknij kartę Tożsamość i dostęp .

  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.

  5. Kliknij pozycję Dodaj użytkownika.

  6. Kliknij pozycję Dodaj nowy.

  7. Wprowadź adres e-mail użytkownika.

    Możesz dodać dowolnego użytkownika należącego do dzierżawy Microsoft Entra ID w obszarze roboczym Azure Databricks. Dodanie nowego użytkownika do obszaru roboczego spowoduje również dodanie użytkownika do konta usługi Azure Databricks.

  8. Kliknij przycisk Dodaj.

Przypisywanie ról administratora konta do użytkownika

Uwaga

Na stronie Szczegóły użytkownika są wyświetlane tylko role, które są bezpośrednio przypisane do użytkownika. Role dziedziczone za pośrednictwem członkostwa w grupach są aktywne, ale ich przełączniki nie są wyświetlane jako włączone w interfejsie użytkownika.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Znajdź i kliknij nazwę użytkownika.
  4. Na karcie Role wybierz co najmniej jedną rolę.

Przypisywanie użytkownika do obszaru roboczego

Administratorzy konta i administratorzy obszaru roboczego mogą przypisywać jednostki usługi do obszaru roboczego usługi Azure Databricks przy użyciu konsoli konta lub strony ustawień administratora obszaru roboczego.

Konsola konta

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Uprawnienia kliknij pozycję Dodaj uprawnienia.
  5. Wyszukaj i wybierz użytkownika, przypisz poziom uprawnień ( użytkownik lub administrator obszaru roboczego), a następnie kliknij przycisk Zapisz.

Ustawienia administratora obszaru roboczego

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.
  5. Kliknij pozycję Dodaj użytkownika.
  6. Wybierz istniejącego użytkownika, który ma zostać przypisany do obszaru roboczego, lub kliknij przycisk Dodaj nowy , aby utworzyć nowego użytkownika.
  7. Kliknij przycisk Dodaj.

Usuwanie użytkownika z obszaru roboczego

Gdy użytkownik zostanie usunięty z obszaru roboczego, nie będzie już mógł uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane dla użytkownika. Jeśli użytkownik zostanie później dodany z powrotem do obszaru roboczego, odzyska poprzednie uprawnienia.

Konsola konta

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Uprawnienia znajdź użytkownika.
  5. Kliknij ikonę menu Kebab. menu kebab po prawej stronie wiersza użytkownika i wybierz pozycję Usuń.
  6. W oknie dialogowym potwierdzenia kliknij przycisk Usuń.

Ustawienia administratora obszaru roboczego

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.
  5. Znajdź użytkownika i ikonę menu kebab. Menu kebab znajduje się po prawej stronie wiersza użytkownika i wybierz Usuń.
  6. Kliknij przycisk Usuń , aby potwierdzić.

Przypisywanie roli administratora obszaru roboczego do użytkownika

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Użytkownicy kliknij pozycję Zarządzaj.
  5. Wybierz użytkownika.
  6. W obszarze Uprawnienia włącz dostęp administratora.

Aby usunąć rolę administratora obszaru roboczego z użytkownika obszaru roboczego, wykonaj te same kroki, ale wyczyść przełącznik Dostęp administratora .

Dezaktywowanie użytkownika

Możesz dezaktywować użytkownika na poziomie konta lub obszaru roboczego.

Administratorzy kont mogą dezaktywować użytkowników na koncie usługi Azure Databricks. Dezaktywacja uniemożliwia użytkownikowi uwierzytelnianie i uzyskiwanie dostępu do konta, obszarów roboczych lub interfejsów API usługi Databricks, ale nie usuwa uprawnień ani obiektów. Jest to preferowane w porównaniu do usunięcia, które jest działaniem destrukcyjnym.

Efekty dezaktywacji:

  • Użytkownik nie może uwierzytelnić ani uzyskać dostępu do interfejsu użytkownika lub interfejsów API usługi Databricks.
  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie są już w stanie uzyskać dostępu do interfejsu API usługi Databricks. Tokeny pozostają, ale nie można ich używać do uwierzytelniania podczas dezaktywowania użytkownika.
  • Zasoby obliczeniowe należące do użytkownika pozostają uruchomione.
  • Zaplanowane zadania utworzone przez użytkownika kończą się niepowodzeniem, chyba że zostaną przypisane do nowego właściciela.

Po ponownym uaktywnieniu użytkownik odzyska dostęp z tymi samymi uprawnieniami.

Dezaktywacja na poziomie konta

Administratorzy konta mogą dezaktywować użytkownika na koncie usługi Azure Databricks. Gdy użytkownik jest dezaktywowany na poziomie konta, nie może uwierzytelnić się na koncie usługi Azure Databricks ani w żadnych obszarach roboczych na koncie.

Nie można dezaktywować użytkownika przy użyciu konsoli konta. Zamiast tego użyj API użytkowników konta. Na przykład:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Dezaktywacja na poziomie obszaru roboczego

Gdy użytkownik jest dezaktywowany na poziomie obszaru roboczego, nie może uwierzytelnić się w tym konkretnym obszarze roboczym, ale nadal może uwierzytelnić się na koncie i innych obszarach roboczych na koncie.

Nie można dezaktywować użytkownika przy użyciu strony ustawień administratora obszaru roboczego. Zamiast tego użyj interfejsu API użytkowników obszaru roboczego. Na przykład:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Usuwanie użytkowników z konta usługi Azure Databricks

Administratorzy konta mogą usuwać użytkowników z konta usługi Azure Databricks. Administratorzy obszaru roboczego nie mogą. Usunięcie użytkownika z konta spowoduje również usunięcie tego użytkownika z ich obszarów roboczych. Jeśli usuniesz użytkownika przy użyciu konsoli konta, musisz mieć pewność, że użytkownik zostanie również usunięty przy użyciu dowolnych łączników aprowizacji SCIM lub aplikacji interfejsu API SCIM skonfigurowanych dla konta. Jeśli tego nie zrobisz, aprowizacja SCIM ponownie dodaje użytkownika podczas kolejnej synchronizacji. Zobacz Synchronizowanie użytkowników i grup z identyfikatora entra firmy Microsoft przy użyciu protokołu SCIM.

Ważne

Gdy usuniesz użytkownika z konta, ten użytkownik zostanie również usunięty ze swoich obszarów roboczych, niezależnie od tego, czy federacja tożsamości została włączona. Zalecamy powstrzymanie się od usuwania użytkowników na poziomie konta, chyba że chcesz, aby utracili dostęp do wszystkich obszarów roboczych na koncie. Należy pamiętać o następujących konsekwencjach usuwania użytkowników:

  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsów API usługi Databricks.
  • Zadania należące do użytkownika kończą się niepowodzeniem.
  • Klastry należące do użytkownika zatrzymują się.
  • Biblioteki zainstalowane przez tego użytkownika są nieprawidłowe i muszą zostać ponownie zainstalowane.
  • Zapytania lub pulpity nawigacyjne utworzone przez użytkownika i udostępnione z użyciem poświadczeń właściciela muszą być przypisane do nowego właściciela, aby zapobiec niepowodzeniu udostępniania.

Gdy użytkownik zostanie usunięty z konta, użytkownik nie będzie mógł już uzyskać dostępu do konta lub ich obszarów roboczych, jednak uprawnienia są zachowywane dla użytkownika. Jeśli użytkownik zostanie później dodany z powrotem do konta, odzyska swoje poprzednie uprawnienia.

Aby usunąć użytkownika przy użyciu konsoli konta, wykonaj następujące czynności:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Znajdź i kliknij nazwę użytkownika.
  4. Na karcie Informacje o użytkowniku kliknij ikonę menu Kebab w prawym górnym rogu i wybierz pozycję Usuń.
  5. W oknie dialogowym potwierdzenia kliknij pozycję Potwierdź usunięcie.

Uwaga

Po włączeniu automatycznego zarządzania tożsamościami użytkownicy z identyfikatorem Entra firmy Microsoft są widoczni w konsoli konta. Ich stan jest wyświetlany jako Nieaktywny: brak użycia i nie można ich usunąć z listy użytkowników. Nie są aktywne na koncie i nie są one uwzględniane w limitach użytkowników.

Zarządzanie użytkownikami przy użyciu interfejsu API

Administratorzy kont i administratorzy obszaru roboczego mogą zarządzać użytkownikami na koncie i obszarach roboczych usługi Azure Databricks przy użyciu interfejsów API usługi Databricks.

Zarządzanie użytkownikami na koncie przy użyciu interfejsu API

Administratorzy mogą dodawać użytkowników na koncie usługi Azure Databricks i zarządzać nimi przy użyciu interfejsu API Użytkownicy konta. Administratorzy konta i administratorzy obszaru roboczego wywołują interfejs API przy użyciu innego adresu URL punktu końcowego:

  • Administratorzy kont korzystają z {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Administratorzy obszaru roboczego używają {workspace-domain}/api/2.0/account/scim/v2/.

Aby uzyskać szczegółowe informacje, zobacz interfejs API użytkowników konta.

Zarządzanie użytkownikami w obszarze roboczym przy użyciu interfejsu API

Administratorzy kont i obszarów roboczych mogą używać interfejsu API przypisywania obszaru roboczego do przypisywania użytkowników do obszarów roboczych. Interfejs API przypisywania obszaru roboczego jest obsługiwany za pośrednictwem konta i obszarów roboczych usługi Azure Databricks.

  • Administratorzy kont korzystają z {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Administratorzy obszaru roboczego używają {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Zobacz Interfejs API przypisania obszaru roboczego.

Uwaga

W przypadku starszych obszarów roboczych bez federacji tożsamości administratorzy obszaru roboczego mogą użyć interfejsu API Użytkownicy obszaru roboczego , aby przypisać użytkowników do swoich obszarów roboczych.

  • Last updated on