Spravovat uživatele
Tento článek vysvětluje, jak přidávat, aktualizovat a odebírat uživatele Azure Databricks.
Přehled modelu identit Azure Databricks najdete v tématu Identity Azure Databricks.
Informace o správě přístupu pro uživatele najdete v tématu Ověřování a řízení přístupu.
Přehled správy uživatelů
Pokud chcete spravovat uživatele v Azure Databricks, musíte být správcem účtu nebo správcem pracovního prostoru.
Správci účtu můžou přidávat uživatele do účtu a přiřazovat jim role správce. Můžou také přiřadit uživatele k pracovním prostorům a nakonfigurovat pro ně přístup k datům napříč pracovními prostory, pokud tyto pracovní prostory používají federaci identit.
Správci pracovního prostoru můžou přidávat uživatele do pracovního prostoru Azure Databricks, přidělovat jim roli správce pracovního prostoru a spravovat přístup k objektům a funkcím v pracovním prostoru, například možnost vytvářet clustery nebo přistupovat k určitým prostředím založeným na osobách. Přidání uživatele do pracovního prostoru Azure Databricks je také přidá do účtu.
Správci pracovního prostoru jsou členy
admins
skupiny v pracovním prostoru, což je rezervovaná skupina, kterou nelze odstranit.Uživatelům s integrovanou rolí Přispěvatel nebo Vlastník v Azure se automaticky přiřadí role správce pracovního prostoru po kliknutí na Spustit pracovní prostor na webu Azure Portal. Další informace najdete v tématu Co jsou správci pracovního prostoru?.
Důležité
Služba Databricks začala automaticky povolovat nové pracovní prostory pro federaci identit a katalog Unity 9. listopadu 2023 s postupným zaváděním napříč účty. Pokud je váš pracovní prostor ve výchozím nastavení povolený pro federaci identit, nejde ho zakázat. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Synchronizace uživatelů s účtem Azure Databricks z tenanta Microsoft Entra ID
Správci účtů můžou synchronizovat uživatele z vašeho tenanta Microsoft Entra ID s vaším účtem Azure Databricks pomocí zřizovacího konektoru SCIM.
Důležité
Pokud už máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory, musíte tyto konektory SCIM zakázat, pokud je povolený konektor SCIM na úrovni účtu. Viz Migrace zřizování SCIM na úrovni pracovního prostoru na úrovni účtu.
Pokyny najdete v tématu Zřizování identit pro váš účet Azure Databricks pomocí ID Microsoft Entra.
Správa uživatelů ve vašem účtu
Správci účtů můžou přidávat uživatele do účtu Azure Databricks pomocí konzoly účtu. Uživatelé v účtu Azure Databricks nemají výchozí přístup k pracovnímu prostoru, datům nebo výpočetním prostředkům.
Přidání uživatelů do účtu pomocí konzoly účtu
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Správa uživatelů.
- Na kartě Uživatelé klikněte na Přidat uživatele.
- Zadejte jméno a e-mailovou adresu uživatele.
- Klikněte na Přidat uživatele.
Poznámka:
Uživatel nemůže patřit do více než 50 účtů Azure Databricks.
Pokud chcete uživatelům udělit přístup k pracovnímu prostoru, musíte je přidat do pracovního prostoru. Viz Správa uživatelů ve vašem pracovním prostoru.
Přiřazení rolí správce účtu uživateli
Jako správce účtu se přihlaste ke konzole účtu.
Na bočním panelu klikněte na Správa uživatelů.
Vyhledejte a klikněte na uživatelské jméno.
Na kartě Role zapněte správce účtu, správce Marketplace nebo správce fakturace.
Přiřazení uživatele k pracovnímu prostoru pomocí konzoly účtu
Pokud chcete přidat uživatele do pracovního prostoru pomocí konzoly účtu, musí být tento pracovní prostor povolený pro federaci identit. Správci pracovního prostoru můžou uživatelům také přiřadit pracovní prostory pomocí stránky nastavení pracovního prostoru. Viz Přiřazení uživatele k pracovnímu prostoru pomocí stránky nastavení správce pracovního prostoru.
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Pracovní prostory.
- Klikněte na název pracovního prostoru.
- Na kartě Permissions (Oprávnění) klikněte na Add permissions (Přidat oprávnění).
- Vyhledejte a vyberte uživatele, přiřaďte úroveň oprávnění (uživatel pracovního prostoru nebo správce) a klikněte na Uložit.
Odebrání uživatele z pracovního prostoru pomocí konzoly účtu
Pokud chcete uživatele z pracovního prostoru odebrat pomocí konzoly účtu, musí být tento pracovní prostor povolený pro federaci identit. Když se uživatel odebere z pracovního prostoru, uživatel už nebude mít přístup k pracovnímu prostoru, ale oprávnění se u uživatele zachovají. Pokud se uživatel později přidá zpět do pracovního prostoru, znovu získá předchozí oprávnění.
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Pracovní prostory.
- Klikněte na název pracovního prostoru.
- Na kartě Oprávnění vyhledejte uživatele.
- Klikněte na nabídku kebabu úplně vpravo od řádku uživatele a vyberte Odebrat.
- V potvrzovací dialogovém okně klikněte na Odebrat.
Deaktivace uživatele v účtu Azure Databricks
Správci účtů můžou deaktivovat uživatele v rámci účtu Azure Databricks. Deaktivovaný uživatel se nemůže přihlásit k účtu nebo pracovním prostorům Azure Databricks. Všechna oprávnění uživatele a objekty pracovního prostoru však zůstávají beze změny. Pokud je uživatel deaktivován, platí následující:
- Uživatel se nemůže přihlásit k účtu ani k žádnému pracovnímu prostoru z žádné metody.
- Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraní Databricks API. Tokeny zůstávají, ale nelze je použít k ověření, když je uživatel deaktivován.
- Poznámkové bloky vlastněné uživatelem zůstanou.
- Clustery vlastněné uživatelem zůstanou spuštěné.
- Naplánované úlohy vytvořené uživatelem musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání.
Když se uživatel znovu aktivuje, může se přihlásit k Azure Databricks se stejnými oprávněními. Databricks doporučuje deaktivovat uživatele z účtu místo jejich odebrání, protože odebrání uživatele je destruktivní akce. Stav deaktivovaného uživatele je v konzole účtu označen jako Neaktivní. Uživatele můžete také deaktivovat z konkrétního pracovního prostoru. Viz Deaktivace uživatele v pracovním prostoru Azure Databricks.
Uživatele nemůžete deaktivovat pomocí konzoly účtu. Místo toho použijte rozhraní API pro uživatele účtu. Příklad:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Odebrání uživatelů z účtu Azure Databricks
Správci účtů můžou uživatele odstranit z účtu Azure Databricks. Správci pracovního prostoru nemohou. Když odstraníte uživatele z účtu, odebere se tento uživatel také ze svých pracovních prostorů.
Důležité
Když odeberete uživatele z účtu, odebere se tento uživatel také ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne. Pokud nechcete, aby ztratili přístup ke všem pracovním prostorům v účtu, nedoporučujeme odstraňovat uživatele na úrovni účtu. Mějte na paměti následující důsledky odstranění uživatelů:
- Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraním API Databricks
- Selhání úloh vlastněných uživatelem
- Clustery vlastněné zastavením uživatele
- Dotazy nebo řídicí panely vytvořené uživatelem a sdílené pomocí přihlašovacích údajů Spustit jako vlastníka musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání sdílení.
Když se uživatel odebere z účtu, uživatel už nebude mít přístup k účtu nebo jeho pracovním prostorům, ale oprávnění se u uživatele zachovají. Pokud se uživatel později znovu přidá do účtu, znovu získá předchozí oprávnění.
Pokud chcete uživatele odebrat pomocí konzoly účtu, postupujte takto:
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Správa uživatelů.
- Vyhledejte a klikněte na uživatelské jméno.
- Na kartě Informace o uživateli klikněte v pravém horním rohu nanabídku kebab a vyberte Odstranit.
- V potvrzovací dialogovém okně klikněte na Potvrdit odstranění.
Pokud odeberete uživatele pomocí konzoly účtu, musíte zajistit, abyste uživatele odebrali také pomocí všech konektorů pro zřizování SCIM nebo aplikací rozhraní API SCIM, které jsou pro tento účet nastavené. Pokud ne, zřizování SCIM přidá uživatele zpět při příští synchronizaci. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID.
Pokud chcete odebrat uživatele z účtu Azure Databricks pomocí rozhraní API SCIM, musíte být správcem účtu. Viz Synchronizace uživatelů a skupin s vaším účtem Azure Databricks a rozhraním API pro skupiny účtů.
Správa uživatelů v pracovním prostoru
Správci pracovního prostoru můžou přidávat a spravovat uživatele pomocí stránky nastavení pracovního prostoru.
Přiřazení uživatele k pracovnímu prostoru pomocí stránky nastavení správce pracovního prostoru
Pokud chcete přidat uživatele do pracovního prostoru pomocí stránky nastavení správce pracovního prostoru, postupujte takto:
Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
Klikněte na kartu Identita a přístup .
Vedle položky Uživatelé klikněte na Spravovat.
Klikněte na Add User (Přidat uživatele).
Vyberte existujícího uživatele, který chcete přiřadit k pracovnímu prostoru, nebo klikněte na Přidat nový a vytvořte nového uživatele.
Můžete přidat libovolného uživatele, který patří do tenanta Microsoft Entra ID vašeho pracovního prostoru Azure Databricks. Přidání nového uživatele do pracovního prostoru také přidá uživatele do vašeho účtu Azure Databricks.
Klikněte na tlačítko Přidat.
Poznámka:
Pokud váš pracovní prostor není povolený pro federaci identit, uvidíte možnost přidat do pracovního prostoru jenom nového uživatele. Pokud přidáte uživatele, který sdílí uživatelské jméno (e-mailovou adresu) s existujícím uživatelem účtu, budou tito uživatelé sloučeni.
Přiřazení role správce pracovního prostoru uživateli pomocí stránky nastavení pracovního prostoru
Pokud chcete přiřadit roli správce pracovního prostoru pomocí stránky nastavení pracovního prostoru, postupujte takto:
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
- Klikněte na kartu Identita a přístup .
- Vedle položky Uživatelé klikněte na Spravovat.
- Vyberte uživatele.
- Klikněte na kartu Nároky .
- Klikněte na přepínač vedle možnosti Přístup správce.
Pokud chcete roli správce pracovního prostoru uživateli pracovního prostoru odebrat, proveďte stejné kroky, ale zrušte zaškrtnutí políčka pro přístup správce.
Deaktivace uživatele v pracovním prostoru Azure Databricks
Správci pracovního prostoru mohou deaktivovat uživatele v pracovním prostoru Azure Databricks. Deaktivovaný uživatel se nemůže přihlásit k pracovnímu prostoru nebo k němu přistupovat z rozhraní API Služby Azure Databricks, ale všechna oprávnění a objekty pracovního prostoru zůstávají beze změny. Když je uživatel deaktivován:
- Uživatel se nemůže přihlásit k pracovním prostorům z žádné metody.
- Stav uživatele se na stránce nastavení pracovního prostoru zobrazuje jako Neaktivní .
- Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraní Databricks API. Tokeny zůstávají, ale nelze je použít k ověření, když je uživatel deaktivován.
- Poznámkové bloky vlastněné uživatelem zůstanou.
- Clustery vlastněné uživatelem zůstanou spuštěné.
- Naplánované úlohy vytvořené uživatelem musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání.
Když se uživatel znovu aktivuje, může se přihlásit k pracovnímu prostoru se stejnými oprávněními. Databricks doporučuje deaktivovat uživatele místo jejich odebrání, protože odebrání uživatele je destruktivní akce. Uživatele nemůžete deaktivovat pomocí stránky nastavení pracovního prostoru. Místo toho použijte rozhraní API uživatelé pracovního prostoru. Příklad:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Odebrání uživatele z pracovního prostoru pomocí stránky nastavení správce pracovního prostoru
Když se uživatel odebere z pracovního prostoru, uživatel už nebude mít přístup k pracovnímu prostoru, ale oprávnění se u uživatele zachovají. Pokud se uživatel později přidá zpět do pracovního prostoru, znovu získá předchozí oprávnění.
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
- Klikněte na kartu Identita a přístup .
- Vedle položky Uživatelé klikněte na Spravovat.
- Najděte uživatele a nabídku kebabu úplně vpravo od řádku uživatele a vyberte Odebrat.
- Kliknutím na Odstranit potvrďte.
Správa uživatelů pomocí rozhraní API
Správci účtů a správci pracovních prostorů můžou spravovat uživatele v účtu a pracovních prostorech Azure Databricks pomocí rozhraní API Databricks.
Správa uživatelů v účtu pomocí rozhraní API
Správci můžou přidávat a spravovat uživatele v účtu Azure Databricks pomocí rozhraní API uživatelé účtu. Správci účtů a správci pracovních prostorů volají rozhraní API pomocí jiné adresy URL koncového bodu:
- Správci účtu používají
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Správci pracovního prostoru používají
{workspace-domain}/api/2.0/account/scim/v2/
.
Podrobnosti najdete v rozhraní API pro uživatele účtu.
Správa uživatelů v pracovním prostoru pomocí rozhraní API
Správci účtů a pracovních prostorů můžou pomocí rozhraní API přiřazení pracovního prostoru přiřadit uživatele k pracovním prostorům povoleným pro federaci identit. Rozhraní API pro přiřazení pracovního prostoru se podporuje prostřednictvím účtu a pracovních prostorů Azure Databricks.
- Správci účtu používají
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Správci pracovního prostoru používají
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
.
Viz rozhraní API pro přiřazení pracovního prostoru.
Pokud váš pracovní prostor není povolený pro federaci identit, může správce pracovního prostoru použít rozhraní API na úrovni pracovního prostoru k přiřazování uživatelů k jejich pracovním prostorům. Viz rozhraní API pro uživatele pracovního prostoru.