Condividi tramite

Gestisci utenti

  • Articolo

Questo articolo illustra come aggiungere, aggiornare e rimuovere gli utenti di Azure Databricks.

Per una panoramica del modello di identità di Azure Databricks, consultare Identità di Azure Databricks.

Per gestire l'accesso degli utenti, consultare Autenticazione e controllo degli accessi.

Panoramica della gestione utenti

Per gestire gli utenti in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro.

  • Gli amministratori dell'account possono aggiungere utenti all'account e assegnare loro ruoli di amministratore. Possono anche assegnare gli utenti alle aree di lavoro e configurare l'accesso ai dati tra le aree di lavoro, a condizione che tali aree di lavoro utilizzino la federazione delle identità.

  • Gli amministratori dell'area di lavoro possono aggiungere utenti a un'area di lavoro di Azure Databricks, assegnare loro il ruolo di amministratore dell'area di lavoro e gestire l'accesso a oggetti e funzionalità nell'area di lavoro, ad esempio la possibilità di creare cluster o accedere ad ambienti basati su persone specificati. L'aggiunta di un utente a un'area di lavoro di Azure Databricks lo aggiunge anche all'account.

    Gli amministratori dell'area di lavoro sono membri del admins nell'area di lavoro, ossia un gruppo riservato che non può essere eliminato.

    Agli utenti con un ruolo predefinito Collaboratore o Proprietario in Azure viene assegnato automaticamente il ruolo di amministratore dell'area di lavoro quando fanno clic su Avvia area di lavoro nel portale di Azure. Per altre informazioni, consultare Chi sono gli amministratori dell'area di lavoro?.

Importante

Databricks ha iniziato ad abilitare automaticamente le nuove aree di lavoro per la federazione delle identità e Unity Catalog il 9 novembre 2023, con un'implementazione graduale tra gli account. Se l'area di lavoro è abilitata per la federazione delle identità per impostazione predefinita, non può essere disabilitata. Per altre informazioni, vedere abilitazione automatica di Unity Catalog.

Sincronizza gli utenti sul tuo account Azure Databricks dal tenant di Microsoft Entra ID

È possibile sincronizzare gli utenti del tenant di Microsoft Entra ID all'account di Azure Databricks automaticamente o tramite un connettore di provisioning SCIM.

gestione automatica delle identità (anteprima pubblica) consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Per informazioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

di provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Per istruzioni dettagliate, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.

Gestire gli utenti nel proprio account

Gli amministratori degli account possono aggiungere utenti all'account Azure Databricks utilizzando la console degli account. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo.

Aggiungere utenti all'account utilizzando la console dell'account

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Gestione utenti.
  3. Nella pagina Utenti fare clic su Aggiungi utente.
  4. Immettere un nome e un indirizzo di posta elettronica per l'utente.
  5. Fare clic su Add User.

Nota

Un utente non può appartenere a più di 50 account Azure Databricks.

Per concedere agli utenti l'accesso a un'area di lavoro, è necessario aggiungerli all'area di lavoro. Consultare Gestire utenti nell'area di lavoro.

Assegnare i ruoli di amministratore dell'account a un utente

  1. Come amministratore dell'account, accedere alla console dell'account.

  2. Nella barra laterale, fare clic su Gestione utenti.

  3. Trovare e cliccare sul nome utente.

  4. Nella scheda Ruoli attivare Amministratore account, Amministratore del Marketplace o Amministratore fatturazione.

Assegnare un utente a un'area di lavoro usando la console dell'account

Per aggiungere utenti a un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Gli amministratori dell'area di lavoro possono anche assegnare gli utenti alle aree di lavoro utilizzando la pagina delle impostazioni di amministrazione dell'area di lavoro. Si veda Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Aree di lavoro.
  3. Fare clic sul nome dell'area di lavoro.
  4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
  5. Cercare e selezionare l'utente, assegnare il livello di autorizzazione (area di lavoro User o Admin) e fare clic su Save.

Rimuovere un utente da un'area di lavoro usando la console dell'account

Per rimuovere gli utenti da un'area di lavoro usando la console dell'account, l'area di lavoro deve essere abilitata per la federazione delle identità. Quando un utente viene rimosso da un'area di lavoro, non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'area di lavoro, riacquista le autorizzazioni precedenti.

  1. Come amministratore dell'account, accedere alla console dell'account
  2. Nella barra laterale, fare clic su Aree di lavoro.
  3. Fare clic sul nome dell'area di lavoro.
  4. Nella scheda Autorizzazioni trovare l'utente.
  5. Fare clic sul menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
  6. Nella finestra di dialogo di conferma fare clic su Rimuovi.

Disattivare un utente nel proprio account Azure Databricks

Gli amministratori degli account possono disattivare gli utenti di un account Azure Databricks. Un utente disattivato non può accedere all'account o alle aree di lavoro di Azure Databricks. Tuttavia, tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato, si verifica quanto segue:

  • L'utente non può accedere all'account o a una qualsiasi delle sue aree di lavoro con nessun metodo.
  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
  • I notebook di proprietà dell'utente rimangono invariati.
  • I cluster di proprietà dell'utente rimangono in esecuzione.
  • I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere ad Azure Databricks con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti dall'account invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva. Lo stato di un utente disattivato è contrassegnato come Inattivo nella console dell'account. È anche possibile disattivare un utente da un'area di lavoro specifica. Consultare Disattivare un utente nella propria area di lavoro Azure Databricks.

Non è possibile disattivare un utente usando la console dell'account. Usare invece l'API Utenti account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Rimuovere gli utenti dall'account Azure Databricks

Gli amministratori degli account possono eliminare gli utenti da un account Azure Databricks. Gli amministratori dell'area di lavoro non possono. Quando si elimina un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro.

Importante

Quando si rimuove un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. È consigliabile evitare di eliminare gli utenti a livello dell'account a meno che non si desideri che perdano l'accesso a tutte le aree di lavoro dell'account. Tenere presente le conseguenze seguenti dell'eliminazione degli utenti:

  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
  • I processi di proprietà dell'utente hanno esito negativo
  • I cluster di proprietà dell'utente si arrestano
  • Le query o i dashboard creati dall'utente e condivisi tramite le credenziali Esegui come proprietario devono essere assegnati a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Quando un utente viene rimosso da un account, non può più accedere all'account o alle sue aree di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'account, riacquista le autorizzazioni precedenti.

Per rimuovere un utente tramite la console dell'account, eseguire le operazioni seguenti:

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Gestione utenti.
  3. Trovare e cliccare sul nome utente.
  4. Nella scheda informazioni utente, fai clic sul menu Kebab nell'angolo superiore destro e seleziona Elimina.
  5. Nella finestra di dialogo di conferma, fare clic su Conferma eliminazione.

Se si rimuove un utente usando la console dell'account, è necessario assicurarsi di rimuovere anche l'utente usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiunge di nuovo l'utente alla successiva sincronizzazione. Consulta Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.

Per rimuovere un utente da un account Azure Databricks usando le API SCIM, è necessario essere un amministratore dell'account. Vedere Sincronizzare utenti e gruppi con l'account Azure Databricks e l'API gruppi di account .

Gestire utenti nell'area di lavoro

Gli amministratori dell'area di lavoro possono aggiungere e gestire gli utenti usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per aggiungere un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro attenersi ai seguenti passaggi:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Clicca sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.

  3. Fare clic sulla scheda Identità e accesso.

  4. Accanto a Utenti fare clic su Gestisci.

  5. Fare clic su Add User.

  6. Selezionare un utente esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo utente.

    È possibile aggiungere qualsiasi utente appartenente al tenant Microsoft Entra ID dell'area di lavoro di Azure Databricks. L'aggiunta di un nuovo utente all'area di lavoro aggiunge anche l'utente all'account Azure Databricks.

  7. Fare clic su Aggiungi.

Nota

Se l'area di lavoro non è abilitata per la federazione delle identità, viene visualizzata solo l'opzione per aggiungere un nuovo utente all'area di lavoro. Se si aggiunge un utente che condivide un nome utente (indirizzo di posta elettronica) con un utente di account esistente, tali utenti vengono uniti.

Assegnare il ruolo di amministratore dell'area di lavoro a un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare il ruolo di amministratore dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro attenersi ai seguenti passaggi:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Clicca sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Utenti fare clic su Gestisci.
  5. Selezionare l'utente.
  6. Fare clic sulla scheda Diritti di proprietà.
  7. Fare clic sull'interruttore accanto ad Accesso amministratore.

Per rimuovere il ruolo di amministratore dell'area di lavoro da un utente dell'area di lavoro, eseguire gli stessi passaggi, ma deselezionare il pulsante di accesso amministratore.

Disattivare un utente nella propria area di lavoro Azure Databricks

Gli amministratori dell'area di lavoro possono disattivare gli utenti in un'area di lavoro di Azure Databricks. Un utente disattivato non può accedere all'area di lavoro o accedervi dalle API di Azure Databricks, ma tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato:

  • L'utente non può accedere alle aree di lavoro con nessun metodo.
  • Lo stato dell'utente viene visualizzato come Inattivo nella pagina delle impostazioni di amministrazione dell'area di lavoro.
  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
  • I notebook di proprietà dell'utente rimangono invariati.
  • I cluster di proprietà dell'utente rimangono in esecuzione.
  • I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere all'area di lavoro con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva. Non è possibile disattivare un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro. Usare invece l'API Utenti aree di lavoro. Ad esempio:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Rimuovere un utente da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Quando un utente viene rimosso da un'area di lavoro, non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'area di lavoro, riacquista le autorizzazioni precedenti.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Clicca sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Utenti fare clic su Gestisci.
  5. Trova l'utente e menu kebab menu kebab all'estrema destra della riga dell'utente e seleziona Rimuovi.
  6. Fare clic su Elimina per confermare.

Gestire gli utenti usando l'API

Gli amministratori dell'account e gli amministratori dell'area di lavoro possono gestire gli utenti nell'account e nelle aree di lavoro di Azure Databricks usando le API databricks.

Gestire gli utenti nell'account usando l'API

Gli amministratori possono aggiungere e gestire gli utenti nell'account Azure Databricks usando l'API Utenti account. Gli amministratori dell'account e gli amministratori dell'area di lavoro richiamano l'API usando un URL endpoint diverso:

  • Gli amministratori degli account usano {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, vedere l' API Utenti account.

Gestire gli utenti nell'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gli utenti alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

  • Gli amministratori degli account usano {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Vedere API di assegnazione dell'area di lavoro.

Se l'area di lavoro non è abilitata per la federazione delle identità, un amministratore dell'area di lavoro può usare le API a livello di area di lavoro per assegnare gli utenti alle proprie aree di lavoro. Vedere API Utenti dell'area di lavoro.