Partilhar via


Gerir utilizadores

Este artigo explica como adicionar, atualizar e remover usuários do Azure Databricks.

Para obter uma visão geral do modelo de identidade do Azure Databricks, consulte Identidades do Azure Databricks.

Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.

Descrição geral da gestão de utilizadores

Para gerenciar usuários no Azure Databricks, você deve ser um administrador de conta ou um administrador de espaço de trabalho.

  • Os administradores de conta podem adicionar utilizadores à conta e atribuir-lhes funções de administrador. Eles também podem atribuir usuários a espaços de trabalho e configurar o acesso a dados para eles em espaços de trabalho, desde que esses espaços de trabalho usem federação de identidades.

  • Os administradores de áreas de trabalho podem adicionar utilizadores a uma área de trabalho do Azure Databricks, atribuir-lhes a função de administrador da área de trabalho e gerir o acesso a objetos e funcionalidades na área de trabalho, como a capacidade de criar clusters ou aceder a ambientes baseados em persona especificados. Adicionar um usuário a um espaço de trabalho do Azure Databricks também os adiciona à conta.

    Os administradores do espaço de trabalho são membros do adminsgrupo no espaço de trabalho, que é um grupo reservado que não pode ser excluído.

    Os usuários com uma função interna de Colaborador ou Proprietário no Azure recebem automaticamente a função de administrador do espaço de trabalho quando clicam Iniciar Espaço de Trabalho no portal do Azure. Para obter mais informações, consulte O que são administradores de espaço de trabalho?.

Importante

O Databricks começou a habilitar novos espaços de trabalho para federação de identidades e Unity Catalog automaticamente em 9 de novembro de 2023, com uma implementação prosseguindo gradualmente entre contas. Se o espaço de trabalho estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, consulte Ativação automática do catálogo Unity.

Sincronizar utilizadores com a sua conta do Azure Databricks a partir do seu inquilino do Microsoft Entra ID

Os administradores de conta podem sincronizar usuários do locatário do Microsoft Entra ID com sua conta do Azure Databricks usando um conector de provisionamento SCIM.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte Migrar provisionamento SCIM no nível do espaço de trabalho para o nível da conta.

Para obter instruções, consulte Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra.

Gerir utilizadores na sua conta

Os administradores de conta podem adicionar usuários à sua conta do Azure Databricks usando o console da conta. Os usuários em uma conta do Azure Databricks não têm acesso padrão a um espaço de trabalho, dados ou recursos de computação.

Adicionar usuários à sua conta usando o console da conta

  1. Como administrador da conta, inicie sessão na consola da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Usuários, clique em Adicionar Usuário.
  4. Insira um nome e endereço de e-mail para o usuário.
  5. Clique em Adicionar utilizador.

Nota

Um usuário não pode pertencer a mais de 50 contas do Azure Databricks.

Para dar aos usuários acesso a um espaço de trabalho, você deve adicioná-los ao espaço de trabalho. Consulte Gerenciar usuários em seu espaço de trabalho.

Atribuir funções de administrador de conta a um utilizador

  1. Como administrador da conta, inicie sessão na consola da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Localize e clique no nome de usuário.

  4. Na guia Funções, ative Administrador de conta, Administrador do Marketplace ou Administrador de cobrança.

Atribuir um usuário a um espaço de trabalho usando o console de conta

Para adicionar usuários a um espaço de trabalho usando o console de conta, o espaço de trabalho deve estar habilitado para federação de identidades. Os administradores de espaço de trabalho também podem atribuir usuários a espaços de trabalho usando a página de configurações de administração do espaço de trabalho. Consulte Atribuir um usuário a um espaço de trabalho usando a página de configurações de administração do espaço de trabalho.

  1. Como administrador da conta, inicie sessão na consola da conta.
  2. Na barra lateral, clique em Espaços de trabalho.
  3. Clique no nome do espaço de trabalho.
  4. No separador Permissões, clique em Adicionar permissões.
  5. Procure e selecione o usuário, atribua o nível de permissão (usuário ou administrador do espaço de trabalho) e clique em Salvar.

Remover um usuário de um espaço de trabalho usando o console da conta

Para remover usuários de um espaço de trabalho usando o console de conta, o espaço de trabalho deve estar habilitado para federação de identidades. Quando um usuário é removido de um espaço de trabalho, o usuário não pode mais acessar o espaço de trabalho, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente de volta ao espaço de trabalho, ele recuperará suas permissões anteriores.

  1. Como administrador de conta, inicie sessão na consola da conta
  2. Na barra lateral, clique em Espaços de trabalho.
  3. Clique no nome do espaço de trabalho.
  4. Na guia Permissões, localize o usuário.
  5. Clique no Menu de kebab menu kebab na extremidade direita da linha do usuário e selecione Remover.
  6. Na caixa de diálogo de confirmação, clique em Remover.

Desativar um utilizador na sua conta do Azure Databricks

Os administradores de conta podem desativar usuários em uma conta do Azure Databricks. Um usuário desativado não pode fazer logon na conta ou espaços de trabalho do Azure Databricks. No entanto, todas as permissões e objetos de espaço de trabalho do usuário permanecem inalterados. Quando um usuário é desativado, o seguinte é verdadeiro:

  • O utilizador não pode iniciar sessão na conta ou em qualquer um dos seus espaços de trabalho a partir de qualquer método.
  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticar enquanto um usuário é desativado.
  • Os blocos de anotações de propriedade do usuário permanecem.
  • Os clusters pertencentes ao usuário permanecem em execução.
  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário é reativado, ele pode fazer logon no Azure Databricks com as mesmas permissões. O Databricks recomenda desativar os usuários da conta em vez de removê-los porque remover um usuário é uma ação destrutiva. O status de um usuário desativado é rotulado como Inativo no console da conta. Você também pode desativar um usuário de um espaço de trabalho específico. Consulte Desativar um usuário em seu espaço de trabalho do Azure Databricks.

Não é possível desativar um usuário usando o console da conta. Em vez disso, use a API de usuários da conta. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Remover usuários da sua conta do Azure Databricks

Os administradores de conta podem excluir usuários de uma conta do Azure Databricks. Os administradores do espaço de trabalho não podem. Quando você exclui um usuário da conta, esse usuário também é removido de seus espaços de trabalho.

Importante

Quando você remove um usuário da conta, esse usuário também é removido de seus espaços de trabalho, independentemente de a federação de identidades ter sido habilitada ou não. Recomendamos que você se abstenha de excluir usuários no nível da conta, a menos que você queira que eles percam o acesso a todos os espaços de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar APIs do Databricks
  • Trabalhos pertencentes ao usuário falham
  • Clusters de propriedade do usuário param
  • Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário precisam ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe

Quando um usuário é removido de uma conta, o usuário não pode mais acessar a conta ou seus espaços de trabalho, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente de volta à conta, ele recuperará suas permissões anteriores.

Para remover um usuário usando o console da conta, faça o seguinte:

  1. Como administrador da conta, inicie sessão na consola da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Localize e clique no nome de usuário.
  4. Na guia Informações do Usuário, clique no menu kebab no canto superior direito e selecione Kebab menuExcluir.
  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um usuário usando o console da conta, deverá garantir que também remova o usuário usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento SCIM adicionará o usuário de volta na próxima vez que ele sincronizar. Consulte Sincronizar usuários e grupos do Microsoft Entra ID.

Para remover um usuário de uma conta do Azure Databricks usando APIs SCIM, você deve ser um administrador de conta. Consulte Sincronizar usuários e grupos com sua conta do Azure Databricks e a API de Grupos de Contas.

Gerenciar usuários em seu espaço de trabalho

Os administradores do espaço de trabalho podem adicionar e gerenciar usuários usando a página de configurações de administração do espaço de trabalho.

Atribuir um usuário a um espaço de trabalho usando a página de configurações de administração do espaço de trabalho

Para adicionar um usuário a um espaço de trabalho usando a página de configurações de administrador do espaço de trabalho, faça o seguinte:

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.

  2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.

  3. Clique na guia Identidade e acesso .

  4. Ao lado de Usuários, clique em Gerenciar.

  5. Clique em Adicionar Utilizador.

  6. Selecione um usuário existente para atribuir ao espaço de trabalho ou clique em Adicionar novo para criar um novo usuário.

    Você pode adicionar qualquer usuário que pertença ao locatário do Microsoft Entra ID do seu espaço de trabalho do Azure Databricks. Adicionar um novo usuário ao seu espaço de trabalho também adiciona o usuário à sua conta do Azure Databricks.

  7. Clique em Adicionar.

Nota

Se o espaço de trabalho não estiver habilitado para federação de identidades, você verá apenas a opção de adicionar um novo usuário ao espaço de trabalho. Se você adicionar um usuário que compartilha um nome de usuário (endereço de e-mail) com um usuário de conta existente, esses usuários serão mesclados.

Atribuir a função de administrador do espaço de trabalho a um usuário usando a página de configurações de administrador do espaço de trabalho

Para atribuir a função de administrador do espaço de trabalho usando a página de configurações do administrador do espaço de trabalho, faça o seguinte:

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
  2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Usuários, clique em Gerenciar.
  5. Selecione o utilizador.
  6. Clique na guia Direitos .
  7. Clique na alternância ao lado de Acesso de administrador.

Para remover a função de administrador do espaço de trabalho de um usuário do espaço de trabalho, execute as mesmas etapas, mas desmarque a alternância de acesso de administrador.

Desativar um usuário em seu espaço de trabalho do Azure Databricks

Os administradores de espaço de trabalho podem desativar usuários em um espaço de trabalho do Azure Databricks. Um usuário desativado não pode fazer logon no espaço de trabalho ou acessá-lo a partir das APIs do Azure Databricks, no entanto, todas as permissões e objetos do espaço de trabalho do usuário permanecem inalterados. Quando um usuário é desativado:

  • O utilizador não pode iniciar sessão nas áreas de trabalho a partir de qualquer método.
  • O status do usuário é exibido como Inativo na página de configuração do administrador do espaço de trabalho.
  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API do Databricks. Os tokens permanecem, mas não podem ser usados para autenticar enquanto um usuário é desativado.
  • Os blocos de anotações de propriedade do usuário permanecem.
  • Os clusters pertencentes ao usuário permanecem em execução.
  • Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.

Quando um usuário é reativado, ele pode fazer login no espaço de trabalho com as mesmas permissões. O Databricks recomenda desativar os usuários em vez de removê-los porque remover um usuário é uma ação destrutiva. Não é possível desativar um usuário usando a página de configurações de administração do espaço de trabalho. Em vez disso, use a API de usuários do espaço de trabalho. Por exemplo:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Remover um usuário de um espaço de trabalho usando a página de configurações de administração do espaço de trabalho

Quando um usuário é removido de um espaço de trabalho, o usuário não pode mais acessar o espaço de trabalho, no entanto, as permissões são mantidas no usuário. Se o usuário for adicionado posteriormente de volta ao espaço de trabalho, ele recuperará suas permissões anteriores.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
  2. Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Usuários, clique em Gerenciar.
  5. Encontre o usuário e Menu de kebab o menu de kebab na extremidade direita da linha do usuário e selecione Remover.
  6. Clique em Excluir para confirmar.

Gerenciar usuários usando a API

Administradores de conta e administradores de espaço de trabalho podem gerenciar usuários na conta e espaços de trabalho do Azure Databricks usando APIs do Databricks.

Gerenciar usuários na conta usando a API

Os administradores podem adicionar e gerenciar usuários na conta do Azure Databricks usando a API de Usuários da Conta. Administradores de conta e administradores de espaço de trabalho invocam a API usando uma URL de ponto de extremidade diferente:

  • Os administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/o .
  • Os administradores do espaço de trabalho usam {workspace-domain}/api/2.0/account/scim/v2/o .

Para obter detalhes, consulte a API de usuários da conta.

Gerir utilizadores na área de trabalho utilizando a API

Os administradores de contas e espaços de trabalho podem usar a API de Atribuição de Espaço de Trabalho para atribuir usuários a espaços de trabalho habilitados para federação de identidades. A API de Atribuição de Espaço de Trabalho tem suporte por meio da conta e dos espaços de trabalho do Azure Databricks.

  • Os administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentso .
  • Os administradores do espaço de trabalho usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}o .

Consulte API de atribuição de espaço de trabalho.

Se seu espaço de trabalho não estiver habilitado para federação de identidades, um administrador de espaço de trabalho poderá usar as APIs no nível do espaço de trabalho para atribuir usuários aos seus espaços de trabalho. Consulte API de usuários do espaço de trabalho.