Dela via


Hantera användare

Den här artikeln beskriver hur du lägger till, uppdaterar och tar bort Azure Databricks-användare.

En översikt över Azure Databricks-identitetsmodellen finns i Azure Databricks-identiteter.

Information om hur du hanterar åtkomst för användare finns i Autentisering och åtkomstkontroll.

Översikt över användarhantering

Om du vill hantera användare i Azure Databricks måste du vara antingen kontoadministratör eller arbetsyteadministratör.

  • Kontoadministratörer kan lägga till användare i kontot och tilldela dem administratörsroller. De kan också tilldela användare till arbetsytor och konfigurera dataåtkomst för dem mellan arbetsytor, så länge dessa arbetsytor använder identitetsfederation.

  • Arbetsyteadministratörer kan lägga till användare till en Azure Databricks-arbetsyta, tilldela dem administratörsrollen för arbetsytan och hantera åtkomst till objekt och funktioner på arbetsytan, till exempel möjligheten att skapa kluster eller komma åt angivna persona-baserade miljöer. Om du lägger till en användare i en Azure Databricks-arbetsyta läggs de också till i kontot.

    Arbetsyteadministratörer är medlemmar admins i gruppen på arbetsytan, vilket är en reserverad grupp som inte kan tas bort.

    Användare med en inbyggd deltagare, ägare eller anpassad roll med behörigheten Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action för arbetsyteresursen i Azure tilldelas automatiskt rollen som administratör för arbetsytan när de klickar på Starta arbetsyta i Azure Portal. Mer information finns i Vad är arbetsyteadministratörer?.

Viktigt!

Databricks började aktivera nya arbetsytor för identitetsfederation och Unity Catalog automatiskt den 9 november 2023, med en distributionsförloppet gradvis mellan konton. Om din arbetsyta är aktiverad för identitetsfederation som standard kan den inte inaktiveras. Mer information finns i Automatisk aktivering av Unity Catalog.

Synkronisera användare till ditt Azure Databricks-konto från din Microsoft Entra ID-klientorganisation

Kontoadministratörer kan synkronisera användare från din Microsoft Entra ID-klientorganisation till ditt Azure Databricks-konto med hjälp av en SCIM-etableringsanslutning.

Viktigt!

Om du redan har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor måste du inaktivera dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Anvisningar finns i Etablera identiteter till ditt Azure Databricks-konto med hjälp av Microsoft Entra-ID.

Hantera användare i ditt konto

Kontoadministratörer kan lägga till användare till ditt Azure Databricks-konto med hjälp av kontokonsolen. Användare i ett Azure Databricks-konto har ingen standardåtkomst till en arbetsyta, data eller beräkningsresurser.

Lägga till användare i ditt konto med kontokonsolen

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Användare klickar du på Lägg till användare.
  4. Ange ett namn och en e-postadress för användaren.
  5. Klicka på Lägg till användare.

Kommentar

En användare kan inte tillhöra fler än 50 Azure Databricks-konton.

Om du vill ge användarna åtkomst till en arbetsyta måste du lägga till dem i arbetsytan. Se Hantera användare på din arbetsyta.

Tilldela kontoadministratörsroller till en användare

  1. Logga in på kontokonsolen som kontoadministratör.

  2. I sidofältet klickar du på Användarhantering.

  3. Leta upp och klicka på användarnamnet.

  4. På fliken Roller aktiverar du Kontoadministratör, Marketplace-administratör eller Faktureringsadministratör.

Tilldela en användare till en arbetsyta med kontokonsolen

Om du vill lägga till användare i en arbetsyta med kontokonsolen måste arbetsytan vara aktiverad för identitetsfederation. Arbetsyteadministratörer kan också tilldela användare till arbetsytor med hjälp av sidan administratörsinställningar för arbetsytan. Se Tilldela en användare till en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Klicka på Permissions (Behörigheter) på fliken Add permissions (Lägg till behörigheter).
  5. Sök efter och välj användaren, tilldela behörighetsnivån (arbetsytans användare eller administratör) och klicka på Spara.

Ta bort en användare från en arbetsyta med kontokonsolen

Om du vill ta bort användare från en arbetsyta med kontokonsolen måste arbetsytan vara aktiverad för identitetsfederation. När en användare tas bort från en arbetsyta kan användaren inte längre komma åt arbetsytan, men behörigheter underhålls på användaren. Om användaren senare läggs tillbaka till arbetsytan återfår de sina tidigare behörigheter.

  1. Logga in på kontokonsolen som kontoadministratör
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Leta reda på användaren på fliken Behörigheter .
  5. Menyn Kebab Klicka på menyn för kebab längst till höger på användarraden och välj Ta bort.
  6. Klicka på Ta bort i bekräftelsedialogrutan.

Inaktivera en användare i ditt Azure Databricks-konto

Kontoadministratörer kan inaktivera användare i ett Azure Databricks-konto. En inaktiverad användare kan inte logga in på Azure Databricks-kontot eller arbetsytorna. Alla användarens behörigheter och arbetsyteobjekt förblir dock oförändrade. När en användare inaktiveras är följande sant:

  • Användaren kan inte logga in på kontot eller någon av sina arbetsytor från någon metod.
  • Program eller skript som använder token som genereras av användaren kan inte längre komma åt Databricks-API:et. Token finns kvar men kan inte användas för att autentisera medan en användare inaktiveras.
  • Notebook-filer som ägs av användaren finns kvar.
  • Kluster som ägs av användaren fortsätter att köras.
  • Schemalagda jobb som skapats av användaren måste tilldelas till en ny ägare för att förhindra att de misslyckas.

När en användare återaktiveras kan de logga in på Azure Databricks med samma behörigheter. Databricks rekommenderar att du inaktiverar användare från kontot i stället för att ta bort dem eftersom det är en destruktiv åtgärd att ta bort en användare. En inaktiverad användares status är märkt Inaktiv i kontokonsolen. Du kan också inaktivera en användare från en specifik arbetsyta. Se Inaktivera en användare på din Azure Databricks-arbetsyta.

Du kan inte inaktivera en användare med hjälp av kontokonsolen. Använd i stället API:et kontoanvändare. Till exempel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Ta bort användare från ditt Azure Databricks-konto

Kontoadministratörer kan ta bort användare från ett Azure Databricks-konto. Det går inte att använda arbetsyteadministratörer. När du tar bort en användare från kontot tas även användaren bort från sina arbetsytor.

Viktigt!

När du tar bort en användare från kontot tas även användaren bort från sina arbetsytor, oavsett om identitetsfederation har aktiverats eller inte. Vi rekommenderar att du avstår från att ta bort användare på kontonivå om du inte vill att de ska förlora åtkomsten till alla arbetsytor i kontot. Tänk på följande konsekvenser av att ta bort användare:

  • Program eller skript som använder token som genereras av användaren kan inte längre komma åt Databricks-API:er
  • Jobb som ägs av användaren misslyckas
  • Kluster som ägs av användaren stoppas
  • Frågor eller instrumentpaneler som skapats av användaren och delats med hjälp av autentiseringsuppgifterna Kör som ägare måste tilldelas till en ny ägare för att förhindra att delning misslyckas

När en användare tas bort från ett konto kan användaren inte längre komma åt kontot eller deras arbetsytor, men behörigheter underhålls för användaren. Om användaren senare läggs tillbaka till kontot återfår de sina tidigare behörigheter.

Om du vill ta bort en användare med kontokonsolen gör du följande:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. Leta upp och klicka på användarnamnet.
  4. På fliken Användarinformation klickar du påMenyn Kebab menyn för kebab i det övre högra hörnet och väljer Ta bort.
  5. Klicka på Bekräfta borttagning i bekräftelsedialogrutan.

Om du tar bort en användare med kontokonsolen måste du även ta bort användaren med hjälp av scim-etableringsanslutningsprogram eller SCIM API-program som har konfigurerats för kontot. Om du inte gör det lägger SCIM-etableringen till användaren igen nästa gång den synkroniseras. Se Synkronisera användare och grupper från Microsoft Entra-ID.

Om du vill ta bort en användare från ett Azure Databricks-konto med SCIM-API:er måste du vara kontoadministratör. Se Synkronisera användare och grupper till ditt Azure Databricks-konto och API:et för kontogrupper.

Hantera användare på din arbetsyta

Arbetsyteadministratörer kan lägga till och hantera användare med hjälp av sidan administratörsinställningar för arbetsytan.

Tilldela en användare till en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

Om du vill lägga till en användare på en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan gör du följande:

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.

  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.

  3. Klicka på fliken Identitet och åtkomst .

  4. Bredvid Användare klickar du på Hantera.

  5. Klicka på Lägg till användare.

  6. Välj en befintlig användare som ska tilldelas till arbetsytan eller klicka på Lägg till ny för att skapa en ny användare.

    Du kan lägga till alla användare som tillhör Microsoft Entra ID-klientorganisationen för din Azure Databricks-arbetsyta. Om du lägger till en ny användare på din arbetsyta läggs även användaren till i ditt Azure Databricks-konto.

  7. Klicka på Lägg till.

Kommentar

Om din arbetsyta inte är aktiverad för identitetsfederation ser du bara alternativet att lägga till en ny användare på arbetsytan. Om du lägger till en användare som delar ett användarnamn (e-postadress) med en befintlig kontoanvändare slås dessa användare samman.

Tilldela administratörsrollen för arbetsytan till en användare med hjälp av sidan administratörsinställningar för arbetsytan

Gör följande om du vill tilldela administratörsrollen för arbetsytan med hjälp av sidan administratörsinställningar för arbetsytan:

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Användare klickar du på Hantera.
  5. Välj användaren.
  6. Klicka på fliken Berättiganden .
  7. Klicka på växlingsknappen bredvid Administratörsåtkomst.

Om du vill ta bort arbetsytans administratörsroll från en arbetsyteanvändare utför du samma steg, men avmarkerar växlingsknappen Administratörsåtkomst .

Inaktivera en användare på din Azure Databricks-arbetsyta

Arbetsyteadministratörer kan inaktivera användare på en Azure Databricks-arbetsyta. En inaktiverad användare kan inte logga in på arbetsytan eller komma åt den från Azure Databricks-API:er, men alla användarens behörigheter och arbetsyteobjekt förblir oförändrade. När en användare inaktiveras:

  • Användaren kan inte logga in på arbetsytorna från någon metod.
  • Användarens status visas som Inaktiv på inställningssidan för arbetsytans administratör.
  • Program eller skript som använder token som genereras av användaren kan inte längre komma åt Databricks-API:et. Token finns kvar men kan inte användas för att autentisera medan en användare inaktiveras.
  • Notebook-filer som ägs av användaren finns kvar.
  • Kluster som ägs av användaren fortsätter att köras.
  • Schemalagda jobb som skapats av användaren måste tilldelas till en ny ägare för att förhindra att de misslyckas.

När en användare återaktiveras kan de logga in på arbetsytan med samma behörigheter. Databricks rekommenderar att du inaktiverar användare i stället för att ta bort dem eftersom det är en destruktiv åtgärd att ta bort en användare. Du kan inte inaktivera en användare med hjälp av sidan administratörsinställningar för arbetsytan. Använd i stället API:et För arbetsyteanvändare. Till exempel:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Ta bort en användare från en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

När en användare tas bort från en arbetsyta kan användaren inte längre komma åt arbetsytan, men behörigheter underhålls på användaren. Om användaren senare läggs tillbaka till arbetsytan återfår de sina tidigare behörigheter.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Användare klickar du på Hantera.
  5. Hitta menyn användare och Menyn Kebab kebab längst till höger på användarraden och välj Ta bort.
  6. Bekräfta genom att klicka på Ta bort .

Hantera användare med hjälp av API:et

Kontoadministratörer och arbetsyteadministratörer kan hantera användare i Azure Databricks-kontot och arbetsytor med databricks-API:er.

Hantera användare i kontot med hjälp av API:et

Administratörer kan lägga till och hantera användare i Azure Databricks-kontot med hjälp av API:et Kontoanvändare. Kontoadministratörer och arbetsyteadministratörer anropar API:et med en annan slutpunkts-URL:

  • Kontoadministratörer använder {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Arbetsyteadministratörer använder {workspace-domain}/api/2.0/account/scim/v2/.

Mer information finns i API:et kontoanvändare.

Hantera användare på arbetsytan med hjälp av API:et

Konto- och arbetsyteadministratörer kan använda API:et för arbetsytetilldelning för att tilldela användare till arbetsytor som är aktiverade för identitetsfederation. API:et för tilldelning av arbetsytor stöds via Azure Databricks-kontot och arbetsytorna.

  • Kontoadministratörer använder {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Arbetsyteadministratörer använder {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Se API för arbetsytetilldelning.

Om din arbetsyta inte är aktiverad för identitetsfederation kan en arbetsyteadministratör använda API:erna på arbetsytenivå för att tilldela användare till sina arbetsytor. Se API för arbetsyteanvändare.