通过

仪表板管理指南

  • 项目

本文介绍可应用于 AI/BI 仪表板的帐户和工作区级别的管理控件。

仪表板共享

即使用户无权访问来源工作区,带有嵌入式凭据的已发布仪表板也可以安全地与帐户中的用户和组共享。 用户必须注册到你的 Azure Databricks 帐户,但他们不需要访问任何其他资源,也不需要将他们添加到工作区。

请参阅发布仪表板来详细了解已发布的仪表板和嵌入式凭据。

网络注意事项

如果配置了 IP 访问列表,则用户只能从批准的 IP 范围内访问仪表板(例如使用 VPN 时)。 这一点适用于所有用户,无论他们是否已分配到工作区。 有关配置访问权限的详细信息,请参阅管理 IP 访问列表

用于仪表板共享的用户和组管理

所有已注册到 Azure Databricks 的用户都属于你的 Azure Databricks 帐户。 在 Azure Databricks 帐户中注册用户会建立一个可验证的标识,当该用户查看共享仪表板时,Azure Databricks 可以使用该标识进行身份验证。 将个人用户组织成组能使仪表板作者和编辑者更轻松地共享。 例如,作者可与单个命名组共享,而不是与帐户中的每个用户共享。

用户还可以使用自动标识管理(公共预览版)与Microsoft Entra ID 中的任何用户、服务主体或组共享仪表板。 登录时,这些用户会自动添加到 Azure Databricks 帐户。 它们不会添加到仪表板所在的工作区。 有关详细信息,请参阅从 Microsoft Entra ID 自动同步用户和组

仪表板由拥有“Databricks SQL 访问权限”权利的工作区成员创建。 用户和组可以访问零个、一个或多个工作区。 还可以为工作区用户授予计算资源的访问权限,使他们能够在仪表板上创建资源、展开协作,以及实现其他目的。

共享仪表板时,作者可以将用户和组添加到“具有访问权限的人员”列表中,以分配特定权限,就像对待其他工作区对象一样。 此外,他们还可以使用以下选项之一配置共享设置

  • 只有拥有访问权限的人员才能查看
  • 我的帐户中的任何人都可以查看

如果仪表板是使用嵌入式凭据发布的并与特定用户、组或帐户中的所有用户共享,则这些用户都可以访问它,无论他们是否有权访问来源工作区。

下图显示了工作区和帐户级别的用户和组之间的关系。

仪表板共享的帐户级 SCIM 示意图

除了注册帐户之外,不需要进行任何其他配置。 不需要将用户分配到工作区,或为他们提供对计算资源的访问权限。

管理仪表板嵌入

嵌入允许至少具有“可编辑”权限的仪表板用户能够使用“共享”对话框生成 iframe 嵌入代码。 工作区管理员可以管理哪些域(如果有)获得批准用于托管嵌入式仪表板。

工作区管理员设置对嵌入式仪表板标题开放。

若要设置定义可嵌入仪表板的域的策略,请执行下列操作:

  1. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”

  2. 单击 “安全性”

  3. 向下滚动到“外部访问”部分。

  4. 在“嵌入仪表板”部分中,使用下拉菜单为工作区设置策略。

    有三个策略选项:

    • 允许:仪表板可嵌入到任何域中。
    • 允许已批准的域:仪表板只能嵌入与已批准列表匹配的站点中。
    • 拒绝:仪表板不能嵌入到任何域中。

如果选择“允许已批准的域”,则可以使用此部分通过执行以下操作来管理已批准的域列表:

  1. 单击“嵌入仪表板”旁边的“管理”。
  2. 在“已批准的域”对话框的文本字段中键入域。 单击每个条目后的“添加域”。
  3. 单击“ 保存”。

有关定义已批准的域和路由的提示

若要指定允许的主机,请使用 W3C 的内容安全策略文档中定义的语法。 本节中的示例演示了一些常见的模式。

允许子域

若要允许给定域的所有子域,请使用域名前的通配符符号(*)。 以下示例使用 *.databricks.com 作为示例域。

  • 匹配:任意子域
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • 不匹配:具有不同域的任何内容。
    • another-databricks.com
    • app-databricks.com

允许特定 URL 路径

若要允许基 URL 下的所有页面,请使用尾部斜杠(/)来表示根目录。 子目录和其他路径将匹配。

以下示例使用 sites.google.com/some/path/ 作为示例提供的路径。

  • 匹配:sites.google.com/some/path/to/my/dashboardsites.google.com/some/path/any-page
  • 不匹配:
    • sites.google.com/some/path。 此示例缺少尾部斜杠,因此是不同的 URL。
    • sites.google.com/some/other/path/to/my/dashboard。 此示例不共享相同的基本路径。

注释

不带尾部斜杠的 URL 被视为完全匹配项,不包括子路径。

工作区管理员订阅控制

工作区管理员可以阻止用户使用订阅分发仪表板。 更改此设置可防止所有用户将电子邮件订阅者添加到计划的仪表板。 仪表板编辑者无法添加订阅者,而仪表板查看者没有订阅计划的仪表板的选项。

若要防止共享电子邮件更新,请执行以下操作:

  1. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  2. 在“设置”边栏中,单击“通知”
  3. 关闭“启用仪表板电子邮件订阅”选项。

如果关闭此设置,则会暂停现有订阅,并且没有人可以修改现有订阅列表。 如果重新打开此设置,订阅将使用现有列表恢复。

工作区管理员下载控件

工作区管理员可以调整其安全设置,以防止用户使用以下步骤下载结果:

  1. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  2. 在“设置”边栏中,单击“安全性”
  3. 关闭“SQL 结果下载”选项。

转让仪表板的所有权

工作区管理员可以将仪表板的所有权转让给其他用户。

  1. 导航到仪表板列表。 单击仪表板名称进行编辑。
  2. 单击“共享”。
  3. 单击“共享”Gear icon对话框右上角的 图标。 带有齿轮图标的“共享”对话框
  4. 开始键入用户名以搜索并选择新所有者。
  5. 单击“确认” 。

新所有者会显示在“共享”对话框中,并具有“可管理”权限。 若要查看按所有者列出的仪表板,请单击 Dashboards Icon仪表板”转到可用仪表板列表。

监视仪表板活动

管理员可以使用审核日志监视仪表板上的活动。 请参阅 AI/BI 仪表板事件。 有关演示如何访问审核日志信息以回答有关草稿仪表板、已发布仪表板和嵌入式仪表板的常见问题的代码示例,请参阅使用审核日志监视仪表板使用情况