管理用户

本文介绍如何添加、更新和移除 Azure Databricks 用户。

若要了解如何管理组和服务主体,请参阅管理组管理服务主体

用户管理概述

若要管理 Azure Databricks 中的用户,你必须是帐户管理员或工作区管理员。

  • 帐户管理员可以将用户添加到帐户,并为其分配管理员角色。 他们还可以将用户分配到工作区,并跨工作区配置数据访问权限,前提是这些工作区使用联合身份验证

  • 工作区管理员可以将用户添加到 Azure Databricks 工作区,为他们分配工作区管理员角色,并管理对工作区中对象和功能的访问权限,例如创建群集或访问指定的基于角色的环境的权利。 如果工作区不使用联合身份验证,则帐户管理员无法使用帐户级接口(如帐户控制台)将用户分配到该工作区。 工作区管理员必须执行此任务。

    工作区管理员是工作区中 admins的成员,该组是无法删除的保留组。

    在 Azure 中的工作区资源上具有参与者或所有者角色的用户会自动添加为工作区管理员。 有关详细信息,请参阅管理订阅

工作区管理员可以使用以下接口管理其工作区中的用户:

将用户添加到 Azure Databricks 帐户

使用 SCIM API 将用户添加到帐户

工作区管理员还可以使用此 API 管理用户,但他们必须使用其他终结点 URL 调用 API:

  • 工作区管理员使用 {workspace-domain}/api/2.0/account/scim/v2/

若要使用 SCIM API 添加用户,请执行以下操作:

  1. 使用 SCIM API 2.0(帐户)来确定用户是否已存在。
  2. 如果用户不存在,请使用同一个 API 创建用户。
  3. 使用工作区分配 API 将用户分配到工作区。

从 Azure Databricks 帐户中移除用户

将用户添加到工作区

工作区管理员可以使用以下方法管理其工作区中的用户:

  • 工作区管理员控制台
  • 工作区分配 API(如果工作区启用了联合身份验证)
  • 为标识提供者 (IdP) 预配连接器
  • 工作区级 SCIM API

使用工作区管理控制台将用户添加到工作区

工作区管理员可以使用工作区管理控制台添加和管理用户。

若要使用工作区管理控制台将用户添加到工作区,请执行以下操作:

注意

如果未为 联合身份验证启用工作区,则无法将现有帐户用户分配给工作区。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“管理员控制台”。

  3. 在“用户”选项卡上,单击“添加用户”。

  4. 输入用户电子邮件地址 ID。 可以添加属于 Azure Databricks 工作区的 Azure Active Directory 租户的任何用户。

    添加用户

  5. 单击“确定”。

使用 REST API 将用户分配到工作区

可用于将用户分配到工作区的 REST API 取决于工作区是否启用了联合身份验证,如下所示:

  • 工作区未启用联合身份验证:工作区管理员可以使用工作区级 SCIM API 将用户和其他标识分配到工作区。 请参阅 SCIM API 2.0

从工作区中移除用户

工作区管理员可以使用以下方法从工作区中移除用户:

  • 工作区管理员控制台
  • 工作区分配 API(如果工作区启用了联合身份验证)
  • 为标识提供者 (IdP) 预配连接器
  • 工作区级 SCIM API

使用管理员控制台从工作区中移除用户

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“管理员控制台”。
  3. 在“用户”选项卡上找到用户,然后单击用户行最右侧的“删除用户”图标
  4. 单击“删除”进行确认。

使用 REST API 从工作区中移除用户

可以用来从工作区删除用户的 REST API。

  • 工作区未启用联合身份验证:工作区管理员可以使用工作区级 SCIM API 从工作区中移除用户。 请参阅 SCIM API 2.0

将工作区管理员角色分配给用户

使用工作区管理员控制台将工作区管理员角色分配给用户

若要使用工作区管理员控制台分配工作区管理员角色,请执行以下操作:

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“管理员控制台”。
  3. 在“用户”选项卡上,找到用户,然后选中“管理员”复选框。

若要从工作区用户中移除管理员角色,请执行相同的步骤,但清除“管理员”复选框。

使用 REST API 将工作区管理员角色分配给用户

可用于分配工作区管理员角色的 REST API。

使用 SCIM 预配连接器向用户分配工作区管理员角色

由于工作区管理员是 Azure Databricks admins 组的成员,因此,你可以使用 Azure Active Directory 中的 SCIM 预配连接器管理任何组预配的方式管理工作区管理员角色。 同步到 Azure Databricks admins 组的 Azure Active Directory 组中的所有组成员都将作为工作区管理员预配到 Azure Databricks。

请参阅从 Azure Active Directory 同步用户和组

向工作区用户分配权利

权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利是在工作区级别分配给用户的。 下表列出了权利以及用于管理每个权利的工作区 UI 和 API 属性名称。 你可以使用工作区管理控制台和工作区级 SCIM REST API 来管理这些权利。

权利名称 (UI) 权利名称 (API) 默认 说明
工作区访问权限 workspace-access 默认授予。 向用户或服务主体授予权限后,他们可以访问数据科学与工程以及 Databricks 机器学习基于角色的环境。

不能从工作区管理员中移除。
允许创建无限制的群集 allow-cluster-create 默认不向用户或服务主体授予。 向用户或服务主体授予后,该用户或服务主体即可创建群集。 你可以使用群集级权限限制对现有群集的访问。

不能从工作区管理员中移除。
允许创建池(不能通过 UI) allow-instance-pool-create 不能授予个人用户或服务主体。 向组授予后,该组成员即可创建实例池。

不能从工作区管理员中移除。

默认情况下,新用户具有“工作区访问”权利。

重要

若要登录并访问 Azure Databricks,用户必须具有“工作区访问”权利。

“工作区访问”权利向用户授予对数据科学与工程工作区以及 Databricks 机器学习的访问权限。 用户将以具有权利的 users 组成员的身份继承该权利。 若要按用户分配此权利,工作区管理员必须从 users 组中移除该权利,并将其单独分配给“用户”选项卡上的用户。

有关“Databricks SQL 访问权限”权利的信息,请参阅管理用户和组

如果已启用群集访问控制,并且未选中“允许创建无限制的群集”复选框,则会在没有群集创建权利的情况下添加用户。

如果你重新激活以前存在于工作区中的用户,则该用户以前的权利将被恢复。

使用工作区管理员控制台添加或移除用户的权利

作为工作区管理员,请执行以下操作:

  1. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“管理员控制台”。
  2. 转到该用户所在的行。
  3. 若要添加权利,请选中相应列中的复选框。
  4. 若要删除权利,请取消选中相应列中的复选框。

注意

“管理员”不是一项权利。 “管理员”复选框是将用户添加到 组的一种便捷方式。

若要显式添加权利,可以选择相应复选框。 如果权利继承自某个组,则该权利复选框会被选中但显示为灰色。若要删除继承的权利,可以从拥有权利的组中删除用户,或从组中删除权利。

不能直接向用户授予 allow-instance-pool-create 权利。 但可以向组授予权利,并将用户添加到该组。

还可以添加或移除组的权利

使用 SCIM REST API 添加或移除用户的权利

当使用工作区级 SCIM(用户)REST API 创建或更新(通过 PATCH 或 PUT)用户时,可以添加权利。 例如,此 API 调用会将 allow-cluster-create 权利添加到指定用户。

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "entitlements",
      "value": [
        {
          "value": "allow-cluster-create"
        }
      ]
    }
  ]
}

有关详细信息,请参阅工作区级 SCIM(用户)REST API 参考