Sdílet prostřednictvím

Spravovat uživatele

Tento článek vysvětluje, jak přidávat, aktualizovat a odebírat uživatele Azure Databricks.

Přehled modelu identit Azure Databricks najdete v tématu Identity Azure Databricks.

Informace o správě přístupu pro uživatele najdete v tématu Ověřování a řízení přístupu.

Poznámka:

Na této stránce se předpokládá, že váš pracovní prostor má povolenou federaci identit, což je výchozí nastavení pro většinu pracovních prostorů. Pro informace o starších pracovních prostorech bez identitní federace viz Starší pracovní prostory bez identitní federace.

Kdo může spravovat uživatele?

Pokud chcete spravovat uživatele v Azure Databricks, musíte být správcem účtu nebo správcem pracovního prostoru.

  • Správci účtu můžou přidávat uživatele do účtu a přiřazovat jim role správce. Můžou také přiřadit uživatele k pracovním prostorům a nakonfigurovat pro ně přístup k datům napříč pracovními prostory.

  • Správci pracovního prostoru můžou přidávat uživatele do pracovního prostoru Azure Databricks, přiřazovat jim roli správce pracovního prostoru a spravovat přístup k objektům a funkcím v pracovním prostoru, například možnost vytvářet clustery nebo přistupovat k určeným prostředím založeným na osobách. Přidání uživatele do pracovního prostoru Azure Databricks je také přidá do účtu.

    Správci pracovního prostoru jsou členy adminsskupiny v pracovním prostoru, což je rezervovaná skupina, kterou nelze odstranit.

    Uživatelům s integrovanou rolí Přispěvatel nebo Vlastník Azure nebo vlastní role s požadovanými oprávněními správce Azure se automaticky přiřadí role správce pracovního prostoru po kliknutí na Spustit pracovní prostor na webu Azure Portal. Další informace najdete v tématu Co jsou správci pracovního prostoru?.

Synchronizujte uživatele s vaším účtem Azure Databricks z tenanta Microsoft Entra ID.

Uživatele z tenanta Microsoft Entra ID můžete s vaším účtem Azure Databricks synchronizovat automaticky pomocí konektoru pro zřizování SCIM.

Automatická správa identit umožňuje přidávat uživatele, instanční objekty a skupiny z Microsoft Entra ID do Azure Databricks bez konfigurace aplikace v Microsoft Entra ID. Databricks používá jako zdroj záznamu ID Microsoft Entra, takže všechny změny členství uživatelů nebo skupin se v Azure Databricks respektují. Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025. Podrobnosti najdete v tématu Automatické synchronizace uživatelů a skupin z ID Microsoft Entra.

Zřizování SCIM umožňuje nakonfigurovat podnikovou aplikaci v Microsoft Entra ID, aby uživatelé a skupiny zůstali synchronizovaní s Microsoft Entra ID. Pokyny najdete v tématu Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Přidání uživatelů do účtu

Konzola účtu

Správci účtů můžou přidávat uživatele do účtu Azure Databricks pomocí konzoly účtu. Uživatelé v účtu Azure Databricks nemají výchozí přístup k pracovnímu prostoru, datům nebo výpočetním prostředkům. Uživatel nemůže patřit do více než 50 účtů Azure Databricks.

  1. Jako správce účtu se přihlaste ke konzole účtu .
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Uživatelé klikněte na Přidat uživatele.
  4. Zadejte jméno a e-mailovou adresu uživatele.
  5. Klikněte na Přidat uživatele.

Nastavení správce pracovního prostoru

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.

  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.

  3. Klikněte na kartu Identita a přístup .

  4. Vedle položky Uživatelé klikněte na Spravovat.

  5. Klikněte na Přidat uživatele.

  6. Klikněte na Přidat nový.

  7. Zadejte e-mailovou adresu uživatele.

    Můžete přidat libovolného uživatele, který patří do tenanta Microsoft Entra ID vašeho pracovního prostoru Azure Databricks. Přidání nového uživatele do pracovního prostoru také přidá uživatele do vašeho účtu Azure Databricks.

  8. Klikněte na Přidat.

Přiřazení rolí správce účtu uživateli

Poznámka:

Na stránce s podrobnostmi o uživateli se zobrazují jenom role, které jsou uživateli přiřazeny přímo. Role zděděné prostřednictvím členství ve skupině jsou aktivní, ale jejich přepínače se nezobrazují jako povolené v uživatelském rozhraní.

  1. Jako správce účtu se přihlaste ke konzole účtu .
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Vyhledejte a klikněte na uživatelské jméno.
  4. Na kartě Role vyberte jednu nebo více rolí.

Přiřazení uživatele k pracovnímu prostoru

Správci účtů a správci pracovního prostoru můžou přiřadit instanční objekty k pracovnímu prostoru Azure Databricks pomocí konzoly účtu nebo stránky nastavení pracovního prostoru.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu .
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Oprávnění klikněte na Přidat oprávnění.
  5. Vyhledejte a vyberte uživatele, přiřaďte úroveň oprávnění ( uživatel pracovního prostoru nebo správce) a klikněte na Uložit.

Nastavení správce pracovního prostoru

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle položky Uživatelé klikněte na Spravovat.
  5. Klikněte na Přidat uživatele.
  6. Vyberte existujícího uživatele, který chcete přiřadit k pracovnímu prostoru, nebo klikněte na Přidat nový a vytvořte nového uživatele.
  7. Klikněte na Přidat.

Odebrání uživatele z pracovního prostoru

Když se uživatel odebere z pracovního prostoru, uživatel už nebude mít přístup k pracovnímu prostoru, ale oprávnění se u uživatele zachovají. Pokud se uživatel později přidá zpět do pracovního prostoru, znovu získá předchozí oprávnění.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu .
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Oprávnění vyhledejte uživatele.
  5. Klikněte na ikonu nabídky Kebab na pravém konci řádku uživatele a vyberte Odebrat.
  6. V potvrzovací dialogovém okně klikněte na Odebrat.

Nastavení správce pracovního prostoru

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle položky Uživatelé klikněte na Spravovat.
  5. Najděte uživatele a ikonu nabídky Kebab na úplně pravé straně řádku uživatele a vyberte Odebrat.
  6. Kliknutím na Odstranit potvrďte.

Přiřazení role správce pracovního prostoru uživateli

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle položky Uživatelé klikněte na Spravovat.
  5. Vyberte uživatele.
  6. V části Nároky zapněte přístup správce.

Pokud chcete roli správce pracovního prostoru uživateli pracovního prostoru odebrat, proveďte stejné kroky, ale zrušte zaškrtnutí políčka pro přístup správce .

Deaktivace uživatele

Uživatele můžete deaktivovat na úrovni účtu nebo pracovního prostoru.

Správci účtů můžou deaktivovat uživatele v rámci účtu Azure Databricks. Deaktivace zabrání uživateli v ověřování a přístupu k účtu, pracovním prostorům nebo rozhraním API Databricks, ale neodebere jeho oprávnění ani objekty. To je vhodnější než odstranění, což je destruktivní akce.

Účinky deaktivace:

  • Uživatel nemůže ověřit nebo získat přístup k uživatelskému rozhraní Databricks nebo rozhraním API.
  • Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraní Databricks API. Tokeny zůstávají, ale nelze je použít k ověření, když je uživatel deaktivován.
  • Výpočetní prostředky vlastněné uživatelem zůstanou spuštěné.
  • Naplánované úlohy vytvořené uživatelem selžou, pokud nejsou přiřazené novému vlastníkovi.

Po opětovné aktivaci uživatel znovu získá přístup se stejnými oprávněními.

Deaktivace na úrovni účtu

Správci účtu můžou deaktivovat uživatele v rámci účtu Azure Databricks. Když je uživatel deaktivován na úrovni účtu, nemůže se ověřit v účtu Azure Databricks ani v žádném pracovním prostoru v účtu.

Uživatele nemůžete deaktivovat pomocí konzoly účtu. Místo toho použijte rozhraní API pro uživatele účtu. Příklad:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Deaktivace na úrovni pracovního prostoru

Když je uživatel deaktivován na úrovni pracovního prostoru, nemůže se ověřit v daném konkrétním pracovním prostoru, ale může se stále ověřovat u účtu a jiných pracovních prostorů v účtu.

Uživatele nemůžete deaktivovat pomocí stránky nastavení pracovního prostoru. Místo toho použijte rozhraní API uživatelů pracovního prostoru. Příklad:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Odebrání uživatelů z účtu Azure Databricks

Správci účtů můžou uživatele odstranit z účtu Azure Databricks. Správci pracovního prostoru nemohou. Když odstraníte uživatele z účtu, odebere se tento uživatel také ze svých pracovních prostorů. Pokud odeberete uživatele pomocí konzoly účtu, musíte zajistit, abyste uživatele odebrali také pomocí všech konektorů pro zřizování SCIM nebo aplikací rozhraní API SCIM, které jsou pro tento účet nastavené. Pokud to neuděláte, zřizování SCIM přidá uživatele zpět při příští synchronizaci. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Důležité

Když odeberete uživatele z účtu, odebere se tento uživatel také ze svých pracovních prostorů bez ohledu na to, jestli je povolená federace identit nebo ne. Pokud nechcete, aby ztratili přístup ke všem pracovním prostorům v účtu, nedoporučujeme odstraňovat uživatele na úrovni účtu. Mějte na paměti následující důsledky odstranění uživatelů:

  • Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraním API Databricks.
  • Úlohy, které vlastní uživatel, selhávají.
  • Clustery vlastněné uživatelem se zastaví.
  • Knihovny nainstalované tímto uživatelem jsou neplatné a musí se přeinstalovat.
  • Dotazy nebo řídicí panely vytvořené uživatelem a sdílené pomocí přihlašovacích údajů Spustit jako vlastníka musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání sdílení.

Když se uživatel odebere z účtu, uživatel už nebude mít přístup k účtu nebo jeho pracovním prostorům, ale oprávnění se u uživatele zachovají. Pokud se uživatel později znovu přidá do účtu, znovu získá předchozí oprávnění.

Pokud chcete uživatele odebrat pomocí konzoly účtu, postupujte takto:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Vyhledejte a klikněte na uživatelské jméno.
  4. Na kartě Informace o uživateli klikněte na ikonu nabídky Kebab v pravém horním rohu a vyberte Odstranit.
  5. V potvrzovací dialogovém okně klikněte na Potvrdit odstranění.

Poznámka:

Pokud je povolená automatická správa identit, uživatelé, kteří jsou v Microsoft Entra ID, se zobrazí v konzole účtu. Jejich stav se zobrazí jako Neaktivní: Žádné použití a není možné je odebrat ze seznamu uživatelů. Nejsou v účtu aktivní a nezapočítávají se do limitů uživatelů.

Správa uživatelů pomocí rozhraní API

Správci účtů a správci pracovních prostorů můžou spravovat uživatele v účtu a pracovních prostorech Azure Databricks pomocí rozhraní API Databricks.

Správa uživatelů v účtu pomocí rozhraní API

Správci můžou přidávat a spravovat uživatele v účtu Azure Databricks pomocí rozhraní API uživatelé účtu. Správci účtů a správci pracovních prostorů volají rozhraní API pomocí jiné adresy URL koncového bodu:

  • Správci účtu používají {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Správci pracovního prostoru používají {workspace-domain}/api/2.0/account/scim/v2/.

Podrobnosti najdete v rozhraní API pro uživatele účtu.

Správa uživatelů v pracovním prostoru pomocí rozhraní API

Správci účtů a pracovních prostorů můžou k přiřazení uživatelů k pracovním prostorům použít rozhraní API pro přiřazení pracovního prostoru. API pro přiřazení pracovního prostoru je podporováno prostřednictvím Azure Databricks účtu a pracovních prostorů.

  • Správci účtu používají {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Správci pracovního prostoru používají {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Podívejte se na Rozhraní API pro přiřazení pracovního prostoru.

Poznámka:

U starších pracovních prostorů bez federace identit můžou správci pracovního prostoru k přiřazení uživatelů k pracovním prostorům použít rozhraní API uživatelé pracovního prostoru .

  • Last updated on