Verwalten von Benutzern
In diesem Artikel wird erläutert, wie Sie Azure Databricks-Benutzer hinzufügen, aktualisieren und entfernen.
Eine Übersicht über das Azure Databricks-Identitätsmodell finden Sie unter Azure Databricks-Identitäten.
Informationen zum Verwalten des Zugriffs für Benutzer finden Sie unter Authentifizierung und Zugriffssteuerung.
Übersicht über die Benutzerverwaltung
Um Benutzer in Azure Databricks zu verwalten, müssen Sie entweder Kontoadministrator oder Arbeitsbereichsadministrator sein.
Kontoadministratoren können dem Konto Benutzer hinzufügen und ihnen Administratorrollen zuweisen. Sie können auch Benutzer zu Arbeitsbereichen zuweisen und den Datenzugriff für sie über Arbeitsbereiche hinweg konfigurieren, sofern diese Arbeitsbereiche den Identitätsverbund verwenden.
Arbeitsbereichsadministratoren können Benutzern zu einem Azure Databricks-Arbeitsbereich hinzufügen, ihnen die Arbeitsbereichsadministratorrolle zuweisen und den Zugriff auf Objekte und Funktionen im Arbeitsbereich verwalten, z. B. die Möglichkeit zum Erstellen von Clustern oder zum Zugreifen auf personabasierte Umgebungen. Wenn Sie einen Benutzer zu einem Azure Databricks-Arbeitsbereich hinzufügen, wird er auch dem Konto hinzugefügt.
Arbeitsbereichsadministratoren sind Mitglieder der Gruppe
admins
im Arbeitsbereich, bei der es sich um eine reservierte Gruppe handelt, die nicht gelöscht werden kann.Benutzern mit der integrierten Rolle „Mitwirkender“, „Besitzer“ oder die angepasste Rolle mit der Berechtigung
Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
für die Arbeitsbereichsressource in Azure wird automatisch die Rolle „Arbeitsbereichsadministrator“ zugewiesen, wenn sie im Azure-Portal auf Arbeitsbereich starten klicken. Weitere Informationen finden Sie unter Was sind Arbeitsbereichsadministratoren?.
Wichtig
Databricks begann am 9. November 2023, automatisch neue Arbeitsbereiche für den Identitätsverbund und Unity Catalog zu aktivieren, wobei ein Rollout schrittweise über Konten hinweg fortgesetzt wird. Wenn Ihr Arbeitsbereich standardmäßig für den Identitätsverbund aktiviert ist, kann er nicht deaktiviert werden. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.
Synchronisieren von Benutzern mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten
Kontoadministratoren können mithilfe eines SCIM-Bereitstellungsconnectors Benutzer aus Ihrem Microsoft Entra ID-Mandanten mit Ihrem Azure Databricks-Konto synchronisieren.
Wichtig
Wenn Sie bereits SCIM-Connectors haben, die Identitäten direkt mit Ihren Arbeitsbereichen synchronisieren, müssen Sie diese SCIM-Connectors deaktivieren, wenn der SCIM-Connector auf Kontoebene aktiviert wird. Weitere Informationen finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.
Anweisungen finden Sie unter Bereitstellen von Identitäten für Ihr Azure Databricks-Konto mithilfe von Microsoft Entra ID (früher Azure Active Directory).
Verwalten von Benutzern in Ihrem Konto
Kontoadministrator*innen können Benutzer*innen mithilfe der Kontokonsole zum Azure Databricks-Konto hinzufügen. Benutzer in einem Azure Databricks-Konto haben keinen Standardzugriff auf einen Arbeitsbereich, Daten oder Computeressourcen.
Hinzufügen von Benutzern zu Ihrem Konto mithilfe der Kontokonsole
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf Benutzerverwaltung.
- Klicken Sie auf der Registerkarte Benutzer auf Benutzer hinzufügen.
- Geben Sie den Namen und die E-Mail-Adresse für den Benutzer ein.
- Klicke auf Benutzer hinzufügen.
Hinweis
Ein Benutzer kann nicht mehr als 50 Azure Databricks-Konten angehören.
Damit Benutzer Zugriff auf einen Arbeitsbereich erhalten, müssen Sie sie zum Arbeitsbereich hinzufügen. Weitere Informationen finden Sie unter Verwalten von Benutzern in Ihrem Arbeitsbereich.
Zuweisen von Kontoadministratorrollen zu Benutzern
Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
Klicken Sie in der Randleiste auf Benutzerverwaltung.
Suchen Sie den Benutzernamen und klicken Sie darauf.
Aktivieren Sie auf der Registerkarte "Rollen" den Kontoadministrator, den Marketplace-Administrator oder den Abrechnungsadministrator.
Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Kontokonsole
Zum Hinzufügen von Benutzern zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Arbeitsbereichsadministratoren können Arbeitsbereichen auch Benutzer über die Seite mit den Einstellungen für den Arbeitsbereichsadministrator zuweisen. Weitere Informationen finden Sie unter Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie auf der Randleiste auf Arbeitsbereiche.
- Klicken Sie auf den Namen Ihres Arbeitsbereichs.
- Klicken Sie auf der Registerkarte Permissions auf Add permissions.
- Suchen Sie nach dem Benutzer, weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin) zu, und klicken Sie auf Speichern.
Entfernen eines Benutzers aus einem Arbeitsbereich mithilfe der Kontokonsole
Zum Entfernen von Benutzern aus einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein. Wenn ein Benutzer aus einem Arbeitsbereich entfernt wird, kann der Benutzer nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie auf der Randleiste auf Arbeitsbereiche.
- Klicken Sie auf den Namen Ihres Arbeitsbereichs.
- Suchen Sie auf der Registerkarte Berechtigungen den Benutzer.
- Klicken Sie auf das Kebab-Menü ganz rechts in der Zeile des Benutzers, und wählen Sie Entfernen aus.
- Klicken Sie im Bestätigungsdialogfeld auf Entfernen.
Deaktivieren eines Benutzers in Ihrem Azure Databricks-Konto
Kontoadministratoren können Benutzer in einem Azure Databricks-Konto deaktivieren. Ein deaktivierter Benutzer kann sich nicht beim Azure Databricks-Konto oder den Azure Databricks-Arbeitsbereichen anmelden. Alle Berechtigungen und Arbeitsbereichsobjekte des Benutzers bleiben jedoch unverändert. Wenn ein Benutzer deaktiviert wird, gilt Folgendes:
- Der Benutzer kann sich über keine Methode beim Konto oder einem seiner Arbeitsbereiche anmelden.
- Anwendungen oder Skripts, welche die vom Benutzer generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht zur Authentifizierung verwendet werden, solange ein Benutzer deaktiviert ist.
- Notebooks, die dem Benutzer gehören, bleiben erhalten.
- Cluster, die dem Benutzer gehören, werden weiterhin ausgeführt.
- Geplante Aufträge, die vom Benutzer erstellt wurden, müssen einem neuen Besitzer zugewiesen werden, damit sie nicht fehlschlagen.
Wenn ein Benutzer reaktiviert wird, kann er sich mit den gleichen Berechtigungen bei Azure Databricks anmelden. Databricks empfiehlt, Benutzer*innen im Konto zu deaktivieren, anstatt sie zu entfernen, da das Entfernen von Benutzer*innen eine destruktive Aktion ist. Der Status eines deaktivierten Benutzers wird in der Kontokonsole als Inaktiv angezeigt. Sie können einen Benutzer auch aus einem bestimmten Arbeitsbereich deaktivieren. Siehe Deaktivieren eines Benutzers in Ihrem Azure Databricks-Arbeitsbereich.
Sie können einen Benutzer nicht über die Kontokonsole deaktivieren. Verwenden Sie stattdessen die Kontobenutzer-API. Zum Beispiel:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Entfernen von Benutzern aus Ihrem Azure Databricks-Konto
Kontoadministratoren können Benutzer aus einem Azure Databricks-Konto löschen. Arbeitsbereichsadministratoren können das nicht. Wenn Sie einen Benutzer aus dem Konto löschen, wird dieser Benutzer auch aus ihren Arbeitsbereichen entfernt.
Wichtig
Wenn Sie einen Benutzer aus dem Konto entfernen, wird dieser Benutzer unabhängig von der Aktivierung des Identitätsverbunds auch aus seinen Arbeitsbereichen entfernt. Es wird empfohlen, dass Sie keine Benutzer auf Kontoebene entfernen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche im Konto verlieren. Beachten Sie die folgenden Folgen des Löschens von Benutzern:
- Anwendungen oder Skripte, die die vom Benutzer generierten Token verwenden, können nicht mehr auf Databricks APIs zugreifen
- Aufträge, die den jeweiligen Benutzer*innen gehören, schlagen fehl.
- Cluster, die den jeweiligen Benutzer*innen gehören, werden beendet.
- Vom Benutzer erstellte Abfragen oder Dashboards, die mit der Berechtigung „Als Besitzer ausführen“ freigegeben wurden, müssen einem neuen Besitzer zugewiesen werden, damit die Freigabe nicht fehlschlägt.
Wenn ein Benutzer aus einem Konto entfernt wird, kann der Benutzer nicht mehr auf das Konto oder seine Arbeitsbereiche zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Konto hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.
Gehen Sie wie folgt vor, um einen Benutzer unter Verwendung der Kontokonsole zu entfernen:
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf Benutzerverwaltung.
- Suchen Sie den Benutzernamen und klicken Sie darauf.
- Klicken Sie auf der Registerkarte Benutzerinformationen auf das Kebab-Menü in der rechten oberen Ecke, und wählen Sie Löschen aus.
- Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.
Wenn Sie einen Benutzer mithilfe der Kontokonsole entfernen, müssen Sie sicherstellen, dass Sie den Benutzer auch mithilfe aller SCIM-Bereitstellungsconnectors oder SCIM-API-Anwendungen entfernen, die für das Konto eingerichtet wurden. Wenn Sie dies nicht tun, fügt die SCIM-Bereitstellung den Benutzer bei der nächsten Synchronisierung wieder hinzu. Siehe Synchronisieren von Benutzer*innen und Gruppen über Microsoft Entra ID.
Zum Entfernen eines Benutzers aus einem Azure Databricks-Konto mithilfe von SCIM-APIs müssen Sie ein Kontoadministrator sein. Weitere Informationen finden Sie unter Synchronisieren von Benutzern und Gruppen mit Ihrem Azure Databricks-Konto und Kontogruppen-API.
Verwalten von Benutzern in Ihrem Arbeitsbereich
Arbeitsbereichsadministratoren können mithilfe der Seite „Administratoreinstellungen“ des Arbeitsbereichs Benutzer hinzufügen und verwalten.
Zuweisen eines Benutzers zu einem Arbeitsbereich mithilfe der Administratoreinstellungsseite für Arbeitsbereiche
Gehen Sie wie folgt vor, um einen Benutzer mithilfe der Seite „Administratoreinstellungen“ des Arbeitsbereichs zu einem Arbeitsbereich hinzuzufügen:
Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
Klicken Sie auf die Registerkarte Identität und Zugriff.
Klicken Sie neben Benutzer auf Verwalten.
Klicken Sie auf Benutzer hinzufügen.
Wählen Sie einen vorhandenen Benutzer oder eine vorhandene Benutzerin aus, den bzw. die Sie dem Arbeitsbereich zuweisen möchten, oder klicken Sie auf Neu hinzufügen, um einen neuen Benutzer oder eine neue Benutzerin zu erstellen.
Sie können jeden Benutzer hinzufügen, der zum Microsoft Entra ID-Mandanten Ihres Azure Databricks-Arbeitsbereichs gehört. Wenn Sie Ihrem Arbeitsbereich einen neuen Benutzer hinzufügen, wird der Benutzer auch zu Ihrem Azure Databricks-Konto hinzugefügt.
Klicken Sie auf Hinzufügen.
Hinweis
Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, wird nur die Option zum Hinzufügen eines neuen Benutzers zum Arbeitsbereich angezeigt. Wenn Sie einen Benutzer hinzufügen, der denselben Benutzernamen (E-Mail-Adresse) hat wie ein vorhandener Kontobenutzer, werden diese Benutzer zusammengeführt.
Zuweisen der Arbeitsbereichsadministratorrolle zu Benutzer*innen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche
Gehen Sie wie folgt vor, um die Rolle des Arbeitsbereichsadministrators unter Verwendung der Seite „Administratoreinstellungen“ für Arbeitsbereiche zuzuweisen:
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
- Klicken Sie auf die Registerkarte Identität und Zugriff.
- Klicken Sie neben Benutzer auf Verwalten.
- Wählt den Benutzer aus.
- Klicken Sie auf die Registerkarte Berechtigungen.
- Klicken Sie auf die Umschaltfläche neben Administratorzugriff.
Um die Arbeitsbereichsadministratorrolle eines Benutzers oder einer Benutzerin im Arbeitsbereich zu entfernen, führen Sie dieselben Schritte aus, deaktivieren aber die Umschaltfläche Administratorzugriff.
Deaktivieren eines Benutzers in Ihrem Azure Databricks-Arbeitsbereich
Arbeitsbereichsadministratoren können Benutzer in einem Azure Databricks-Arbeitsbereich deaktivieren. Ein deaktivierter Benutzer kann sich nicht beim Arbeitsbereich anmelden oder über Azure Databricks-APIs darauf zugreifen, aber alle Berechtigungen und Arbeitsbereichsobjekte des Benutzers bleiben unverändert. Wenn ein Benutzer deaktiviert ist:
- Der Benutzer kann sich über keine Methode bei den Arbeitsbereichen anmelden.
- Der Status des Benutzers oder der Benutzerin wird auf der Seite mit den Einstellungen für Arbeitsbereichsadministrator*innen als Inaktiv angezeigt.
- Anwendungen oder Skripts, welche die vom Benutzer generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht zur Authentifizierung verwendet werden, solange ein Benutzer deaktiviert ist.
- Notebooks, die dem Benutzer gehören, bleiben erhalten.
- Cluster, die dem Benutzer gehören, werden weiterhin ausgeführt.
- Geplante Aufträge, die vom Benutzer erstellt wurden, müssen einem neuen Besitzer zugewiesen werden, damit sie nicht fehlschlagen.
Wenn ein Benutzer erneut aktiviert wird, kann er sich mit den gleichen Berechtigungen beim Arbeitsbereich anmelden. Databricks empfiehlt, Benutzer*innen zu deaktivieren, anstatt sie zu entfernen, weil das Entfernen von Benutzer*innen eine destruktive Aktion ist. Sie können einen Benutzer nicht über die Seite „Arbeitsbereichsadministratoreinstellungen“ deaktivieren. Verwenden Sie stattdessen die Arbeitsbereichsbenutzer-API. Zum Beispiel:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Entfernen eines Benutzers aus einem Arbeitsbereich mithilfe der Administratoreinstellungen für Arbeitsbereiche
Wenn ein Benutzer aus einem Arbeitsbereich entfernt wird, kann der Benutzer nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
- Klicken Sie auf die Registerkarte Identität und Zugriff.
- Klicken Sie neben Benutzer auf Verwalten.
- Navigieren Sie zum Benutzer oder zur Benutzerin und zum Kebab-Menü ganz rechts in der Benutzerzeile, und wählen Sie Entfernen aus.
- Klicken Sie auf Löschen, um den Vorgang zu bestätigen.
Verwalten von Benutzer*innen mithilfe der API
Kontoadministrator*innen und Arbeitsbereichsadministrator*innen können Benutzer*innen im Azure Databricks-Konto und in den Arbeitsbereichen mithilfe von Databricks-APIs verwalten.
Verwalten von Benutzer*innen im Konto mithilfe der API
Administrator*innen können Benutzer*innen im Azure Databricks-Konto mithilfe der Kontobenutzer-API hinzufügen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen rufen die API mithilfe einer anderen Endpunkt-URL auf:
- Kontoadministratoren verwenden
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Arbeitsbereichsadministratoren verwenden
{workspace-domain}/api/2.0/account/scim/v2/
.
Weitere Details finden Sie unter Kontobenutzer-API.
Verwalten von Benutzer*innen im Arbeitsbereich mithilfe der API
Konto- und Arbeitsbereichsadministrator*innen können die Arbeitsbereichszuweisungs-API verwenden, um Arbeitsbereichen, für die der Identitätsverbund aktiviert ist, Benutzer*innen zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und Azure Databricks-Arbeitsbereiche unterstützt.
- Kontoadministratoren verwenden
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Arbeitsbereichsadministratoren verwenden
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
.
Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.
Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, kann ein Arbeitsbereichsadministrator die APIs auf Arbeitsbereichsebene verwenden, um Benutzer ihren Arbeitsbereichen zuzuweisen. Weitere Informationen finden Sie unter Arbeitsbereichsbenutzer-API.