Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Azure Databricks-Benutzer hinzufügen, aktualisieren und entfernen.
Eine Übersicht über das Azure Databricks-Identitätsmodell finden Sie unter Azure Databricks-Identitäten.
Informationen zum Verwalten des Zugriffs für Benutzer finden Sie unter Authentifizierung und Zugriffssteuerung.
Wer kann Benutzer verwalten?
Um Benutzer in Azure Databricks zu verwalten, müssen Sie entweder Kontoadministrator oder Arbeitsbereichsadministrator sein.
Kontoadministratoren können dem Konto Benutzer hinzufügen und ihnen Administratorrollen zuweisen. Sie können auch Benutzer zu Arbeitsbereichen zuweisen und den Datenzugriff für sie über Arbeitsbereiche hinweg konfigurieren, sofern diese Arbeitsbereiche den Identitätsverbund verwenden.
Arbeitsbereichsadministratoren können Benutzern zu einem Azure Databricks-Arbeitsbereich hinzufügen, ihnen die Arbeitsbereichsadministratorrolle zuweisen und den Zugriff auf Objekte und Funktionen im Arbeitsbereich verwalten, z. B. die Möglichkeit zum Erstellen von Clustern oder zum Zugreifen auf personabasierte Umgebungen. Wenn Sie einen Benutzer zu einem Azure Databricks-Arbeitsbereich hinzufügen, wird er auch dem Konto hinzugefügt.
Arbeitsbereichsadministratoren sind Mitglieder der
adminsim Arbeitsbereich, bei der es sich um eine reservierte Gruppe handelt, die nicht gelöscht werden kann.Benutzern mit einer integrierten Rolle "Mitwirkender" oder "Besitzer" oder einer benutzerdefinierten Rolle mit den erforderlichen Azure-Administratorberechtigungen wird automatisch die Rolle des Arbeitsbereichadministrators zugewiesen, wenn sie im Azure-Portal auf " Arbeitsbereich starten " klicken. Weitere Informationen finden Sie unter Was sind Arbeitsbereichsadministratoren?.
Synchronisieren von Benutzern mit Ihrem Azure Databricks-Konto aus Ihrem Microsoft Entra ID-Mandanten
Sie können Benutzende aus Ihrem Microsoft Entra ID-Mandanten automatisch oder mithilfe eines SCIM-Bereitstellungsconnectors mit Ihrem Azure Databricks-Konto synchronisieren.
automatische Identitätsverwaltung (Public Preview) ermöglicht es Ihnen, Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID in Azure Databricks hinzuzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Ausführliche Informationen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen aus microsoft Entra ID.
SCIM-Bereitstellung ermöglicht es Ihnen, eine Unternehmensanwendung in Microsoft Entra ID zu konfigurieren, um Benutzer und Gruppen mit Microsoft Entra ID synchron zu halten. Anweisungen finden Sie unter Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID mithilfe von SCIM-.
Hinzufügen von Benutzern zu Ihrem Konto
Kontokonsole
Kontoadministrator*innen können Benutzer*innen mithilfe der Kontokonsole zum Azure Databricks-Konto hinzufügen. Benutzer in einem Azure Databricks-Konto haben keinen Standardzugriff auf einen Arbeitsbereich, Daten oder Computeressourcen. Ein Benutzer kann nicht mehr als 50 Azure Databricks-Konten angehören.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf Benutzerverwaltung.
- Klicken Sie auf der Registerkarte Benutzer auf Benutzer hinzufügen.
- Geben Sie den Namen und die E-Mail-Adresse für den Benutzer ein.
- Klicke auf Benutzer hinzufügen.
Administratoreinstellungen für den Arbeitsbereich
Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
Klicken Sie auf die Registerkarte Identität und Zugriff.
Klicken Sie neben Benutzer auf Verwalten.
Klicke auf Benutzer hinzufügen.
Klicken Sie auf Neues hinzufügen.
Hier geben Sie die E-Mail-Adresse des Benutzers ein.
Sie können jeden Benutzer hinzufügen, der zum Microsoft Entra ID-Mandanten Ihres Azure Databricks-Arbeitsbereichs gehört. Wenn Sie Ihrem Arbeitsbereich einen neuen Benutzer hinzufügen, wird der Benutzer auch zu Ihrem Azure Databricks-Konto hinzugefügt.
Klicken Sie auf Hinzufügen.
Zuweisen von Kontoadministratorrollen zu Benutzern
Hinweis
Auf der Seite " Benutzerdetails " werden nur Rollen angezeigt, die dem Benutzer direkt zugewiesen sind. Rollen, die über die Gruppenmitgliedschaft geerbt werden, sind aktiv, aber ihre Umschaltfläche wird in der Benutzeroberfläche nicht als aktiviert angezeigt.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf Benutzerverwaltung.
- Suchen Sie den Benutzernamen und klicken Sie darauf.
- Wählen Sie auf der Registerkarte "Rollen " eine oder mehrere Rollen aus.
Zuweisen eines Benutzers zu einem Arbeitsbereich
Kontoadministratoren und Arbeitsbereichsadministratoren können einem Azure Databricks-Arbeitsbereich Mithilfe der Kontokonsole oder der Seite "Arbeitsbereichsadministratoreinstellungen" Dienstprinzipale zuweisen.
Kontokonsole
Zum Hinzufügen von Benutzern zu einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie auf der Randleiste auf Arbeitsbereiche.
- Klicken Sie auf den Namen Ihres Arbeitsbereichs.
- Klicken Sie auf der Registerkarte Permissions auf Add permissions.
- Suchen Sie nach dem Benutzer, weisen Sie die Berechtigungsstufe (Arbeitsbereichsbenutzer oder Admin) zu, und klicken Sie auf Speichern.
Administratoreinstellungen für den Arbeitsbereich
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
- Klicken Sie auf die Registerkarte Identität und Zugriff.
- Klicken Sie neben Benutzer auf Verwalten.
- Klicken Sie auf Benutzer hinzufügen.
- Wählen Sie einen vorhandenen Benutzer oder eine vorhandene Benutzerin aus, den bzw. die Sie dem Arbeitsbereich zuweisen möchten, oder klicken Sie auf Neu hinzufügen, um einen neuen Benutzer oder eine neue Benutzerin zu erstellen.
- Klicken Sie auf Hinzufügen.
Benutzer aus einem Arbeitsbereich entfernen
Wenn ein Benutzer aus einem Arbeitsbereich entfernt wird, kann der Benutzer nicht mehr auf den Arbeitsbereich zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Arbeitsbereich hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.
Kontokonsole
Zum Entfernen von Benutzern aus einem Arbeitsbereich mithilfe der Kontokonsole muss der Arbeitsbereich für den Identitätsverbund aktiviert sein.
- Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
- Klicken Sie auf der Randleiste auf Arbeitsbereiche.
- Klicken Sie auf den Namen Ihres Arbeitsbereichs.
- Suchen Sie auf der Registerkarte Berechtigungen den Benutzer.
- Klicken Sie auf das
ganz rechts in der Benutzerzeile, und wählen Sie "Entfernen" aus. - Klicken Sie im Bestätigungsdialogfeld auf Entfernen.
Administratoreinstellungen für den Arbeitsbereich
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
- Klicken Sie auf die Registerkarte Identität und Zugriff.
- Klicken Sie neben Benutzer auf Verwalten.
- Suchen Sie das Benutzer- und Kebab-Menü ganz rechts in der Benutzerzeile, und wählen Sie "Entfernen" aus.
- Klicken Sie auf Löschen, um den Vorgang zu bestätigen.
Weisen Sie einem Benutzer die Rolle des Arbeitsbereichsadministrators zu
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
- Klicken Sie auf die Registerkarte Identität und Zugriff.
- Klicken Sie neben Benutzer auf Verwalten.
- Wählt den Benutzer aus.
- Aktivieren Sie unter "Berechtigungen" den Administratorzugriff.
Um die Arbeitsbereichsadministratorrolle eines Benutzers oder einer Benutzerin im Arbeitsbereich zu entfernen, führen Sie dieselben Schritte aus, deaktivieren aber die Umschaltfläche Administratorzugriff.
Deaktivieren eines Benutzers
Sie können einen Benutzer entweder auf Konto- oder Arbeitsbereichsebene deaktivieren.
Kontoadministratoren können Benutzer in einem Azure Databricks-Konto deaktivieren. Die Deaktivierung verhindert, dass der Benutzer das Konto, arbeitsbereiche oder Databricks-APIs authentifiziert und darauf zugreift, aber nicht seine Berechtigungen oder Objekte entfernt. Dies ist der Entfernung vorzuziehen, was eine destruktive Aktion ist.
Auswirkungen der Deaktivierung:
- Der Benutzer kann sich nicht authentifizieren oder auf die Databricks-UI oder APIs zugreifen.
- Anwendungen oder Skripts, die die vom Benutzer generierten Token verwenden, können nicht mehr auf die Databricks-API zugreifen. Die Token bleiben erhalten, können aber nicht zur Authentifizierung verwendet werden, solange ein Benutzer deaktiviert ist.
- Computer-Ressourcen, die im Besitz des Benutzers sind, laufen weiterhin.
- Geplante Aufträge, die vom Benutzer erstellt wurden, schlagen fehl, es sei denn, sie werden einem neuen Besitzer zugewiesen.
Wenn die Reaktivierung erfolgt, erhält der Benutzer wieder Zugriff mit denselben Berechtigungen.
Deaktivierung auf Kontoebene
Kontoadministratoren können einen Benutzer im gesamten Azure Databricks-Konto deaktivieren. Wenn ein Benutzer auf Kontoebene deaktiviert wird, kann er sich nicht beim Azure Databricks-Konto oder bei Arbeitsbereichen im Konto authentifizieren.
Sie können einen Benutzer nicht über die Kontokonsole deaktivieren. Verwenden Sie stattdessen die Kontobenutzer-API. Zum Beispiel:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Deaktivierung auf Arbeitsbereichsebene
Wenn ein Benutzer auf Arbeitsbereichsebene deaktiviert wird, kann er sich nicht für diesen bestimmten Arbeitsbereich authentifizieren, aber er kann sich weiterhin für das Konto und andere Arbeitsbereiche im Konto authentifizieren.
Sie können einen Benutzer nicht über die Seite „Arbeitsbereichsadministratoreinstellungen“ deaktivieren. Verwenden Sie stattdessen die Arbeitsbereichsbenutzer-API. Zum Beispiel:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Entfernen von Benutzern aus Ihrem Azure Databricks-Konto
Kontoadministratoren können Benutzer aus einem Azure Databricks-Konto löschen. Arbeitsbereichsadministratoren können das nicht. Wenn Sie einen Benutzer aus dem Konto löschen, wird dieser Benutzer auch aus ihren Arbeitsbereichen entfernt. Wenn Sie einen Benutzer mithilfe der Kontokonsole entfernen, müssen Sie sicherstellen, dass Sie den Benutzer auch mithilfe aller SCIM-Bereitstellungsconnectors oder SCIM-API-Anwendungen entfernen, die für das Konto eingerichtet wurden. Wenn Sie das nicht tun, fügt die SCIM-Bereitstellung den Benutzer wieder hinzu, bei der nächsten Synchronisierung. Weitere Informationen finden Sie unter Synchronisieren von Benutzenden und Gruppen über Microsoft Entra ID mithilfe von SCIM.
Wichtig
Wenn Sie einen Benutzer aus dem Konto entfernen, wird dieser Benutzer unabhängig von der Aktivierung des Identitätsverbunds auch aus seinen Arbeitsbereichen entfernt. Es wird empfohlen, dass Sie keine Benutzer auf Kontoebene entfernen, es sei denn, Sie möchten, dass sie den Zugriff auf alle Arbeitsbereiche im Konto verlieren. Beachten Sie die folgenden Folgen des Löschens von Benutzern:
- Anwendungen oder Skripts, die die vom Benutzer generierten Token verwenden, können nicht mehr auf Databricks-APIs zugreifen.
- Aufträge, die dem Benutzer gehören, schlagen fehl.
- Cluster, die dem Benutzer gehören, werden gestoppt.
- Von diesem Benutzer installierte Bibliotheken sind ungültig und müssen neu installiert werden.
- Von Benutzenden erstellte Abfragen oder Dashboards, die mit der Berechtigung „Als besitzende Person ausführen“ freigegeben wurden, müssen einer neuen besitzenden Person zugewiesen werden, damit die Freigabe nicht fehlschlägt.
Wenn ein Benutzer aus einem Konto entfernt wird, kann der Benutzer nicht mehr auf das Konto oder seine Arbeitsbereiche zugreifen, die Berechtigungen werden jedoch für den Benutzer verwaltet. Wenn der Benutzer später wieder zum Konto hinzugefügt wird, erhält er seine vorherigen Berechtigungen wieder.
Gehen Sie wie folgt vor, um einen Benutzer unter Verwendung der Kontokonsole zu entfernen:
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf Benutzerverwaltung.
- Suchen Sie den Benutzernamen und klicken Sie darauf.
- Klicken Sie auf der Registerkarte " Benutzerinformationen " auf das Kebab-Menü in der oberen rechten Ecke, und wählen Sie "Löschen" aus.
- Klicken Sie im Bestätigungsdialogfeld auf Löschen bestätigen.
Hinweis
Wenn die automatische Identitätsverwaltung aktiviert ist, werden Benutzer, die sich in der Microsoft Entra-ID befinden, in der Kontokonsole angezeigt. Ihr Status wird als "Inaktiv" angezeigt: Keine Verwendung und kann nicht aus der Benutzerliste entfernt werden. Sie sind nicht aktiv im Konto tätig und zählen nicht zu den Benutzergrenzen.
Verwalten von Benutzer*innen mithilfe der API
Kontoadministrator*innen und Arbeitsbereichsadministrator*innen können Benutzer*innen im Azure Databricks-Konto und in den Arbeitsbereichen mithilfe von Databricks-APIs verwalten.
Verwalten von Benutzer*innen im Konto mithilfe der API
Administrator*innen können Benutzer*innen im Azure Databricks-Konto mithilfe der Kontobenutzer-API hinzufügen und verwalten. Kontoadministrator*innen und Arbeitsbereichsadministrator*innen rufen die API mithilfe einer anderen Endpunkt-URL auf:
- Kontoadministratoren verwenden
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Arbeitsbereichsadministratoren verwenden
{workspace-domain}/api/2.0/account/scim/v2/.
Weitere Details finden Sie unter Kontobenutzer-API.
Verwalten von Benutzer*innen im Arbeitsbereich mithilfe der API
Konto- und Arbeitsbereichsadministrator*innen können die Arbeitsbereichszuweisungs-API verwenden, um Arbeitsbereichen, für die der Identitätsverbund aktiviert ist, Benutzer*innen zuzuweisen. Die Arbeitsbereichszuweisungs-API wird über das Azure Databricks-Konto und Azure Databricks-Arbeitsbereiche unterstützt.
- Kontoadministratoren verwenden
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Arbeitsbereichsadministratoren verwenden
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.
Weitere Informationen finden Sie unter Arbeitsbereichszuweisungs-API.
Wenn Ihr Arbeitsbereich nicht für den Identitätsverbund aktiviert ist, kann ein Arbeitsbereichsadministrator die APIs auf Arbeitsbereichsebene verwenden, um Benutzer ihren Arbeitsbereichen zuzuweisen. Weitere Informationen finden Sie unter Arbeitsbereichsbenutzer-API.