Administrar usuarios
Este artículo explica cómo añadir, actualizar y eliminar usuarios de Azure Databricks.
Para obtener información general sobre el modelo de identidad de Azure Databricks, consulte Identidades de Azure Databricks.
Para administrar el acceso de los usuarios, consulte Autenticación y control de acceso.
Información general de administración de usuarios
Para administrar usuarios en Azure Databricks, debes ser administrador de cuenta o administrador del área de trabajo.
Los administradores de cuentas pueden agregar usuarios a la cuenta y asignarles roles de administrador. También pueden asignar usuarios a áreas de trabajo y configurar el acceso a los datos para ellos entre áreas de trabajo, siempre y cuando esas áreas de trabajo usen la federación de identidades.
Los administradores de áreas de trabajo pueden agregar usuarios a un área de trabajo de Azure Databricks, asignarles el rol de administrador de área de trabajo y administrar el acceso a los objetos y la funcionalidad del área de trabajo, como la capacidad de crear clústeres o acceder a entornos específicos basados en roles. Agregar un usuario a un área de trabajo de Azure Databricks también los agrega a la cuenta.
Los administradores de área de trabajo son miembros del grupo
admins
del área de trabajo, que es un grupo reservado que no se puede eliminar.A los usuarios con un rol integrado de Colaborador, Propietario o con un rol personalizado con el permiso
Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
en el recurso del área de trabajo en Azure se les asigna automáticamente el rol de administrador del área de trabajo cuando hacen clic en Iniciar área de trabajo en Azure Portal. Para obtener más información, consulte ¿Qué son los administradores de área de trabajo?.
Importante
Databricks comenzó a habilitar nuevas áreas de trabajo para la federación de identidades y Unity Catalog automáticamente el 9 de noviembre de 2023, mediante un proceso de implementación gradual entre cuentas. Si el área de trabajo está habilitada para la federación de identidades de manera predeterminada, no se puede deshabilitar. Para más información, consulte Habilitación automática de Unity Catalog.
Sincronización de usuarios en la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID
Los administradores de cuenta pueden sincronizar usuarios desde el inquilino de Microsoft Entra ID a su cuenta de Azure Databricks mediante un conector de aprovisionamiento SCIM.
Importante
Si ya dispone de conectores SCIM que sincronizan identidades directamente con las áreas de trabajo, debe desactivar dichos conectores SCIM cuando se active el conector SCIM a nivel de cuenta. Consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.
Para obtener instrucciones completas, consulta Aprovisionar identidades en la cuenta de Azure Databricks mediante Microsoft Entra ID.
Administración de usuarios en su cuenta
Los administradores de cuentas pueden agregar usuarios a la cuenta de Azure Databricks mediante la consola de cuentas. Los usuarios de una cuenta de Azure Databricks no tienen acceso predeterminado a un área de trabajo, datos o recursos de proceso.
Agregar usuarios a la cuenta mediante la consola de la cuenta
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Usuarios, haga clic en Agregar usuario.
- Introduce un nombre y dirección de correo electrónico del usuario.
- Haga clic en Agregar usuario.
Nota:
Un usuario no puede pertenecer a más de 50 cuentas de Azure Databricks.
Para conceder a los usuarios acceso a un área de trabajo, debes agregarlos al área de trabajo. Consulte Administración de usuarios en el área de trabajo.
Asignación de roles de administrador de cuenta a un usuario
Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
En la barra lateral, haz clic en Administración de usuarios.
Busque y haga clic en el nombre de usuario.
En la pestaña Roles , active Administrador de cuenta, Administrador de Marketplace o Administrador de facturación.
Asignar un usuario a un área de trabajo mediante la consola de la cuenta
Para agregar usuarios a un área de trabajo mediante la consola de la cuenta, el área de trabajo debe estar habilitada para la federación de identidades. Los administradores del área de trabajo también pueden asignar usuarios a las áreas de trabajo usando la página de configuración del administrador del área de trabajo. Consulte Asignar un usuario a un área de trabajo mediante la página de configuración del administrador del área de trabajo.
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permissions (Permisos), haga clic en Add permissions (Agregar permisos).
- Busca y selecciona el grupo, asigna el nivel de permiso (Usuario o Administrador del área de trabajo) y haz clic en Guardar.
Eliminar un usuario de un área de trabajo mediante la consola de la cuenta
Para eliminar usuarios de un área de trabajo mediante la consola de la cuenta, el área de trabajo debe estar habilitada para la federación de identidades. Cuando se quita un usuario de un área de trabajo, este ya no puede acceder al área de trabajo, pero los permisos se mantienen en el usuario. Si el usuario se vuelve a agregar más adelante al área de trabajo, recupera sus permisos anteriores.
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permisos, busca el usuario.
- Haz clic en el menú de tres puntos verticales en el extremo derecho de la fila de usuario y seleccione Eliminar.
- En el cuadro de diálogo de confirmación, haga clic en Remove (Quitar).
Desactivar un usuario en la cuenta de Azure Databricks
Los administradores de cuentas pueden desactivar usuarios en una cuenta de Azure Databricks. Un usuario desactivado no puede iniciar sesión en la cuenta o áreas de trabajo de Azure Databricks. Sin embargo, todos los permisos del usuario y los objetos del área de trabajo permanecen sin cambios. Cuando se desactiva un usuario, ocurre lo siguiente:
- El usuario no puede iniciar sesión en la cuenta ni en ninguna de sus áreas de trabajo desde ningún método.
- Las aplicaciones o scripts que usen los tokens que generó ese usuario ya no podrán acceder a la API de Databricks. Los tokens permanecerán, pero no se podrán usar para autenticarse mientras un usuario esté desactivado.
- Los blocs de notas que pertenezcan a los usuarios permanecerán.
- Los clústeres que pertenezcan al usuario seguirán ejecutándose.
- Los trabajos programados creados por el usuario deberán asignarse a un nuevo propietario para evitar que se produzcan errores.
Cuando se reactive un usuario, podrá iniciar sesión en Azure Databricks con los mismos permisos. Databricks recomienda desactivar los usuarios de la cuenta en lugar de quitarlos porque quitar un usuario es una acción destructiva. El estado de un usuario desactivado está etiquetado como Inactivo en la consola de la cuenta. También puede desactivar un usuario desde un área de trabajo específica. Consulte Desactivación de un usuario en el área de trabajo de Azure Databricks.
No se puede desactivar un usuario mediante la consola de la cuenta. En su lugar, use la API de Usuarios de cuenta. Por ejemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Eliminar usuarios de la cuenta de Azure Databricks
Los administradores de cuenta pueden eliminar usuarios de una cuenta de Azure Databricks. Los administradores de área de trabajo no pueden. Al eliminar un usuario de la cuenta, ese usuario también se quita de tus áreas de trabajo.
Importante
Cuando se elimina un usuario de la cuenta, ese usuario también se elimina de sus áreas de trabajo, independientemente de si se ha activado o no la federación de identidades. Se recomienda evitar eliminar usuarios de nivel de cuenta a menos que desees que pierdan el acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:
- Las aplicaciones o scripts que utilizan los tokens generados por el usuario ya no pueden acceder a las API de Databricks.
- Ha ocurrido un error en los trabajos del usuario.
- Los clústeres propiedad del usuario se detienen.
- Las consultas o los cuadros de mando creados por el usuario y compartidos mediante la credencial Ejecutar como propietario deben asignarse a un nuevo propietario para evitar que el uso compartido falle.
Cuando se quita un usuario de una cuenta, este ya no puede acceder a la cuenta ni a sus áreas de trabajo, pero los permisos se mantienen en el usuario. Si el usuario se vuelve a agregar más adelante a la cuenta, recupera sus permisos anteriores.
Para quitar un usuario mediante la consola de la cuenta, haz lo siguiente:
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- Busque y haga clic en el nombre de usuario.
- En la pestaña Información de usuario, haz clic en el menú de tres puntos en la esquina superior derecha y seleccioneEliminar.
- En el cuadro de diálogo de confirmación, haz clic en Confirmar.
Si quitas un usuario mediante la consola de la cuenta, debes asegurarte de quitar también el usuario mediante los conectores de aprovisionamiento SCIM o las aplicaciones de API de SCIM que se han configurado para la cuenta. Si no lo haces, el aprovisionamiento de SCIM vuelve a agregar el usuario la próxima vez que se sincronice. Consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.
Para quitar un usuario de una cuenta de Azure Databricks mediante las API de SCIM, debe ser un administrador de cuenta. Consulte Sincronización de usuarios y grupos en la cuenta de Azure Databricks y API de grupos de cuentas.
Administración de usuarios en el área de trabajo
Los administradores del área de trabajo pueden agregar y administrar usuarios mediante la página de configuración del administrador del área de trabajo.
Asignar un usuario a un área de trabajo mediante la página de configuración del administrador del área de trabajo
Para agregar un usuario a un área de trabajo mediante la página de configuración del administrador del área de trabajo, haz lo siguiente:
Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
Haga clic en la pestaña Identidad y acceso.
Junto a Usuarios, haga clic en Administrar.
Haga clic en Agregar usuario.
Seleccione un usuario existente para asignarlo al área de trabajo, o bien haga clic en Agregar nuevo para crear uno.
Puede agregar cualquier usuario que pertenezca al inquilino de Microsoft Entra ID del área de trabajo de Azure Databricks. Agregar un nuevo usuario al área de trabajo también agrega el usuario a la cuenta de Azure Databricks.
Haga clic en Agregar.
Nota:
Si el área de trabajo no está habilitada para la federación de identidades, solo verá la opción de agregar un nuevo usuario al área de trabajo. Si agrega un usuario que comparte un nombre de usuario (dirección de correo electrónico) con un usuario de cuenta existente, esos usuarios se fusionan.
Asigne la función de administrador del área de trabajo a un usuario mediante la página de configuración del administrador del área de trabajo
Para asignar la función de administrador del área de trabajo mediante la página de configuración del administrador del área de trabajo, haz lo siguiente:
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Usuarios, haga clic en Administrar.
- Seleccione el usuario.
- Haga clic en la pestaña Derechos.
- Haga clic en el botón de alternancia situado junto a Acceso de administrador.
Para quitar el rol de administrador del área de trabajo de un usuario del área de trabajo, siga los mismos pasos, pero desactive el botón de alternancia Acceso de administrador.
Desactive un clúster en el área de trabajo de Azure Databricks
Los administradores del área de trabajo pueden desactivar usuarios en el área de trabajo de Azure Databricks. Un usuario desactivado no podrá iniciar sesión en el área de trabajo ni acceder al mismo desde las API de Azure Databricks, pero todos los permisos del usuario y los objetos del área de trabajo permanecerán sin cambios. Cuando se desactiva un usuario:
- El usuario no podrá iniciar sesión en las áreas de trabajo desde ningún método.
- El estado del usuario se muestra como Inactivo en la página de configuración del administrador del área de trabajo.
- Las aplicaciones o scripts que usen los tokens que generó ese usuario ya no podrán acceder a la API de Databricks. Los tokens permanecerán, pero no se podrán usar para autenticarse mientras un usuario esté desactivado.
- Los blocs de notas que pertenezcan a los usuarios permanecerán.
- Los clústeres que pertenezcan al usuario seguirán ejecutándose.
- Los trabajos programados creados por el usuario deberán asignarse a un nuevo propietario para evitar que se produzcan errores.
Cuando se reactive un usuario, podrá iniciar sesión en el área de trabajo con los mismos permisos. Databricks recomienda desactivar a los usuarios en lugar de quitarlos porque quitar un usuario es una acción destructiva. No se puede desactivar un usuario mediante la página de configuración del administrador del área de trabajo. En su lugar, use la API de Usuarios del área de trabajo. Por ejemplo:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Eliminar a un usuario de un área de trabajo mediante la página de configuración de administrador del área de trabajo
Cuando se quita un usuario de un área de trabajo, este ya no puede acceder al área de trabajo, pero los permisos se mantienen en el usuario. Si el usuario se vuelve a agregar más adelante al área de trabajo, recupera sus permisos anteriores.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Usuarios, haga clic en Administrar.
- Busque el usuario y el menú kebab en el extremo derecho de la fila de usuario y seleccione Quitar.
- Haga clic en Delete (Eliminar) para confirmar.
Administración de usuarios mediante la API
Los administradores de cuentas y los administradores del área de trabajo pueden administrar usuarios en la cuenta y las áreas de trabajo de Azure Databricks mediante las API de Databricks.
Administración de usuarios en la cuenta mediante la API
Los administradores pueden agregar y administrar usuarios en la cuenta de Azure Databricks usando la API de Usuarios de cuenta. Los administradores de la cuenta y los administradores del área de trabajo invocan la API mediante una dirección URL de punto de conexión diferente:
- Los administradores de cuenta usan
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Los administradores de área de trabajo usan
{workspace-domain}/api/2.0/account/scim/v2/
.
Para obtener más información, consulte la API de usuarios de cuentas.
Administración de usuarios en el área de trabajo mediante la API
Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar usuarios a las áreas de trabajo habilitadas para la federación de identidades. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.
- Los administradores de cuenta usan
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Los administradores de área de trabajo usan
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
.
Consulta API de asignación de áreas de trabajo.
Si el área de trabajo no estuviera habilitada para la federación de identidades, un administrador del área de trabajo podrá usar las API de nivel de área de trabajo para asignar usuarios a sus áreas de trabajo. Consulte API de Usuarios del área de trabajo.