Felhasználók kezelése

  • Cikk

Ez a cikk bemutatja, hogyan vehet fel, frissíthet és távolíthat el Azure Databricks-felhasználókat.

Az Azure Databricks identitásmodelljének áttekintéséért tekintse meg az Azure Databricks-identitásokat.

A felhasználók hozzáférésének kezelésével kapcsolatban lásd : Hitelesítés és hozzáférés-vezérlés.

Felhasználókezelés áttekintése

Az Azure Databricks felhasználóinak kezeléséhez fiókadminisztrátornak vagy munkaterület-rendszergazdának kell lennie.

  • A fiókadminisztrátor felhasználókat vehet fel a fiókba, és rendszergazdai szerepköröket rendelhet hozzájuk. Felhasználókat is hozzárendelhetnek a munkaterületekhez, és konfigurálhatják az adathozzáférést a munkaterületeken, amennyiben ezek a munkaterületek identitás-összevonást használnak.

  • A Munkaterület-rendszergazdák ozzáadhatnak felhasználókat egy Azure Databricks-munkaterülethez, hozzárendelhetik őket a munkaterületi adminisztrátori szerepkörhöz, és kezelhetik a munkaterület objektumaihoz és funkcióihoz való hozzáférést, például fürtök létrehozását vagy adott személyalapú környezetekhez való hozzáférést. Ha hozzáad egy felhasználót egy Azure Databricks-munkaterülethez, azt is hozzáadja a fiókhoz.

    A munkaterület rendszergazdái a admins csoport tagjai a munkaterületen, amely egy fenntartott csoport, amely nem törölhető.

    Az Azure-beli munkaterület-erőforrás beépített közreműködői vagy tulajdonosi szerepkörrel rendelkező felhasználói automatikusan hozzárendelik a munkaterület-rendszergazdai szerepkört, amikor az Azure PortalOn a Munkaterület indítása gombra kattintanak. További információ: Mik azok a munkaterület-rendszergazdák?

Fontos

Ha a fiókja 2023. november 9. után lett létrehozva, az identitás-összevonás alapértelmezés szerint engedélyezve van az összes új munkaterületen, és nem tiltható le.

Felhasználók szinkronizálása az Azure Databricks-fiókhoz a Microsoft Entra-azonosító (korábbi nevén Azure Active Directory) bérlőjéről

A fiókadminisztrátorai egy SCIM-kiépítési összekötő használatával szinkronizálhatják a felhasználókat a Microsoft Entra ID (korábbi nevén Azure Active Directory) bérlőről az Azure Databricks-fiókba.

Fontos

Ha már rendelkezik olyan SCIM-összekötőkkel, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel, akkor le kell tiltania ezeket az SCIM-összekötőket, ha engedélyezve van a fiókszintű SCIM-összekötő. Lásd: Munkaterületszintű SCIM-kiépítés áttelepítése a fiókszintre.

Útmutatásért lásd : Identitások kiépítése Az Azure Databricks-fiókhoz a Microsoft Entra ID használatával.

A fiók felhasználóinak kezelése

A fiókgazdák a fiókkonzol használatával adhatnak hozzá felhasználókat az Azure Databricks-fiókhoz. Az Azure Databricks-fiók felhasználói nem rendelkeznek alapértelmezett hozzáféréssel munkaterülethez, adatokhoz vagy számítási erőforrásokhoz.

Felhasználók hozzáadása a fiókjához a fiókkonzol használatával

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Felhasználók lapon kattintson a Felhasználó hozzáadása elemre.
  4. Adja meg a felhasználó nevét és e-mail-címét.
  5. Kattintson a Felhasználó hozzáadása parancsra.

Feljegyzés

Egy felhasználó legfeljebb 50 Azure Databricks-fiókhoz tartozhat.

Ha hozzáférést szeretne adni a felhasználóknak egy munkaterülethez, hozzá kell adnia őket a munkaterülethez. Lásd: Felhasználók kezelése a munkaterületen.

Fiókadminisztrátori szerepkörök hozzárendelése egy felhasználóhoz

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. Keresse meg és kattintson a felhasználónévre.
  4. A Szerepkörök lapon kapcsolja be a Fiókadminisztrátor vagy a Marketplace-rendszergazda funkciót.

Felhasználó hozzárendelése munkaterülethez a fiókkonzol használatával

Ha felhasználókat szeretne hozzáadni egy munkaterülethez a fiókkonzol használatával, engedélyezni kell a munkaterületet az identitás-összevonáshoz. A munkaterület rendszergazdái a munkaterület rendszergazdai beállításainak lapjával felhasználókat is hozzárendelhetnek a munkaterületekhez. Lásd: Felhasználó hozzárendelése munkaterülethez a munkaterület rendszergazdai beállításai lapon.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. A Permissions (Engedélyek) lapon kattintson az Add permissions (Engedélyek hozzáadása) lehetőségre.
  5. Keresse meg és jelölje ki a felhasználót, rendelje hozzá az engedélyszintet (munkaterület felhasználója vagy Rendszergazda), majd kattintson a Mentés gombra.

Felhasználó eltávolítása munkaterületről a fiókkonzol használatával

Ha a fiókkonzol használatával el szeretné távolítani a felhasználókat egy munkaterületről, engedélyezni kell a munkaterületet az identitás-összevonáshoz. Ha egy felhasználót eltávolít egy munkaterületről, a felhasználó már nem férhet hozzá a munkaterülethez, de az engedélyek megmaradnak a felhasználón. Ha a felhasználó később visszakerül a munkaterületre, visszanyeri korábbi engedélyeit.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolba
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. Az Engedélyek lapon keresse meg a felhasználót.
  5. Kattintson a Kebab menü felhasználói sor jobb szélén található kebab menüre, és válassza az Eltávolítás lehetőséget.
  6. A megerősítést kérő párbeszédpanelen kattintson az Eltávolítás gombra.

Felhasználó inaktiválása az Azure Databricks-fiókban

A fiókadminisztrátorok inaktiválhatják a felhasználókat egy Azure Databricks-fiókban. Az inaktivált felhasználók nem tudnak bejelentkezni az Azure Databricks-fiókba vagy -munkaterületekre. A felhasználó összes engedélye és munkaterület-objektuma azonban változatlan marad. Ha egy felhasználó inaktiválva van, a következő igaz:

  • A felhasználó semmilyen módszerrel nem tud bejelentkezni a fiókba vagy munkaterületére.
  • A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-hoz. A jogkivonatok megmaradnak, de nem használhatók hitelesítésre a felhasználó inaktiválása során.
  • A felhasználó tulajdonában lévő jegyzetfüzetek megmaradnak.
  • A felhasználó tulajdonában lévő fürtök továbbra is futnak.
  • A felhasználó által létrehozott ütemezett feladatokat egy új tulajdonoshoz kell hozzárendelni, hogy ne legyenek sikertelenek.

Amikor egy felhasználó újraaktiválódik, ugyanazokkal az engedélyekkel jelentkezhet be az Azure Databricksbe. A Databricks azt javasolja, hogy távolítsa el a felhasználókat a fiókból ahelyett, hogy eltávolítaná őket, mert a felhasználók eltávolítása romboló művelet.

A fiókkonzol használatával nem inaktiválhat felhasználót. Ehelyett használja a Fiókfelhasználók API-t. Lásd: Felhasználó inaktiválása az Azure Databricks-fiókban az API használatával.

Felhasználók eltávolítása az Azure Databricks-fiókból

A fiókadminisztrátor törölheti a felhasználókat egy Azure Databricks-fiókból. A munkaterület rendszergazdái nem. Amikor töröl egy felhasználót a fiókból, a rendszer eltávolítja a felhasználót a munkaterületéről is.

Fontos

Amikor eltávolít egy felhasználót a fiókból, a rendszer eltávolítja a felhasználót a munkaterületéről is, függetlenül attól, hogy engedélyezve lett-e az identitás-összevonás. Javasoljuk, hogy ne törölje a fiókszintű felhasználókat, hacsak nem szeretné, hogy elveszítik a hozzáférésüket a fiók összes munkaterületéhez. Vegye figyelembe a felhasználók törlésének következő következményeit:

  • A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-khoz
  • A felhasználó tulajdonában lévő feladatok meghiúsulnak
  • A felhasználó által birtokolt fürtök leállítása
  • A felhasználó által létrehozott és a Futtatás tulajdonosként hitelesítő adatokkal megosztott lekérdezéseket vagy irányítópultokat egy új tulajdonoshoz kell hozzárendelni, hogy ne legyen sikertelen a megosztás

Amikor eltávolít egy felhasználót egy fiókból, a felhasználó már nem férhet hozzá a fiókhoz vagy a munkaterületekhez, azonban az engedélyek megmaradnak a felhasználón. Ha a felhasználó később visszakerül a fiókba, visszanyeri korábbi engedélyeit.

Ha el szeretne távolítani egy felhasználót a fiókkonzol használatával, tegye a következőket:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. Keresse meg és kattintson a felhasználónévre.
  4. A Felhasználói adatok lapon kattintson aKebab menükebab menüre a jobb felső sarokban, és válassza a Törlés lehetőséget.
  5. A megerősítést kérő párbeszédpanelen kattintson a Törlés megerősítése gombra.

Ha eltávolít egy felhasználót a fiókkonzol használatával, győződjön meg arról, hogy a felhasználót a fiókhoz beállított SCIM-kiépítési összekötőkkel vagy SCIM API-alkalmazásokkal is eltávolítja. Ha nem, az SCIM-kiépítés a következő szinkronizáláskor hozzáadja a felhasználót. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból.

Ha scim API-k használatával szeretne eltávolítani egy felhasználót egy Azure Databricks-fiókból, fiókadminisztrátornak kell lennie. Lásd : Identitások kiépítése az Azure Databricks-fiókhoz és a Fiókcsoportok API-hoz.

A munkaterület felhasználóinak kezelése

A munkaterület rendszergazdái a munkaterület rendszergazdai beállításainak lapján adhatnak hozzá és kezelhetnek felhasználókat.

Felhasználó hozzárendelése munkaterülethez a munkaterület rendszergazdai beállításainak lapjával

Ha felhasználót szeretne hozzáadni egy munkaterülethez a munkaterület rendszergazdai beállításainak lapjával, tegye a következőket:

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.

  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Gépház.

  3. Kattintson az Identitás és hozzáférés lapra.

  4. A Felhasználók elem mellett kattintson a Kezelés gombra.

  5. Kattintson az Add User (Felhasználó hozzáadása) elemre.

  6. Válasszon ki egy meglévő felhasználót a munkaterülethez való hozzárendeléshez, vagy kattintson az Új hozzáadása gombra egy új felhasználó létrehozásához.

    Hozzáadhat minden olyan felhasználót, aki az Azure Databricks-munkaterület Microsoft Entra-azonosítójához (korábbi nevén Azure Active Directory) tartozik.

  7. Kattintson a Hozzáadás gombra.

Feljegyzés

Ha a munkaterület nincs engedélyezve az identitás-összevonáshoz, csak egy új felhasználót vehet fel a munkaterületre. Ha olyan felhasználót ad hozzá, aki megoszt egy felhasználónevet (e-mail-címet) egy meglévő fiókfelhasználóval, a rendszer egyesíti ezeket a felhasználókat.

A munkaterület rendszergazdai szerepkörének hozzárendelése egy felhasználóhoz a munkaterület rendszergazdai beállítások lapján

Ha a munkaterület rendszergazdai szerepkörét a munkaterület rendszergazdai beállításai lapon szeretné hozzárendelni, tegye a következőket:

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Gépház.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Felhasználók elem mellett kattintson a Kezelés gombra.
  5. Válassza ki a felhasználót.
  6. Kattintson a Jogosultságok fülre.
  7. Kattintson a Rendszergazda hozzáférés melletti kapcsolóra.

Ha el szeretné távolítani a munkaterület-rendszergazdai szerepkört egy munkaterület-felhasználótól, hajtsa végre ugyanazokat a lépéseket, de törölje a Rendszergazda hozzáférési kapcsolót.

Felhasználó inaktiválása az Azure Databricks-munkaterületen

A munkaterület rendszergazdái inaktiválhatják a felhasználókat egy Azure Databricks-munkaterületen. Az inaktivált felhasználók nem tudnak bejelentkezni a munkaterületre, és nem férhetnek hozzá az Azure Databricks API-kból, azonban a felhasználó összes engedélye és munkaterület-objektuma változatlan marad. Ha egy felhasználó inaktiválva van:

  • A felhasználó semmilyen módszerrel nem tud bejelentkezni a munkaterületekre.
  • A felhasználó állapota inaktívként jelenik meg a munkaterület rendszergazdai beállítási lapján.
  • A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-hoz. A jogkivonatok megmaradnak, de nem használhatók hitelesítésre a felhasználó inaktiválása során.
  • A felhasználó tulajdonában lévő jegyzetfüzetek megmaradnak.
  • A felhasználó tulajdonában lévő fürtök továbbra is futnak.
  • A felhasználó által létrehozott ütemezett feladatokat egy új tulajdonoshoz kell hozzárendelni, hogy ne legyenek sikertelenek.

Amikor egy felhasználó újraaktiválódik, ugyanazokkal az engedélyekkel jelentkezhet be a munkaterületre. A Databricks javasolja a felhasználók inaktiválását ahelyett, hogy eltávolítaná őket, mert a felhasználók eltávolítása romboló művelet. Nem inaktiválhat egy felhasználót a munkaterület rendszergazdai beállításainak lapján. Ehelyett használja a Workspace Users API-t. Lásd: Felhasználó inaktiválása az Azure Databricks-munkaterületen az API használatával.

Felhasználó eltávolítása munkaterületről a munkaterület rendszergazdai beállításainak lapjával

Ha egy felhasználót eltávolít egy munkaterületről, a felhasználó már nem férhet hozzá a munkaterülethez, de az engedélyek megmaradnak a felhasználón. Ha a felhasználó később visszakerül a munkaterületre, visszanyeri korábbi engedélyeit.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Gépház.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Felhasználók elem mellett kattintson a Kezelés gombra.
  5. Keresse meg a felhasználó és Kebab menü a kebab menüt a felhasználói sor jobb szélén, és válassza az Eltávolítás lehetőséget.
  6. A megerősítéshez kattintson a Törlés gombra.

Felhasználók kezelése az API használatával

A fiókadminisztrátor és a munkaterület rendszergazdái a Databricks API-k használatával kezelhetik az Azure Databricks-fiókban és a munkaterületeken lévő felhasználókat.

A fiók felhasználóinak kezelése az API használatával

Rendszergazda az Azure Databricks-fiók felhasználóit a Fiókfelhasználók API-val lehet hozzáadni és kezelni. A fiókadminisztrátor és a munkaterület rendszergazdái egy másik végpont URL-cím használatával hívják meg az API-t:

  • Fiókadminisztrátorokat használnak {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • A munkaterület rendszergazdái ezt használják {workspace-domain}/api/2.0/account/scim/v2/.

További részletekért tekintse meg a Fiókfelhasználók API-t.

Felhasználó inaktiválása az Azure Databricks-fiókban az API használatával

A fiókadminisztrátor módosíthatja a felhasználók állapotát, hogy inaktiválja a felhasználót a Fiókfelhasználók API használatával. Példa:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Az inaktivált felhasználó állapota inaktívként van megjelölve a fiókkonzolon.

Ha inaktivál egy felhasználót a fiókból, a rendszer a munkaterületről is inaktiválja a felhasználót.

Felhasználók kezelése a munkaterületen az API használatával

A fiók- és munkaterület-rendszergazdák a Munkaterület-hozzárendelés API használatával rendelhetnek hozzá felhasználókat az identitás-összevonáshoz engedélyezett munkaterületekhez. A munkaterület-hozzárendelési API az Azure Databricks-fiókon és -munkaterületeken keresztül támogatott.

  • Fiókadminisztrátorokat használnak {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • A munkaterület rendszergazdái ezt használják {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Lásd: Munkaterület-hozzárendelési API.

Ha a munkaterület nincs engedélyezve az identitás-összevonáshoz, a munkaterület rendszergazdája a munkaterületszintű API-k használatával rendelhet hozzá felhasználókat a munkaterületekhez. Lásd a Munkaterület felhasználói API-t.

Felhasználó inaktiválása az Azure Databricks-munkaterületen az API használatával

A munkaterület rendszergazdái módosíthatják a felhasználók állapotát, hogy inaktiválják a felhasználót a Workspace Users API használatával. Példa:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Az inaktivált felhasználó állapota inaktívként van megjelölve a munkaterület rendszergazdai beállításainak lapján.