Condividi tramite

Gestisci utenti

  • Articolo

Questo articolo illustra come aggiungere, aggiornare e rimuovere gli utenti di Azure Databricks.

Per una panoramica del modello di identità di Azure Databricks, consultare Identità di Azure Databricks.

Per gestire l'accesso degli utenti, consultare Autenticazione e controllo degli accessi.

Panoramica della gestione utenti

Per gestire gli utenti in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro.

  • Gli amministratori dell'account possono aggiungere utenti all'account e assegnare loro ruoli di amministratore. Possono anche assegnare gli utenti alle aree di lavoro e configurare l'accesso ai dati tra le aree di lavoro, a condizione che tali aree di lavoro utilizzino la federazione delle identità.

  • Gli amministratori dell'area di lavoro possono aggiungere utenti a un'area di lavoro di Azure Databricks, assegnare loro il ruolo di amministratore dell'area di lavoro e gestire l'accesso a oggetti e funzionalità nell'area di lavoro, ad esempio la possibilità di creare cluster o accedere ad ambienti basati su persone specificati. L'aggiunta di un utente a un'area di lavoro di Azure Databricks lo aggiunge anche all'account.

    Gli amministratori dell'area di lavoro sono membri del gruppo admins nell'area di lavoro, ossia un gruppo riservato che non può essere eliminato.

    Agli utenti con un ruolo incorporato di Collaboratore, Proprietario o personalizzato con l'autorizzazione Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action sulla risorsa area di lavoro in Azure viene assegnato automaticamente il ruolo di amministratore dell'area di lavoro quando fanno clic su Avvia area di lavoro nel portale Azure. Per altre informazioni, consultare Chi sono gli amministratori dell'area di lavoro?.

Importante

Databricks ha iniziato ad abilitare automaticamente le nuove aree di lavoro per la federazione delle identità e il catalogo Unity il 9 novembre 2023, con un'implementazione graduale tra gli account. Se l'area di lavoro è abilitata per la federazione delle identità per impostazione predefinita, non può essere disabilitata. Per altre informazioni, consultare Abilitazione automatica del catalogo Unity.

Sincronizzare gli utenti con l'account Azure Databricks dal tenant di Microsoft Entra ID

Gli amministratori dell'account possono sincronizzare gli utenti dal tenant di Microsoft Entra ID all'account Azure Databricks usando un connettore di provisioning SCIM.

Importante

Se si dispone già di connettori SCIM che sincronizzano le identità direttamente con le aree di lavoro, è necessario disattivare tali connettori SCIM quando si attiva il connettore SCIM a livello di account. Si veda Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro al livello di account.

Per istruzioni, consultare Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID.

Gestire gli utenti nel proprio account

Gli amministratori degli account possono aggiungere utenti all'account Azure Databricks utilizzando la console degli account. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo.

Aggiungere utenti all'account utilizzando la console dell'account

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Gestione utenti.
  3. Nella pagina Utenti fare clic su Aggiungi utente.
  4. Immettere un nome e un indirizzo di posta elettronica per l'utente.
  5. Fare clic su Add User.

Nota

Un utente non può appartenere a più di 50 account Azure Databricks.

Per concedere agli utenti l'accesso a un'area di lavoro, è necessario aggiungerli all'area di lavoro. Consultare Gestire utenti nell'area di lavoro.

Assegnare i ruoli di amministratore dell'account a un utente

  1. Come amministratore dell'account, accedere alla console dell'account.

  2. Nella barra laterale, fare clic su Gestione utenti.

  3. Trovare e cliccare sul nome utente.

  4. Nella scheda Ruoli attivare Amministratore account, Amministratore del Marketplace o Amministratore fatturazione.

Assegnare un utente a un'area di lavoro usando la console dell'account

Per aggiungere utenti a un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Gli amministratori dell'area di lavoro possono anche assegnare gli utenti alle aree di lavoro utilizzando la pagina delle impostazioni di amministrazione dell'area di lavoro. Si veda Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Aree di lavoro.
  3. Fare clic sul nome dell'area di lavoro.
  4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
  5. Cercare e selezionare l'utente, assegnare il livello di autorizzazione (Utente o Amministratore dell'area di lavoro) e fare clic su Salva.

Rimuovere un utente da un'area di lavoro usando la console dell'account

Per rimuovere utenti da un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Quando un utente viene rimosso da un'area di lavoro, non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'area di lavoro, riacquista le autorizzazioni precedenti.

  1. Come amministratore dell'account, accedere alla console dell'account
  2. Nella barra laterale, fare clic su Aree di lavoro.
  3. Fare clic sul nome dell'area di lavoro.
  4. Nella scheda Autorizzazioni trovare l'utente.
  5. Fare clic sul menu kebab Menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
  6. Nella finestra di dialogo di conferma, fare clic su Rimuovi.

Disattivare un utente nel proprio account Azure Databricks

Gli amministratori degli account possono disattivare gli utenti di un account Azure Databricks. Un utente disattivato non può accedere all'account o alle aree di lavoro di Azure Databricks. Tuttavia, tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato, si verifica quanto segue:

  • L'utente non può accedere all'account o a una qualsiasi delle sue aree di lavoro con nessun metodo.
  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
  • I notebook di proprietà dell'utente rimangono invariati.
  • I cluster di proprietà dell'utente rimangono in esecuzione.
  • I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere ad Azure Databricks con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti dall'account invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva. Lo stato di un utente disattivato è contrassegnato come Inattivo nella console dell'account. È anche possibile disattivare un utente da un'area di lavoro specifica. Consultare Disattivare un utente nella propria area di lavoro Azure Databricks.

Non è possibile disattivare un utente usando la console dell'account. Usare invece l'API Utenti account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Rimuovere utenti dall'account Azure Databricks

Gli amministratori degli account possono eliminare gli utenti da un account Azure Databricks. Gli amministratori dell'area di lavoro non possono. Quando si elimina un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro.

Importante

Quando si rimuove un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. È consigliabile evitare di eliminare gli utenti a livello dell'account a meno che non si desideri che perdano l'accesso a tutte le aree di lavoro dell'account. Tenere presente le conseguenze seguenti dell'eliminazione degli utenti:

  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
  • I processi di proprietà dell'utente hanno esito negativo
  • I cluster di proprietà dell'utente si arrestano
  • Le query o i dashboard creati dall'utente e condivisi tramite le credenziali Esegui come proprietario devono essere assegnati a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Quando un utente viene rimosso da un account, non può più accedere all'account o alle sue aree di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'account, riacquista le autorizzazioni precedenti.

Per rimuovere un utente tramite la console dell'account, eseguire le operazioni seguenti:

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Nella barra laterale, fare clic su Gestione utenti.
  3. Trovare e cliccare sul nome utente.
  4. Nella scheda Informazioni utente, fare clic sul menu a kebab Menu kebab nell'angolo in alto a destra e selezionare Elimina.
  5. Nella finestra di dialogo di conferma, fare clic su Conferma eliminazione.

Se si rimuove un utente usando la console dell'account, è necessario assicurarsi di rimuovere anche l'utente usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiunge di nuovo l'utente alla successiva sincronizzazione. Consultare Sincronizzare utenti e gruppi da Microsoft Entra ID.

Per rimuovere un utente da un account Azure Databricks usando le API SCIM, è necessario essere un amministratore dell'account. Consultare Sincronizzare utenti e gruppi con l'account Azure Databricks e l'API Gruppi di account.

Gestire utenti nell'area di lavoro

Gli amministratori dell'area di lavoro possono aggiungere e gestire gli utenti usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Assegnare un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per aggiungere un utente a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro attenersi ai seguenti passaggi:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.

  3. Fare clic sulla scheda Identità e accesso.

  4. Accanto a Utenti fare clic su Gestisci.

  5. Fare clic su Add User.

  6. Selezionare un utente esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo utente.

    È possibile aggiungere qualsiasi utente appartenente al tenant Microsoft Entra ID dell'area di lavoro di Azure Databricks. L'aggiunta di un nuovo utente all'area di lavoro aggiunge anche l'utente all'account Azure Databricks.

  7. Fare clic su Aggiungi.

Nota

Se l'area di lavoro non è abilitata per la federazione delle identità, viene visualizzata solo l'opzione per aggiungere un nuovo utente all'area di lavoro. Se si aggiunge un utente che condivide un nome utente (indirizzo di posta elettronica) con un utente di un account esistente, tali utenti vengono uniti.

Assegnare il ruolo di amministratore dell'area di lavoro a un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare il ruolo di amministratore dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro attenersi ai seguenti passaggi:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Utenti fare clic su Gestisci.
  5. Selezionare l'utente.
  6. Fare clic sulla scheda Diritti di proprietà.
  7. Fare clic sull'interruttore accanto ad Accesso amministratore.

Per rimuovere il ruolo di amministratore dell'area di lavoro da un utente dell'area di lavoro, eseguire gli stessi passaggi, ma deselezionare l'interruttore Accesso amministratore.

Disattivare un utente nella propria area di lavoro Azure Databricks

Gli amministratori dell'area di lavoro possono disattivare gli utenti in un'area di lavoro di Azure Databricks. Un utente disattivato non può accedere all'area di lavoro o accedervi dalle API di Azure Databricks, ma tutte le autorizzazioni e gli oggetti dell'area di lavoro dell'utente rimangono invariati. Quando un utente viene disattivato:

  • L'utente non può accedere alle aree di lavoro con nessun metodo.
  • Lo stato dell'utente viene visualizzato come Inattivo nella pagina delle impostazioni di amministrazione dell'area di lavoro.
  • Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
  • I notebook di proprietà dell'utente rimangono invariati.
  • I cluster di proprietà dell'utente rimangono in esecuzione.
  • I processi pianificati creati dall'utente devono essere assegnati a un nuovo proprietario per impedirne l'esito negativo.

Quando un utente viene riattivato, può accedere all'area di lavoro con le stesse autorizzazioni. Databricks consiglia di disattivare gli utenti invece di rimuoverli perché la rimozione di un utente è un'azione distruttiva. Non è possibile disattivare un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro. Usare invece l'API Utenti aree di lavoro. Ad esempio:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Rimuovere un utente da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Quando un utente viene rimosso da un'area di lavoro, non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'area di lavoro, riacquista le autorizzazioni precedenti.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Utenti fare clic su Gestisci.
  5. Trovare l'utente e il menu a kebab Menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
  6. Fare clic su Elimina per confermare.

Gestire gli utenti usando l'API

Gli amministratori dell'account e gli amministratori dell'area di lavoro possono gestire gli utenti nell'account e nelle aree di lavoro di Azure Databricks usando le API databricks.

Gestire gli utenti nell'account usando l'API

Gli amministratori possono aggiungere e gestire gli utenti nell'account Azure Databricks usando l'API Utenti account. Gli amministratori dell'account e gli amministratori dell'area di lavoro richiamano l'API usando un URL endpoint diverso:

  • Gli amministratori degli account usano {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, vedere l' API Utenti account.

Gestire gli utenti nell'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gli utenti alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

  • Gli amministratori degli account usano {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Vedere API di assegnazione dell'area di lavoro.

Se l'area di lavoro non è abilitata per la federazione delle identità, un amministratore dell'area di lavoro può usare le API a livello di area di lavoro per assegnare gli utenti alle proprie aree di lavoro. Vedere API Utenti dell'area di lavoro.