Gestisci utenti

Questo articolo illustra come aggiungere, aggiornare e rimuovere gli utenti di Azure Databricks.

Per una panoramica del modello di identità di Azure Databricks, vedere Identità di Azure Databricks.

Per gestire l'accesso per gli utenti, vedere Autenticazione e controllo di accesso.

Chi può gestire gli utenti?

Per gestire gli utenti in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro.

• Gli amministratori dell'account possono aggiungere utenti all'account e assegnarli ruoli di amministratore. Possono anche assegnare utenti alle aree di lavoro e configurare l'accesso ai dati tra aree di lavoro, purché tali aree di lavoro usino la federazione delle identità.

• Gli amministratori dell'area di lavoro possono aggiungere utenti a un'area di lavoro di Azure Databricks, assegnare loro il ruolo di amministratore dell'area di lavoro e gestire l'accesso a oggetti e funzionalità nell'area di lavoro, ad esempio la possibilità di creare cluster o accedere a ambienti specifici basati su persona. L'aggiunta di un utente a un'area di lavoro di Azure Databricks lo aggiunge anche all'account.

  Gli amministratori dell'area di lavoro sono membri del admins nell'area di lavoro, ossia un gruppo riservato che non può essere eliminato.

  Agli utenti con un ruolo Di collaboratore o proprietario predefinito di Azure o un ruolo personalizzato con le autorizzazioni di amministratore di Azure necessarie viene assegnato automaticamente il ruolo di amministratore dell'area di lavoro quando fanno clic su Avvia area di lavoro nel portale di Azure. Per altre informazioni, vedere Che cosa sono gli amministratori dell'area di lavoro?.

Sincronizza gli utenti sul tuo account Azure Databricks dal tenant di Microsoft Entra ID

È possibile sincronizzare gli utenti del tenant di Microsoft Entra ID all'account di Azure Databricks automaticamente o tramite un connettore di provisioning SCIM.

La gestione automatica delle identità (anteprima pubblica) consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Per informazioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

di provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Per istruzioni, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID con SCIM.

Aggiungere utenti al proprio account

Console dell'account

Gli amministratori dell'account possono aggiungere utenti all'account Azure Databricks usando la console dell'account. Gli utenti di un account Azure Databricks non hanno accesso predefinito a un'area di lavoro, ai dati o alle risorse di calcolo. Un utente non può appartenere a più di 50 account Azure Databricks.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Utenti fare clic su Aggiungi utente.
4. Immettere un nome e un indirizzo di posta elettronica per l'utente.
5. Fare clic su Aggiungi utente.

Impostazioni dell’amministratore dell’area di lavoro

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso .

4. Accanto a Utenti fare clic su Gestisci.

5. Fare clic su Aggiungi utente.

6. Fare clic su Aggiungi nuovo.

7. Immettere un indirizzo di posta elettronica per l'utente.

   È possibile aggiungere qualsiasi utente appartenente al tenant Microsoft Entra ID dell'area di lavoro di Azure Databricks. L'aggiunta di un nuovo utente all'area di lavoro aggiunge anche l'utente all'account Azure Databricks.

8. Fare clic su Aggiungi.

Assegnare i ruoli di amministratore dell'account a un utente

Nota

Nella pagina Dettagli utente vengono visualizzati solo i ruoli assegnati direttamente all'utente. I ruoli ereditati tramite l'appartenenza al gruppo sono attivi, ma gli interruttori non vengono visualizzati come abilitati nell'interfaccia utente.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Trovare e cliccare sul nome utente.
4. Nella scheda Ruoli selezionare uno o più ruoli.

Assegnare un utente a un'area di lavoro

Gli amministratori dell'account e gli amministratori dell'area di lavoro possono assegnare entità servizio a un'area di lavoro di Azure Databricks usando la console dell'account o la pagina delle impostazioni di amministrazione dell'area di lavoro.

Console dell'account

Per aggiungere utenti a un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni fare clic su Aggiungi autorizzazioni.
5. Cercare e selezionare l'utente, assegnare il livello di autorizzazione ( utente o amministratore dell'area di lavoro) e fare clic su Salva.

Impostazioni dell’amministratore dell’area di lavoro

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Utenti fare clic su Gestisci.
5. Fare clic su Aggiungi utente.
6. Selezionare un utente esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo utente.
7. Fare clic su Aggiungi.

Rimuovere un utente da un’area di lavoro

Quando un utente viene rimosso da un'area di lavoro, non può più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'area di lavoro, riacquista le autorizzazioni precedenti.

Console dell'account

Per rimuovere gli utenti da un'area di lavoro usando la console dell'account, l'area di lavoro deve essere abilitata per la federazione delle identità.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni trovare l'utente.
5. Fare clic Menu kebab all'estrema destra della riga dell'utente e selezionare Rimuovi.
6. Nella finestra di dialogo di conferma fare clic su Rimuovi.

Impostazioni dell’amministratore dell’area di lavoro

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Utenti fare clic su Gestisci.
5. Trova l'utente e l'icona del all'estrema destra della riga dell'utente e seleziona Rimuovi.
6. Fare clic su Elimina per confermare.

Assegnare il ruolo di amministratore dell'area di lavoro a un utente

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Utenti fare clic su Gestisci.
5. Selezionare l'utente.
6. Nella sezione Entitlements, attiva l'accesso amministrativo.

Per rimuovere il ruolo di amministratore dell'area di lavoro da un utente dell'area di lavoro, eseguire gli stessi passaggi, ma deselezionare l'interruttore Accesso amministratore .

Disattivare un utente

È possibile disattivare un utente a livello di account o area di lavoro.

Gli amministratori degli account possono disattivare gli utenti di un account Azure Databricks. La disattivazione impedisce all'utente di autenticare e accedere all'account, alle aree di lavoro o alle API di Databricks, ma non rimuove le autorizzazioni o gli oggetti. Questo è preferibile alla rimozione, che è un'azione distruttiva.

Effetti della disattivazione:

• L'utente non può autenticare o accedere all'interfaccia utente o alle API di Databricks.
• Le applicazioni o gli script che usano i token generati dall'utente non sono più in grado di accedere all'API Databricks. I token rimangono ma non possono essere usati per l'autenticazione mentre un utente viene disattivato.
• Le risorse di calcolo di proprietà dell'utente rimangono in esecuzione.
• I processi pianificati creati dall'utente hanno esito negativo a meno che non vengano assegnati a un nuovo proprietario.

Quando viene riattivato, l'utente recupera l'accesso con le stesse autorizzazioni.

Disattivazione a livello di account

Gli amministratori dell'account possono disattivare un utente nell'account Azure Databricks. Quando un utente viene disattivato a livello di account, non può eseguire l'autenticazione all'account Azure Databricks o a qualsiasi area di lavoro nell'account.

Non è possibile disattivare un utente usando la console dell'account. Invece, usa l'API Utenti dell'Account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Disattivazione a livello di area di lavoro

Quando un utente viene disattivato a livello di area di lavoro, non può eseguire l'autenticazione a tale area di lavoro specifica, ma può comunque eseguire l'autenticazione all'account e ad altre aree di lavoro nell'account.

Non è possibile disattivare un utente usando la pagina delle impostazioni di amministrazione dell'area di lavoro. Usare invece l'API Utenti dell'area di lavoro. Ad esempio:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Rimuovere gli utenti dall'account Azure Databricks

Gli amministratori degli account possono eliminare gli utenti da un account Azure Databricks. Gli amministratori dell'area di lavoro non possono. Quando si elimina un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro. Se si rimuove un utente usando la console dell'account, è necessario assicurarsi di rimuovere anche l'utente usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM riaggiunge l'utente alla sincronizzazione successiva. Vedere Sincronizzare utenti e gruppi da Microsoft Entra ID con SCIM.

Importante

Quando si rimuove un utente dall'account, tale utente viene rimosso anche dalle aree di lavoro, indipendentemente dal fatto che sia stata abilitata o meno la federazione delle identità. È consigliabile evitare di eliminare gli utenti a livello dell'account a meno che non si desideri che perdano l'accesso a tutte le aree di lavoro dell'account. Tenere presente le conseguenze seguenti dell'eliminazione degli utenti:

• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks.
• I compiti di proprietà dell'utente falliscono.
• I cluster di proprietà dell'utente si arrestano.
• Le librerie installate da tale utente non sono valide e devono essere reinstallate.
• Le query o i dashboard creati dall'utente e condivisi usando le credenziali Run as Owner devono essere assegnate a un nuovo proprietario per impedire che la condivisione abbia esito negativo.

Quando un utente viene rimosso da un account, non può più accedere all'account o alle sue aree di lavoro, ma le autorizzazioni vengono mantenute. Se l'utente viene aggiunto nuovamente all'account, riacquista le autorizzazioni precedenti.

Per rimuovere un utente tramite la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Trovare e cliccare sul nome utente.
4. Nella scheda Informazioni utente fare clic Menu kebab nell'angolo in alto a destra e selezionare Elimina.
5. Nella finestra di dialogo di conferma fare clic su Conferma eliminazione.

Nota

Quando la gestione automatica delle identità è abilitata, gli utenti che si trovano in Microsoft Entra ID sono visibili nella console dell'account. Il relativo stato viene visualizzato come Inattivo: nessun utilizzo e non può essere rimosso dall'elenco degli utenti. Non sono attivi nell'account e non vengono conteggiati rispetto ai limiti degli utenti.

Gestire gli utenti usando l'API

Gli amministratori dell'account e gli amministratori dell'area di lavoro possono gestire gli utenti nell'account e nelle aree di lavoro di Azure Databricks usando le API databricks.

Gestire gli utenti nell'account usando l'API

Gli amministratori possono aggiungere e gestire gli utenti nell'account Azure Databricks usando l'API Utenti account. Gli amministratori dell'account e gli amministratori dell'area di lavoro richiamano l'API usando un URL endpoint diverso:

• Gli amministratori degli account usano {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, vedere l'API Utenti dell'account.

Gestire gli utenti nell'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gli utenti alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

• Gli amministratori degli account usano {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Vedere API di assegnazione dell'area di lavoro.

Se l'area di lavoro non è abilitata per la federazione delle identità, un amministratore dell'area di lavoro può usare le API a livello di area di lavoro per assegnare gli utenti alle proprie aree di lavoro. Vedere API Utenti dell'area di lavoro.