Gebruikers beheren
In dit artikel wordt uitgelegd hoe u Azure Databricks-gebruikers toevoegt, bijwerkt en verwijdert.
Zie Azure Databricks-identiteiten voor een overzicht van het Azure Databricks-identiteitsmodel.
Als u de toegang voor gebruikers wilt beheren, raadpleegt u Verificatie en toegangsbeheer.
Overzicht van gebruikersbeheer
Als u gebruikers in Azure Databricks wilt beheren, moet u een accountbeheerder of werkruimtebeheerder zijn.
Accountbeheerders kunnen gebruikers toevoegen aan het account en hen beheerdersrollen toewijzen. Ze kunnen gebruikers ook toewijzen aan werkruimten en gegevenstoegang voor hen configureren in werkruimten, zolang die werkruimten identiteitsfederatie gebruiken.
Werkruimtebeheerders kunnen gebruikers toevoegen aan een Azure Databricks-werkruimte, hen de rol werkruimtebeheerder toewijzen en de toegang tot objecten en functionaliteit in de werkruimte beheren, zoals de mogelijkheid om clusters te maken of opgegeven op personen gebaseerde omgevingen te openen. Als u een gebruiker toevoegt aan een Azure Databricks-werkruimte, wordt deze ook toegevoegd aan het account.
Werkruimtebeheerders zijn leden van de
admins
groep in de werkruimte. Dit is een gereserveerde groep die niet kan worden verwijderd.Gebruikers met een ingebouwde inzender, eigenaar of aangepaste rol met de
Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
machtiging voor de werkruimteresource in Azure krijgen automatisch de rol werkruimtebeheerder toegewezen wanneer ze klikken op Werkruimte starten in Azure Portal. Zie Wat zijn werkruimtebeheerders? voor meer informatie.
Belangrijk
Databricks begon op 9 november 2023 automatisch nieuwe werkruimten in te schakelen voor identiteitsfederatie en Unity Catalog, met een implementatie die geleidelijk verloopt tussen accounts. Als uw werkruimte standaard is ingeschakeld voor identiteitsfederatie, kan deze niet worden uitgeschakeld. Zie Automatische activering van Unity Catalog voor meer informatie.
Gebruikers synchroniseren met uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant
Accountbeheerders kunnen gebruikers van uw Microsoft Entra ID-tenant synchroniseren met uw Azure Databricks-account met behulp van een SCIM-inrichtingsconnector.
Belangrijk
Als u al SCIM-connectors hebt die identiteiten rechtstreeks met uw werkruimten synchroniseren, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau.
Zie Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id voor instructies.
Gebruikers in uw account beheren
Accountbeheerders kunnen gebruikers toevoegen aan uw Azure Databricks-account met behulp van de accountconsole. Gebruikers in een Azure Databricks-account hebben geen standaardtoegang tot een werkruimte, gegevens of rekenresources.
Gebruikers toevoegen aan uw account met behulp van de accountconsole
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Klik op het tabblad Gebruikers op Gebruiker toevoegen.
- Voer een naam en e-mailadres in voor de gebruiker.
- Klik op Gebruiker toevoegen.
Notitie
Een gebruiker kan niet tot meer dan 50 Azure Databricks-accounts behoren.
Als u gebruikers toegang wilt geven tot een werkruimte, moet u ze toevoegen aan de werkruimte. Zie Gebruikers beheren in uw werkruimte.
Accountbeheerdersrollen toewijzen aan een gebruiker
Meld u als accountbeheerder aan bij de accountconsole.
Klik in de zijbalk op Gebruikersbeheer.
Zoek en klik op de gebruikersnaam.
Schakel op het tabblad Rollen accountbeheerder, Marketplace-beheerder of factureringsbeheerder in.
Een gebruiker toewijzen aan een werkruimte met behulp van de accountconsole
Als u gebruikers wilt toevoegen aan een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Werkruimtebeheerders kunnen gebruikers ook toewijzen aan werkruimten met behulp van de pagina met werkruimtebeheerinstellingen. Zie Een gebruiker toewijzen aan een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders.
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Werkruimten.
- Klik op de naam van uw werkruimte.
- Klik op het tabblad Permissions (Machtigingen) op Add permissions (Machtigingen toevoegen).
- Zoek en selecteer de gebruiker, wijs het machtigingsniveau toe (werkruimtegebruiker of beheerder) en klik op Opslaan.
Een gebruiker verwijderen uit een werkruimte met behulp van de accountconsole
Als u gebruikers uit een werkruimte wilt verwijderen met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Wanneer een gebruiker uit een werkruimte wordt verwijderd, heeft de gebruiker geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan de werkruimte, krijgen ze weer de vorige machtigingen.
- Meld u als accountbeheerder aan bij de accountconsole
- Klik in de zijbalk op Werkruimten.
- Klik op de naam van uw werkruimte.
- Zoek de gebruiker op het tabblad Machtigingen .
- Klik helemaal rechts in de rij van de gebruiker op het menu van De resource en selecteer Verwijderen.
- Klik in het bevestigingsvenster op Verwijderen.
Een gebruiker deactiveren in uw Azure Databricks-account
Accountbeheerders kunnen gebruikers deactiveren in een Azure Databricks-account. Een gedeactiveerde gebruiker kan zich niet aanmelden bij het Azure Databricks-account of de werkruimten. Alle machtigingen en werkruimteobjecten van de gebruiker blijven echter ongewijzigd. Wanneer een gebruiker is gedeactiveerd, is het volgende waar:
- De gebruiker kan zich niet aanmelden bij het account of een van hun werkruimten vanuit een willekeurige methode.
- Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot de Databricks-API. De tokens blijven behouden, maar kunnen niet worden gebruikt om te verifiëren terwijl een gebruiker wordt gedeactiveerd.
- Notitieblokken waarvan de gebruiker eigenaar is, blijven behouden.
- Clusters die eigendom zijn van de gebruiker, blijven actief.
- Geplande taken die door de gebruiker zijn gemaakt, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat ze mislukken.
Wanneer een gebruiker opnieuw wordt geactiveerd, kan deze zich met dezelfde machtigingen aanmelden bij Azure Databricks. Databricks raadt aan om gebruikers uit het account te deactiveren in plaats van ze te verwijderen, omdat het verwijderen van een gebruiker een destructieve actie is. De status van een gedeactiveerde gebruiker wordt inactief gelabeld in de accountconsole. U kunt een gebruiker ook deactiveren vanuit een specifieke werkruimte. Zie Een gebruiker deactiveren in uw Azure Databricks-werkruimte.
U kunt een gebruiker niet deactiveren met behulp van de accountconsole. Gebruik in plaats daarvan de API accountgebruikers. Voorbeeld:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Gebruikers verwijderen uit uw Azure Databricks-account
Accountbeheerders kunnen gebruikers verwijderen uit een Azure Databricks-account. Werkruimtebeheerders kunnen dat niet. Wanneer u een gebruiker verwijdert uit het account, wordt die gebruiker ook verwijderd uit hun werkruimten.
Belangrijk
Wanneer u een gebruiker uit het account verwijdert, wordt die gebruiker ook verwijderd uit hun werkruimten, ongeacht of de identiteitsfederatie al dan niet is ingeschakeld. U wordt aangeraden gebruikers op accountniveau te verwijderen, tenzij u wilt dat ze geen toegang meer hebben tot alle werkruimten in het account. Houd rekening met de volgende gevolgen van het verwijderen van gebruikers:
- Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot Databricks-API's
- Taken die eigendom zijn van de gebruiker mislukken
- Clusters waarvan de gebruiker eigenaar is, stoppen
- Query's of dashboards die zijn gemaakt door de gebruiker en die zijn gedeeld met de referenties Uitvoeren als eigenaar, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat delen mislukt
Wanneer een gebruiker uit een account wordt verwijderd, heeft de gebruiker geen toegang meer tot het account of zijn werkruimten, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan het account, krijgen ze weer hun vorige machtigingen.
Ga als volgt te werk om een gebruiker te verwijderen met behulp van de accountconsole:
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Zoek en klik op de gebruikersnaam.
- Klik op hettabbladmenu in de rechterbovenhoek en selecteer Verwijderen.
- Klik in het bevestigingsvenster op Verwijderen bevestigen.
Als u een gebruiker verwijdert met behulp van de accountconsole, moet u ervoor zorgen dat u de gebruiker ook verwijdert met behulp van SCIM-inrichtingsconnectors of SCIM API-toepassingen die zijn ingesteld voor het account. Als u dit niet doet, voegt SCIM-inrichting de gebruiker weer toe wanneer deze de volgende keer wordt gesynchroniseerd. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id.
Als u een gebruiker wilt verwijderen uit een Azure Databricks-account met behulp van SCIM-API's, moet u een accountbeheerder zijn. Zie Gebruikers en groepen synchroniseren met uw Azure Databricks-account en de API accountgroepen.
Gebruikers in uw werkruimte beheren
Werkruimtebeheerders kunnen gebruikers toevoegen en beheren met behulp van de pagina met werkruimtebeheerdersinstellingen.
Een gebruiker toewijzen aan een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders
Ga als volgt te werk om een gebruiker toe te voegen aan een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen:
Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
Klik op het tabblad Identiteit en toegang .
Klik naast Gebruikers op Beheren.
Klik op Add User.
Selecteer een bestaande gebruiker die u wilt toewijzen aan de werkruimte of klik op Nieuwe toevoegen om een nieuwe gebruiker te maken.
U kunt elke gebruiker toevoegen die deel uitmaakt van de Microsoft Entra ID-tenant van uw Azure Databricks-werkruimte. Als u een nieuwe gebruiker aan uw werkruimte toevoegt, wordt de gebruiker ook toegevoegd aan uw Azure Databricks-account.
Klik op Toevoegen.
Notitie
Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, ziet u alleen de optie om een nieuwe gebruiker toe te voegen aan de werkruimte. Als u een gebruiker toevoegt die een gebruikersnaam (e-mailadres) deelt met een bestaande accountgebruiker, worden deze gebruikers samengevoegd.
De beheerdersrol van de werkruimte toewijzen aan een gebruiker met behulp van de pagina met werkruimtebeheerdersinstellingen
Ga als volgt te werk om de beheerdersrol van de werkruimte toe te wijzen met behulp van de pagina met instellingen voor werkruimtebeheerders:
- Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
- Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
- Klik op het tabblad Identiteit en toegang .
- Klik naast Gebruikers op Beheren.
- Selecteer de gebruiker.
- Klik op het tabblad Rechten .
- Klik op de wisselknop naast beheerderstoegang.
Als u de beheerdersrol van de werkruimte van een werkruimtegebruiker wilt verwijderen, voert u dezelfde stappen uit, maar schakelt u de wisselknop voor beheerderstoegang uit.
Een gebruiker deactiveren in uw Azure Databricks-werkruimte
Werkruimtebeheerders kunnen gebruikers deactiveren in een Azure Databricks-werkruimte. Een gedeactiveerde gebruiker kan zich niet aanmelden bij de werkruimte of deze openen vanuit Azure Databricks-API's, maar alle machtigingen en werkruimteobjecten van de gebruiker blijven ongewijzigd. Wanneer een gebruiker is gedeactiveerd:
- De gebruiker kan zich vanaf elke methode niet aanmelden bij de werkruimten.
- De status van de gebruiker wordt weergegeven als Inactief op de instellingspagina van de werkruimtebeheerder.
- Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot de Databricks-API. De tokens blijven behouden, maar kunnen niet worden gebruikt om te verifiëren terwijl een gebruiker wordt gedeactiveerd.
- Notitieblokken waarvan de gebruiker eigenaar is, blijven behouden.
- Clusters die eigendom zijn van de gebruiker, blijven actief.
- Geplande taken die door de gebruiker zijn gemaakt, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat ze mislukken.
Wanneer een gebruiker opnieuw wordt geactiveerd, kan deze zich met dezelfde machtigingen aanmelden bij de werkruimte. Databricks raadt aan om gebruikers te deactiveren in plaats van ze te verwijderen, omdat het verwijderen van een gebruiker een destructieve actie is. U kunt een gebruiker niet deactiveren met behulp van de pagina met werkruimtebeheerdersinstellingen. Gebruik in plaats daarvan de WERKRUIMTEgebruikers-API. Voorbeeld:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Een gebruiker verwijderen uit een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen
Wanneer een gebruiker uit een werkruimte wordt verwijderd, heeft de gebruiker geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan de werkruimte, krijgen ze weer de vorige machtigingen.
- Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
- Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
- Klik op het tabblad Identiteit en toegang .
- Klik naast Gebruikers op Beheren.
- Zoek het menu gebruiker en resource helemaal rechts van de rij van de gebruiker en selecteer Verwijderen.
- Klik op Verwijderen om te bevestigen.
Gebruikers beheren met behulp van de API
Accountbeheerders en werkruimtebeheerders kunnen gebruikers beheren in het Azure Databricks-account en werkruimten met behulp van Databricks-API's.
Gebruikers in het account beheren met behulp van de API
Beheerders kunnen gebruikers toevoegen en beheren in het Azure Databricks-account met behulp van de ACCOUNTgebruikers-API. Accountbeheerders en werkruimtebeheerders roepen de API aan met behulp van een andere eindpunt-URL:
- Accountbeheerders gebruiken
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Werkruimtebeheerders gebruiken
{workspace-domain}/api/2.0/account/scim/v2/
.
Zie de API accountgebruikers voor meer informatie.
Gebruikers in de werkruimte beheren met behulp van de API
Account- en werkruimtebeheerders kunnen de API voor werkruimtetoewijzing gebruiken om gebruikers toe te wijzen aan werkruimten die zijn ingeschakeld voor identiteitsfederatie. De API voor werkruimtetoewijzing wordt ondersteund via het Azure Databricks-account en werkruimten.
- Accountbeheerders gebruiken
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Werkruimtebeheerders gebruiken
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
.
Zie werkruimtetoewijzings-API.
Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, kan een werkruimtebeheerder de API's op werkruimteniveau gebruiken om gebruikers toe te wijzen aan hun werkruimten. Zie de API voor werkruimtegebruikers.