Gebruikers beheren

In dit artikel wordt uitgelegd hoe u Azure Databricks-gebruikers toevoegt, bijwerkt en verwijdert.

Zie Azure Databricks-identiteiten voor een overzicht van het Azure Databricks-identiteitsmodel.

Als u de toegang voor gebruikers wilt beheren, raadpleegt u Verificatie en toegangsbeheer.

Overzicht van gebruikersbeheer

Als u gebruikers in Azure Databricks wilt beheren, moet u een accountbeheerder of werkruimtebeheerderzijn.

• Accountbeheerders kunnen gebruikers toevoegen aan het account en hen beheerdersrollen toewijzen. Ze kunnen gebruikers ook toewijzen aan werkruimten en gegevenstoegang voor hen configureren in werkruimten, zolang die werkruimten identiteitsfederatie gebruiken.

• Werkruimtebeheerders kunnen gebruikers toevoegen aan een Azure Databricks-werkruimte, hen de rol werkruimtebeheerder toewijzen en de toegang tot objecten en functionaliteit in de werkruimte beheren, zoals de mogelijkheid om clusters te maken of opgegeven op personen gebaseerde omgevingen te openen. Als u een gebruiker toevoegt aan een Azure Databricks-werkruimte, wordt deze ook toegevoegd aan het account.

  Werkruimtebeheerders zijn leden van de adminsgroep in de werkruimte. Dit is een gereserveerde groep die niet kan worden verwijderd.

  Gebruikers met een ingebouwde rol Inzender of Eigenaar voor de werkruimteresource in Azure krijgen automatisch de rol werkruimtebeheerder toegewezen wanneer ze klikken op Werkruimte starten in Azure Portal. Zie Wat zijn werkruimtebeheerders? voor meer informatie.

Belangrijk

Als uw account na 9 november 2023 is gemaakt, is identiteitsfederatie standaard ingeschakeld voor alle nieuwe werkruimten en kan deze niet worden uitgeschakeld.

Gebruikers synchroniseren met uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant (voorheen Azure Active Directory)

Accountbeheerders kunnen gebruikers vanuit uw Microsoft Entra ID-tenant (voorheen Azure Active Directory) synchroniseren met uw Azure Databricks-account met behulp van een SCIM-inrichtingsconnector.

Belangrijk

Als u al SCIM-connectors hebt die identiteiten rechtstreeks met uw werkruimten synchroniseren, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie SCIM-inrichting op werkruimteniveau migreren naar accountniveau.

Zie Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id voor instructies.

Gebruikers in uw account beheren

Accountbeheerders kunnen gebruikers toevoegen aan uw Azure Databricks-account met behulp van de accountconsole. Gebruikers in een Azure Databricks-account hebben geen standaardtoegang tot een werkruimte, gegevens of rekenresources.

Gebruikers toevoegen aan uw account met behulp van de accountconsole

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik in de zijbalk op Gebruikersbeheer.
3. Klik op het tabblad Gebruikers op Gebruiker toevoegen.
4. Voer een naam en e-mailadres in voor de gebruiker.
5. Klik op Gebruiker toevoegen.

Notitie

Een gebruiker kan niet tot meer dan 50 Azure Databricks-accounts behoren.

Als u gebruikers toegang wilt geven tot een werkruimte, moet u ze toevoegen aan de werkruimte. Zie Gebruikers beheren in uw werkruimte.

Accountbeheerdersrollen toewijzen aan een gebruiker

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik in de zijbalk op Gebruikersbeheer.
3. Zoek en klik op de gebruikersnaam.
4. Schakel op het tabblad Rollen accountbeheerder of Marketplace-beheerder in.

Een gebruiker toewijzen aan een werkruimte met behulp van de accountconsole

Als u gebruikers wilt toevoegen aan een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Werkruimtebeheerders kunnen gebruikers ook toewijzen aan werkruimten met behulp van de pagina met werkruimtebeheerinstellingen. Zie Een gebruiker toewijzen aan een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders.

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik in de zijbalk op Werkruimten.
3. Klik op de naam van uw werkruimte.
4. Klik op het tabblad Permissions (Machtigingen) op Add permissions (Machtigingen toevoegen).
5. Zoek en selecteer de gebruiker, wijs het machtigingsniveau (werkruimtegebruiker of Beheer) toe en klik op Opslaan.

Een gebruiker verwijderen uit een werkruimte met behulp van de accountconsole

Als u gebruikers uit een werkruimte wilt verwijderen met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Wanneer een gebruiker uit een werkruimte wordt verwijderd, heeft de gebruiker geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan de werkruimte, krijgen ze weer de vorige machtigingen.

1. Meld u als accountbeheerder aan bij de accountconsole
2. Klik in de zijbalk op Werkruimten.
3. Klik op de naam van uw werkruimte.
4. Zoek de gebruiker op het tabblad Machtigingen .
5. Klik helemaal rechts in de rij van de gebruiker op het menu van De resource en selecteer Verwijderen.
6. Klik in het bevestigingsvenster op Verwijderen.

Een gebruiker deactiveren in uw Azure Databricks-account

Accountbeheerders kunnen gebruikers deactiveren in een Azure Databricks-account. Een gedeactiveerde gebruiker kan zich niet aanmelden bij het Azure Databricks-account of de werkruimten. Alle machtigingen en werkruimteobjecten van de gebruiker blijven echter ongewijzigd. Wanneer een gebruiker is gedeactiveerd, is het volgende waar:

• De gebruiker kan zich niet aanmelden bij het account of een van hun werkruimten vanuit een willekeurige methode.
• Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot de Databricks-API. De tokens blijven behouden, maar kunnen niet worden gebruikt om te verifiëren terwijl een gebruiker wordt gedeactiveerd.
• Notitieblokken waarvan de gebruiker eigenaar is, blijven behouden.
• Clusters die eigendom zijn van de gebruiker, blijven actief.
• Geplande taken die door de gebruiker zijn gemaakt, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat ze mislukken.

Wanneer een gebruiker opnieuw wordt geactiveerd, kan deze zich met dezelfde machtigingen aanmelden bij Azure Databricks. Databricks raadt aan om gebruikers uit het account te deactiveren in plaats van ze te verwijderen, omdat het verwijderen van een gebruiker een destructieve actie is.

U kunt een gebruiker niet deactiveren met behulp van de accountconsole. Gebruik in plaats daarvan de API accountgebruikers. Zie Een gebruiker deactiveren in uw Azure Databricks-account met behulp van de API.

Gebruikers verwijderen uit uw Azure Databricks-account

Accountbeheerders kunnen gebruikers verwijderen uit een Azure Databricks-account. Werkruimtebeheerders kunnen dat niet. Wanneer u een gebruiker verwijdert uit het account, wordt die gebruiker ook verwijderd uit hun werkruimten.

Belangrijk

Wanneer u een gebruiker uit het account verwijdert, wordt die gebruiker ook verwijderd uit hun werkruimten, ongeacht of de identiteitsfederatie al dan niet is ingeschakeld. U wordt aangeraden gebruikers op accountniveau te verwijderen, tenzij u wilt dat ze geen toegang meer hebben tot alle werkruimten in het account. Houd rekening met de volgende gevolgen van het verwijderen van gebruikers:

• Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot Databricks-API's
• Taken die eigendom zijn van de gebruiker mislukken
• Clusters waarvan de gebruiker eigenaar is, stoppen
• Query's of dashboards die zijn gemaakt door de gebruiker en die zijn gedeeld met de referenties Uitvoeren als eigenaar, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat delen mislukt

Wanneer een gebruiker uit een account wordt verwijderd, heeft de gebruiker geen toegang meer tot het account of zijn werkruimten, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan het account, krijgen ze weer hun vorige machtigingen.

Ga als volgt te werk om een gebruiker te verwijderen met behulp van de accountconsole:

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik in de zijbalk op Gebruikersbeheer.
3. Zoek en klik op de gebruikersnaam.
4. Klik op hettabbladmenu in de rechterbovenhoek en selecteer Verwijderen.
5. Klik in het bevestigingsvenster op Verwijderen bevestigen.

Als u een gebruiker verwijdert met behulp van de accountconsole, moet u ervoor zorgen dat u de gebruiker ook verwijdert met behulp van SCIM-inrichtingsconnectors of SCIM API-toepassingen die zijn ingesteld voor het account. Als u dit niet doet, voegt SCIM-inrichting de gebruiker weer toe wanneer deze de volgende keer wordt gesynchroniseerd. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id.

Als u een gebruiker wilt verwijderen uit een Azure Databricks-account met behulp van SCIM-API's, moet u een accountbeheerder zijn. Zie Identiteiten inrichten voor uw Azure Databricks-account en de API voor accountgroepen.

Gebruikers in uw werkruimte beheren

Werkruimtebeheerders kunnen gebruikers toevoegen en beheren met behulp van de pagina met werkruimtebeheerdersinstellingen.

Een gebruiker toewijzen aan een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders

Ga als volgt te werk om een gebruiker toe te voegen aan een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen:

1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.

3. Klik op het tabblad Identiteit en toegang .

4. Klik naast Gebruikers op Beheren.

5. Klik op Add User.

6. Selecteer een bestaande gebruiker die u wilt toewijzen aan de werkruimte of klik op Nieuwe toevoegen om een nieuwe gebruiker te maken.

   U kunt elke gebruiker toevoegen die deel uitmaakt van de Microsoft Entra ID-tenant (voorheen Azure Active Directory) van uw Azure Databricks-werkruimte.

7. Klik op Toevoegen.

Notitie

Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, ziet u alleen de optie om een nieuwe gebruiker toe te voegen aan de werkruimte. Als u een gebruiker toevoegt die een gebruikersnaam (e-mailadres) deelt met een bestaande accountgebruiker, worden deze gebruikers samengevoegd.

De beheerdersrol van de werkruimte toewijzen aan een gebruiker met behulp van de pagina met werkruimtebeheerdersinstellingen

Ga als volgt te werk om de beheerdersrol van de werkruimte toe te wijzen met behulp van de pagina met instellingen voor werkruimtebeheerders:

1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
3. Klik op het tabblad Identiteit en toegang .
4. Klik naast Gebruikers op Beheren.
5. Selecteer de gebruiker.
6. Klik op het tabblad Rechten .
7. Klik op de wisselknop naast Beheer toegang.

Als u de beheerdersrol van de werkruimte van een werkruimtegebruiker wilt verwijderen, voert u dezelfde stappen uit, maar schakelt u de wisselknop Beheer toegang uit.

Een gebruiker deactiveren in uw Azure Databricks-werkruimte

Werkruimtebeheerders kunnen gebruikers deactiveren in een Azure Databricks-werkruimte. Een gedeactiveerde gebruiker kan zich niet aanmelden bij de werkruimte of deze openen vanuit Azure Databricks-API's, maar alle machtigingen en werkruimteobjecten van de gebruiker blijven ongewijzigd. Wanneer een gebruiker is gedeactiveerd:

• De gebruiker kan zich vanaf elke methode niet aanmelden bij de werkruimten.
• De status van de gebruiker wordt weergegeven als Inactief op de instellingspagina van de werkruimtebeheerder.
• Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot de Databricks-API. De tokens blijven behouden, maar kunnen niet worden gebruikt om te verifiëren terwijl een gebruiker wordt gedeactiveerd.
• Notitieblokken waarvan de gebruiker eigenaar is, blijven behouden.
• Clusters die eigendom zijn van de gebruiker, blijven actief.
• Geplande taken die door de gebruiker zijn gemaakt, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat ze mislukken.

Wanneer een gebruiker opnieuw wordt geactiveerd, kan deze zich met dezelfde machtigingen aanmelden bij de werkruimte. Databricks raadt aan om gebruikers te deactiveren in plaats van ze te verwijderen, omdat het verwijderen van een gebruiker een destructieve actie is. U kunt een gebruiker niet deactiveren met behulp van de pagina met werkruimtebeheerdersinstellingen. Gebruik in plaats daarvan de WERKRUIMTEgebruikers-API. Zie Een gebruiker deactiveren in uw Azure Databricks-werkruimte met behulp van de API.

Een gebruiker verwijderen uit een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen

Wanneer een gebruiker uit een werkruimte wordt verwijderd, heeft de gebruiker geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de gebruiker. Als de gebruiker later weer wordt toegevoegd aan de werkruimte, krijgen ze weer de vorige machtigingen.

1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
3. Klik op het tabblad Identiteit en toegang .
4. Klik naast Gebruikers op Beheren.
5. Zoek het menu gebruiker en resource helemaal rechts van de rij van de gebruiker en selecteer Verwijderen.
6. Klik op Verwijderen om te bevestigen.

Gebruikers beheren met behulp van de API

Accountbeheerders en werkruimtebeheerders kunnen gebruikers beheren in het Azure Databricks-account en werkruimten met behulp van Databricks-API's.

Gebruikers in het account beheren met behulp van de API

Beheer s kunnen gebruikers toevoegen en beheren in het Azure Databricks-account met behulp van de API accountgebruikers. Accountbeheerders en werkruimtebeheerders roepen de API aan met behulp van een andere eindpunt-URL:

• Accountbeheerders gebruiken {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Werkruimtebeheerders gebruiken {workspace-domain}/api/2.0/account/scim/v2/.

Zie de API accountgebruikers voor meer informatie.

Een gebruiker deactiveren in uw Azure Databricks-account met behulp van de API

Accountbeheerders kunnen de status van een gebruiker wijzigen om de gebruiker te deactiveren met behulp van de API Accountgebruikers. Voorbeeld:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

De status van een gedeactiveerde gebruiker wordt inactief gelabeld in de accountconsole.

Wanneer u een gebruiker uit het account deactiveert, wordt die gebruiker ook gedeactiveerd vanuit hun werkruimten.

Gebruikers in de werkruimte beheren met behulp van de API

Account- en werkruimtebeheerders kunnen de API voor werkruimtetoewijzing gebruiken om gebruikers toe te wijzen aan werkruimten die zijn ingeschakeld voor identiteitsfederatie. De API voor werkruimtetoewijzing wordt ondersteund via het Azure Databricks-account en werkruimten.

• Accountbeheerders gebruiken {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Werkruimtebeheerders gebruiken {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Zie werkruimtetoewijzings-API.

Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, kan een werkruimtebeheerder de API's op werkruimteniveau gebruiken om gebruikers toe te wijzen aan hun werkruimten. Zie de API voor werkruimtegebruikers.

Een gebruiker deactiveren in uw Azure Databricks-werkruimte met behulp van de API

Werkruimtebeheerders kunnen de status van een gebruiker wijzigen om de gebruiker te deactiveren met behulp van de WERKRUIMTEgebruikers-API. Voorbeeld:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

De status van een gedeactiveerde gebruiker wordt inactief gelabeld op de pagina met werkruimtebeheerdersinstellingen.