Поделиться через

Управление пользователями

В этой статье объясняется, как добавлять, обновлять и удалять пользователей Azure Databricks.

Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения об управлении доступом для пользователей см. в статье "Проверка подлинности и управление доступом".

Примечание.

На этой странице предполагается, что в рабочей области включена федерация удостоверений. Это настройка по умолчанию для большинства рабочих областей. Сведения об устаревших рабочих областях без федерации удостоверений см. в статье Устаревшие рабочие области без федерации удостоверений.

Кто может управлять пользователями?

Для управления пользователями в Azure Databricks необходимо быть администратором учетной записи или администратором рабочей области.

  • Администраторы учетных записей могут добавлять пользователей в учетную запись и назначать им роли администратора. Они также могут назначать пользователей рабочим областям и настраивать для них доступ к данным в разных рабочих областях.

  • Администраторы рабочей области могут добавлять пользователей в рабочую область Azure Databricks, назначать им роль администратора рабочей области и управлять доступом к объектам и функциям в рабочей области, например возможность создавать кластеры или получать доступ к указанным средам на основе пользователя. Добавление пользователя в рабочую область Azure Databricks также добавляет их в учетную запись.

    Администраторы рабочей области являются членами admins группы в рабочей области, которая является зарезервированной группой, которая не может быть удалена.

    Пользователи со встроенной ролью участника Или владельца Azure или настраиваемой ролью с необходимыми разрешениями администратора Azure автоматически назначают роль администратора рабочей области при нажатии кнопки "Запустить рабочую область " на портале Azure. Дополнительные сведения см. в разделе "Что такое администраторы рабочей области?".

Синхронизируйте пользователей с вашей учетной записью Azure Databricks из вашего клиента Microsoft Entra ID

Вы можете автоматически синхронизировать пользователей из клиента Microsoft Entra ID с учетной записью Azure Databricks или с помощью соединителя подготовки SCIM.

Автоматическое управление удостоверениями позволяет добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Для получения дополнительной информации см. раздел "Автоматическая синхронизация пользователей и групп из Microsoft Entra ID".

Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Инструкции см. в разделе "Синхронизация пользователей и групп" из идентификатора Microsoft Entra с помощью SCIM.

Добавление пользователей в учетную запись

Консоль учетной записи

Администраторы учетных записей могут добавлять пользователей в учетную запись Azure Databricks с помощью консоли учетной записи. Пользователи в учетной записи Azure Databricks не имеют доступа по умолчанию к рабочей области, данным или вычислительным ресурсам. Пользователь не может принадлежать к более чем 50 учетным записям Azure Databricks.

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Управление пользователями".
  3. На вкладке "Пользователи" нажмите кнопку "Добавить пользователя".
  4. Введите имя и адрес электронной почты пользователя.
  5. Нажмите кнопку "Добавить пользователя".

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

  2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".

  3. Щелкните вкладку "Удостоверение" и "Доступ ".

  4. Рядом с пользователями нажмите кнопку "Управление".

  5. Нажмите кнопку "Добавить пользователя".

  6. Нажмите кнопку "Добавить новую".

  7. Ввод адреса электронной почты для этого пользователя.

    Вы можете добавить любого пользователя, который принадлежит арендатору Microsoft Entra ID в рабочей области Azure Databricks. Добавление нового пользователя в рабочую область также добавляет пользователя в учетную запись Azure Databricks.

  8. Нажмите кнопку "Добавить".

Назначение ролей администратора учетной записи пользователю

Примечание.

На странице сведений о пользователе отображаются только роли, непосредственно назначенные пользователю. Роли, унаследованные через членство в группах, активны, но их переключатели не отображаются как включенные в пользовательском интерфейсе.

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Управление пользователями".
  3. Найдите и щелкните имя пользователя.
  4. На вкладке "Роли" выберите одну или несколько ролей.

Назначить пользователя в рабочую область

Администраторы учетных записей и администраторы рабочей области могут назначать субъекты-службы рабочей области Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.

Консоль учетной записи

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Рабочие области".
  3. Нажмите на имя рабочей области.
  4. На вкладке "Разрешения" нажмите кнопку "Добавить разрешения".
  5. Найдите и выберите пользователя, назначьте уровень разрешений ( пользователь рабочей области или администратор) и нажмите кнопку "Сохранить".

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с пользователями нажмите кнопку "Управление".
  5. Нажмите кнопку "Добавить пользователя".
  6. Выберите существующего пользователя, чтобы назначить в рабочую область или нажмите Добавить нового, чтобы создать нового пользователя.
  7. Нажмите кнопку "Добавить".

Удаление пользователя из рабочей области

Когда пользователь удаляется из рабочей области, пользователь больше не может получить доступ к рабочей области, однако разрешения сохраняются для пользователя. Если пользователь позже добавлен обратно в рабочую область, он восстановит свои предыдущие разрешения.

Консоль учетной записи

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Рабочие области".
  3. Нажмите на имя рабочей области.
  4. На вкладке "Разрешения" найдите пользователя.
  5. Щелкните значок меню Kebab в правой части строки пользователя и выберите Удалить.
  6. В диалоговом окне подтверждения нажмите кнопку "Удалить".

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с пользователями нажмите кнопку "Управление".
  5. Найдите значок меню пользователя и значок меню кебаб в правом углу строки пользователя и выберите 'Удалить'.
  6. Нажмите кнопку "Удалить ", чтобы подтвердить.

Назначение роли администратора рабочей области пользователю

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с пользователями нажмите кнопку "Управление".
  5. Выберите пользователя.
  6. В разделе "Права" включите доступ администратора.

Чтобы удалить роль администратора рабочей области из пользователя рабочей области, выполните те же действия, но снимите переключатель доступа администратора .

Отключение пользователя

Вы можете отключить пользователя на уровне учетной записи или рабочей области.

Администраторы учетных записей могут деактивировать пользователей в учетной записи Azure Databricks. Деактивация предотвращает проверку подлинности и доступ пользователя к учетным записям, рабочим областям или API Databricks, но не удаляет разрешения или объекты. Это предпочтительнее для удаления, которое является разрушительным действием.

Эффекты деактивации:

  • Пользователь не может пройти проверку подлинности или получить доступ к пользовательскому интерфейсу Databricks или API.
  • Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks. Маркеры остаются, но не могут использоваться для проверки подлинности во время деактивации пользователя.
  • Вычислительные ресурсы, принадлежащие пользователю, остаются запущенными.
  • Запланированные задания, созданные пользователем, терпят неудачу, если они не назначены новому правообладателю.

При повторной активации пользователь восстанавливает доступ с теми же разрешениями.

Деактивация уровня учетной записи

Администраторы учетных записей могут отключить пользователя в учетной записи Azure Databricks. Если пользователь деактивирован на уровне учетной записи, он не может пройти проверку подлинности в учетной записи Azure Databricks или в любой рабочей области в учетной записи.

Вы не можете отключить пользователя с помощью консоли учетной записи. Вместо этого используйте API пользователей учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Деактивация функций на уровне рабочей области

Если пользователь деактивирован на уровне рабочей области, он не может пройти проверку подлинности в этой конкретной рабочей области, но он по-прежнему может пройти проверку подлинности в учетной записи и других рабочих областях в учетной записи.

Невозможно отключить пользователя с помощью страницы параметров администратора рабочей области. Вместо этого используйте API пользователей рабочей области. Например:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Удаление пользователей из учетной записи Azure Databricks

Администраторы учетных записей могут удалять пользователей из учетной записи Azure Databricks. Администраторы рабочей области это делать не могут. При удалении пользователя из учетной записи этот пользователь также удаляется из своих рабочих областей. При удалении пользователя с помощью консоли учетной записи необходимо также удалить его с использованием соединителей для предоставления прав SCIM или приложений SCIM API, настроенных для этой учетной записи. Если вы этого не сделаете, провизия SCIM добавит пользователя обратно при следующей синхронизации. См. раздел "Синхронизация пользователей и групп" из идентификатора Microsoft Entra с помощью SCIM.

Внимание

При удалении пользователя из учетной записи, этот пользователь также удаляется из всех своих рабочих областей, независимо от того, включена ли функция федерации удостоверений. Рекомендуется воздержаться от удаления пользователей на уровне учетной записи, если вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

  • Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks.
  • Задания, принадлежащие пользователю, завершаются сбоем.
  • Кластеры, принадлежащие пользователю, останавливаются.
  • Библиотеки, установленные этим пользователем, недопустимы и должны быть переустановлены.
  • Запросы или панели мониторинга, созданные пользователем и использующие учетные данные запуска от имени владельца, должны быть назначены новому владельцу, чтобы предотвратить ошибку при общем доступе.

Когда пользователь удаляется из учетной записи, пользователь больше не может получить доступ к учетной записи или их рабочим областям, однако разрешения сохраняются для пользователя. Если пользователь позже добавлен обратно в учетную запись, он восстановит свои предыдущие разрешения.

Чтобы удалить пользователя с помощью консоли учетной записи, сделайте следующее:

  1. Войдите в консоль учетной записи с правами администратора учетных записей.
  2. На боковой панели щелкните "Управление пользователями".
  3. Найдите и щелкните имя пользователя.
  4. На вкладке "Сведения о пользователе" щелкните значок меню В правом верхнем углу выберите " Удалить".
  5. В диалоговом окне подтверждения нажмите кнопку "Подтвердить удаление".

Примечание.

При включении автоматического управления удостоверениями пользователи, зарегистрированные в Microsoft Entra ID, отображаются в консоли учетной записи. Их статус отображается как Неактивно: без использования, и они не могут быть удалены из списка пользователей. Они не активны в учетной записи и не учитываются в лимитах пользователей.

Управление пользователями с помощью API

Администраторы учетных записей и администраторы рабочих областей могут управлять пользователями в учетной записи Azure Databricks и рабочих областях с помощью API Databricks.

Управление пользователями в учетной записи с помощью API

Администраторы могут добавлять пользователей в учетную запись Azure Databricks и управлять ими с помощью API пользователей учетной записи. Администраторы учетных записей и администраторы рабочей области вызывают API с помощью другого URL-адреса конечной точки:

  • Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Администраторы рабочей области используют {workspace-domain}/api/2.0/account/scim/v2/.

Дополнительные сведения см. в API пользователей учетной записи.

Управление пользователями в рабочей области с помощью API

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочей области для назначения пользователям рабочих областей. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

  • Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

См. API назначения рабочей области.

Примечание.

Для наследуемых рабочих областей без федерации удостоверений администраторы рабочих областей могут использовать API пользователей рабочих областей для назначения пользователям своих рабочих областей.

  • Last updated on