Управление пользователями

В этой статье объясняется, как добавлять, обновлять и удалять пользователей Azure Databricks.

Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения об управлении доступом для пользователей см. в статье "Проверка подлинности и управление доступом".

Обзор управления пользователями

Для управления пользователями в Azure Databricks необходимо быть администратором учетной записи или администратором рабочей области.

• Администраторы учетных записей могут добавлять пользователей в учетную запись и назначать им роли администратора. Они также могут назначать пользователей рабочим областям и настраивать для них доступ к данным в разных рабочих областях, если эти рабочие области используют федерацию удостоверений.

• Администраторы рабочей области могут добавлять пользователей в рабочую область Azure Databricks, назначать им роль администратора рабочей области и управлять доступом к объектам и функциям в рабочей области, таким как возможность создавать кластеры и доступ к конкретным средам на основе пользователей. Добавление пользователя в рабочую область Azure Databricks также добавляет их в учетную запись.

  Администраторы рабочей области являются членами adminsгруппы в рабочей области, являющейся зарезервированной группой, которую нельзя удалить.

  Пользователи со встроенной ролью участника или владельца в ресурсе рабочей области в Azure автоматически назначают роль администратора рабочей области при нажатии кнопки "Запустить рабочую область" в портал Azure. Дополнительные сведения см. в разделе "Что такое администраторы рабочей области?".

Внимание

Если учетная запись была создана после 9 ноября 2023 г., федерация удостоверений включена во всех новых рабочих областях по умолчанию, и ее нельзя отключить.

Синхронизация пользователей с учетной записью Azure Databricks из клиента Microsoft Entra ID (ранее — Azure Active Directory)

Администраторы учетных записей могут синхронизировать пользователей из клиента Microsoft Entra ID (ранее Azure Active Directory) с учетной записью Azure Databricks с помощью соединителя подготовки SCIM.

Внимание

Если у вас уже есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями, необходимо отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. См раздел Миграция подготовки SCIM на уровне рабочей области на уровень учетной записи.

Инструкции см. в разделе "Подготовка удостоверений" для учетной записи Azure Databricks с помощью идентификатора Microsoft Entra.

Управление пользователями в учетной записи

Администраторы учетных записей могут добавлять пользователей в учетную запись Azure Databricks с помощью консоли учетной записи. Пользователи в учетной записи Azure Databricks не имеют доступа по умолчанию к рабочей области, данным или вычислительным ресурсам.

Добавление пользователей в учетную запись с использованием консоли учетной записи

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Пользователи нажмите кнопку Добавить пользователя.
4. Введите имя и адрес электронной почты пользователя.
5. Нажмите кнопку Добавить пользователя.

Примечание.

Пользователь не может принадлежать к более чем 50 учетным записям Azure Databricks.

Чтобы предоставить пользователям доступ к рабочей области, их необходимо добавить в рабочую область. См. статью "Управление пользователями в рабочей области".

Назначение ролей администратора учетной записи пользователю

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. Найдите и щелкните имя пользователя.
4. На вкладке " Роли" включите администратора учетной записи или администратора Marketplace.

Назначение пользователя рабочей области с помощью консоли учетной записи

Чтобы добавить пользователей в рабочую область с помощью консоли учетной записи, рабочая область должна быть включена для федерации удостоверений. Администраторы рабочей области также могут назначать пользователей рабочим областям с помощью страницы параметров администратора рабочей области. См. статью "Назначение пользователя рабочей области" с помощью страницы параметров администратора рабочей области.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке Permissions (Разрешения) щелкните Add permissions (Добавить разрешения).
5. Найдите и выберите пользователя, назначьте уровень разрешений (пользователь или администратор рабочей области) и нажмите кнопку Сохранить.

Удаление пользователя из рабочей области с помощью консоли учетной записи

Чтобы удалить пользователей из рабочей области с помощью консоли учетной записи, рабочая область должна быть включена для федерации удостоверений. Когда пользователь удаляется из рабочей области, пользователь больше не может получить доступ к рабочей области, однако разрешения сохраняются для пользователя. Если пользователь позже добавлен обратно в рабочую область, он восстановит свои предыдущие разрешения.

1. Как администратор учетной записи войдите в консоль учетной записи
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке Разрешения найдите пользователя.
5. Щелкните меню кебаб справа от строки пользователя и нажмите кнопку "Удалить".
6. В диалоговом окне подтверждения щелкните Удалить.

Отключение пользователя в учетной записи Azure Databricks

Администраторы учетных записей могут деактивировать пользователей в учетной записи Azure Databricks. Деактивированный пользователь не может войти в учетную запись Или рабочие области Azure Databricks. Однако все разрешения пользователя и объекты рабочей области остаются неизменными. Если пользователь деактивирован следующим образом:

• Пользователь не может войти в учетную запись или любую рабочую область из любого метода.
• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks. Маркеры остаются, но не могут использоваться для проверки подлинности во время деактивации пользователя.
• Записные книжки, принадлежащие пользователю, остаются.
• Кластеры, принадлежащие пользователю, остаются запущенными.
• Запланированные задания, созданные пользователем, должны быть назначены новому владельцу, чтобы предотвратить сбой.

При повторной активации пользователя он может войти в Azure Databricks с теми же разрешениями. Databricks рекомендует деактивировать пользователей из учетной записи, а не удалять их, так как удаление пользователя является разрушительным действием.

Вы не можете отключить пользователя с помощью консоли учетной записи. Вместо этого используйте API пользователей учетной записи. См . сведения об отключении пользователя в учетной записи Azure Databricks с помощью API.

Удаление групп из учетной записи Azure Databricks

Администраторы учетных записей могут удалять пользователей из учетной записи Azure Databricks. Администраторы рабочей области это делать не могут. При удалении пользователя из учетной записи этот пользователь также удаляется из своих рабочих областей.

Внимание

При удалении пользователя из учетной записи этот пользователь также удаляется из своих рабочих областей независимо от того, включена ли федерация удостоверений. Рекомендуется воздержаться от удаления пользователей на уровне учетной записи, если вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks
• Задания, принадлежащие пользователю, завершаются сбоем
• Кластеры, принадлежащие пользователю, остановлены
• Запросы или панели мониторинга, созданные пользователем и общими учетными данными владельца запуска от имени, должны быть назначены новому владельцу, чтобы предотвратить сбой общего доступа

Когда пользователь удаляется из учетной записи, пользователь больше не может получить доступ к учетной записи или их рабочим областям, однако разрешения сохраняются для пользователя. Если пользователь позже добавлен обратно в учетную запись, он восстановит свои предыдущие разрешения.

Чтобы удалить пользователя с помощью консоли учетной записи, выполните следующие действия.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. Найдите и щелкните имя пользователя.
4. На вкладке "Сведения о пользователе" щелкните меню кебаб в правом верхнем углу и выберите "Удалить".
5. В диалоговом окне подтверждения щелкните Подтверждение удаления.

При удалении пользователя с помощью консоли учетной записи необходимо также удалить пользователя с помощью соединителей подготовки SCIM или приложений API SCIM, настроенных для учетной записи. Если это не так, подготовка SCIM добавляет пользователя обратно при следующей синхронизации. См. раздел "Синхронизация пользователей и групп" из идентификатора Microsoft Entra.

Чтобы удалить пользователя из учетной записи Azure Databricks с помощью API SCIM, необходимо быть администратором учетной записи. См . сведения о подготовке удостоверений для учетной записи Azure Databricks и API групп учетных записей.

Управление пользователями в рабочей области

Администраторы рабочей области могут добавлять пользователей и управлять ими с помощью страницы параметров администратора рабочей области.

Назначение пользователя рабочей области с помощью страницы параметров администратора рабочей области

Чтобы добавить пользователя в рабочую область с помощью страницы параметров администратора рабочей области, сделайте следующее:

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с пользователями нажмите кнопку "Управление".

5. Нажмите кнопку Add User(Добавить пользователя).

6. Выберите существующего пользователя, чтобы назначить рабочей области или нажмите кнопку "Добавить новую ", чтобы создать нового пользователя.

   Вы можете добавить любого пользователя, который принадлежит клиенту Microsoft Entra ID (ранее Azure Active Directory) рабочей области Azure Databricks.

7. Нажмите кнопку Добавить.

Примечание.

Если рабочая область не включена для федерации удостоверений, вы увидите только параметр добавления нового пользователя в рабочую область. При добавлении пользователя, который использует имя пользователя (адрес электронной почты) с существующим пользователем учетной записи, эти пользователи объединяются.

Назначение роли администратора рабочей области пользователю с помощью страницы параметров администратора рабочей области

Чтобы назначить роль администратора рабочей области с помощью страницы параметров администратора рабочей области, сделайте следующее:

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с пользователями нажмите кнопку "Управление".
5. Выберите пользователя.
6. Щелкните вкладку Entitlements (Права).
7. Щелкните переключатель рядом с Администратор доступа.

Чтобы удалить роль администратора рабочей области с пользователя рабочей области, выполните те же действия, но снимите переключатель Администратор доступа.

Отключение пользователя в рабочей области Azure Databricks

Администраторы рабочей области могут отключить пользователей в рабочей области Azure Databricks. Деактивированный пользователь не может войти в рабочую область или получить доступ к нему из API Azure Databricks, однако все разрешения пользователя и объекты рабочей области остаются неизменными. Если пользователь деактивирован:

• Пользователь не может войти в рабочие области из любого метода.
• Состояние пользователя отображается как неактивное на странице параметров администратора рабочей области.
• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks. Маркеры остаются, но не могут использоваться для проверки подлинности во время деактивации пользователя.
• Записные книжки, принадлежащие пользователю, остаются.
• Кластеры, принадлежащие пользователю, остаются запущенными.
• Запланированные задания, созданные пользователем, должны быть назначены новому владельцу, чтобы предотвратить сбой.

При повторной активации пользователя он может войти в рабочую область с теми же разрешениями. Databricks рекомендует деактивировать пользователей вместо их удаления, так как удаление пользователя является разрушительным действием. Невозможно отключить пользователя с помощью страницы параметров администратора рабочей области. Вместо этого используйте API пользователей рабочей области. См. сведения об отключении пользователя в рабочей области Azure Databricks с помощью API.

Удаление пользователя из рабочей области с помощью страницы параметров администратора рабочей области

Когда пользователь удаляется из рабочей области, пользователь больше не может получить доступ к рабочей области, однако разрешения сохраняются для пользователя. Если пользователь позже добавлен обратно в рабочую область, он восстановит свои предыдущие разрешения.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с пользователями нажмите кнопку "Управление".
5. Найдите пользователя и меню кебаб справа от строки пользователя и нажмите кнопку "Удалить".
6. Нажмите кнопку Удалить, чтобы подтвердить операцию.

Управление пользователями с помощью API

Администраторы учетных записей и администраторы рабочих областей могут управлять пользователями в учетной записи Azure Databricks и рабочих областях с помощью API Databricks.

Управление пользователями в учетной записи с помощью API

Администратор могут добавлять пользователей в учетную запись Azure Databricks и управлять ими с помощью API пользователей учетной записи. Администраторы учетных записей и администраторы рабочей области вызывают API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Администраторы рабочей области используют {workspace-domain}/api/2.0/account/scim/v2/.

Дополнительные сведения см. в API пользователей учетной записи.

Отключение пользователя в учетной записи Azure Databricks с помощью API

Администраторы учетных записей могут изменить состояние пользователей, чтобы отключить пользователя с помощью API пользователей учетной записи. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Состояние деактивированного пользователя помечено как неактивное в консоли учетной записи.

При отключении пользователя из учетной записи этот пользователь также деактивирован из своих рабочих областей.

Управление пользователями в рабочей области с помощью API

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочей области для назначения пользователей рабочим областям, включенным для федерации удостоверений. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

• Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

См . API назначения рабочей области.

Если рабочая область не включена для федерации удостоверений, администратор рабочей области может использовать API уровня рабочей области для назначения пользователям своих рабочих областей. См . API пользователей рабочей области.

Отключение пользователя в рабочей области Azure Databricks с помощью API

Администраторы рабочей области могут изменить состояние пользователей, чтобы отключить пользователя с помощью API пользователей рабочей области. Например:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Состояние деактивированного пользователя помечается неактивным на странице параметров администратора рабочей области.