管理使用者
本文說明如何新增、更新和移除 Azure Databricks 使用者。
如需 Azure Databricks 身分識別模型的概觀,請參閱 Azure Databricks 身分識別。
若要管理使用者的存取權,請參閱驗證和存取控制。
使用者管理概觀
若要管理 Azure Databricks 中的使用者,您必須是帳戶管理員或工作區管理員。
帳戶管理員可以將使用者新增至帳戶,並指派系統管理員角色。 他們也可以將使用者指派給工作區,並為其設定跨工作區的資料存取權,只要這些工作區使用識別身分同盟。
工作區管理員可以將使用者新增至 Azure Databricks 工作區、指派工作區系統管理員角色,以及管理工作區中物件和功能的存取權,例如建立叢集或存取指定角色型環境的能力。 將使用者新增至 Azure Databricks 工作區也會將它們新增至帳戶。
工作區管理員是工作區中
admins群組的成員,這是無法刪除的保留群組。具有內建參與者、擁有者或自訂角色且對 Azure 中工作區資源擁有
Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action權限的使用者在 Azure 入口網站中按下 [啟動工作區] 時,會被自動指派工作區管理員角色。 如需詳細資訊,請參閱何謂工作區管理員?。
重要
Databricks 於 2023 年 11 月 9 日自動為識別身分同盟和 Unity Catalog 啟用了新工作區,並逐步跨帳戶推出。 如果您的工作區預設為識別身分同盟啟用,則無法停用。 如需了解更多資訊,請參閱自動啟用 Unity 目錄。
從 Microsoft Entra ID 租用戶中將使用者同步至 Azure Databricks 帳戶
帳戶管理員可以使用 SCIM 佈建連接器,將使用者從Microsoft Entra ID 租用戶同步至 Azure Databricks 帳戶。
重要
如果您已經有將身分識別直接同步至工作區的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱將工作區層級 SCIM 佈建移轉至帳戶層級。
如需指示,請參閱使用 Microsoft Entra ID 將身分識別佈建至 Azure Databricks 帳戶。
在您的帳戶中管理使用者
帳戶管理員可以使用帳戶主控台,將使用者新增至您的 Azure Databricks 帳戶。 Azure Databricks 帳戶中的使用者對工作區、資料或計算資源沒有任何預設存取權。
使用帳戶主控台將使用者新增至您的帳戶
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [使用者管理]。
- 在 [使用者] 索引標簽中,按一下 [新增使用者]。
- 輸入使用者的名稱和電子郵件地址。
- 按一下 [新增使用者] 。
注意
使用者不能屬於超過 50 個 Azure Databricks 帳戶。
若要讓使用者存取工作區,您必須將它們新增至工作區。 請參閱在您的工作區中管理使用者。
將帳戶管理員角色指派給使用者
身為帳戶管理員,登入帳戶主機。
在側邊欄中,按一下 [使用者管理]。
尋找並按下使用者名稱。
在 [角色] 索引標籤上,開啟 [帳戶管理員]、[Marketplace 管理員] 或 [帳單管理員]。
使用帳戶主控台將使用者指派給工作區
若要使用帳戶主控台將使用者新增至工作區,必須啟用識別身分同盟的工作區。 工作區管理員也可以使用工作區管理員設定頁面,將使用者指派給工作區。 請參閱使用工作區管理員設定頁面將使用者指派給工作區。
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤中,按一下 [新增權限]。
- 搜尋並選取使用者,指派權限等級 (工作區使用者或管理員),然後按一下 [儲存]。
使用帳戶主控台從工作區移除使用者
若要使用帳戶主控台從工作區中移除使用者,必須為識別身分同盟啟用工作區。 從工作區移除使用者時,使用者就無法再存取工作區,不過會維護使用者的權限。 如果使用者稍後新增回工作區,則它們會重新取得其先前的權限。
- 以帳戶管理員身分登入帳戶主控台
- 在側邊欄中,按一下 [工作區]。
- 按一下工作區的名稱。
- 在 [權限] 索引標籤中,尋找使用者。
- 按一下使用者資料列最右邊的
Kebab 功能表,然後選取 [移除]。 - 在確認對話方塊中按一下 [移除]。
停用 Azure Databricks 帳戶中的使用者
帳戶管理員可以停用 Azure Databricks 帳戶中的使用者。 已停用的使用者無法登入 Azure Databricks 帳戶或工作區。 不過,所有使用者的權限和工作區物件都保持不變。 停用使用者時,會發生以下情況:
- 使用者無法透過任何方法登入帳戶或其任何工作區。
- 利用使用者所產生權杖的應用程式或指令碼將無法再存取 Databricks API。 會保留權杖,但在停用使用者時無法用來進行驗證。
- 使用者擁有的筆記本維持不變。
- 使用者擁有的叢集會繼續執行。
- 使用者所建立的排程工作必須指派給新的擁有者,以防止它們失敗。
重新啟用使用者時,可以使用相同的權限登入 Azure Databricks。 Databricks 建議從帳戶中停用使用者,而不是移除它們,因為移除使用者是破壞性動作。 停用的使用者狀態會在帳戶主控台中標示為 [閒置中]。 也可以從特定工作區停用使用者。 請參閱在 Azure Databricks 工作區中停用使用者。
您無法使用帳戶主控台停用使用者。 請改用帳戶使用者 API。 例如:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
從 Azure Databricks 帳戶中移除使用者
帳戶管理員可以從 Azure Databricks 帳戶中刪除使用者。 工作區管理員不可。 當您從帳戶中刪除使用者時,也會從其工作區中移除該使用者。
重要
從帳戶中移除使用者時,使用者也會從其工作區中移除,無論是否已啟用識別身分同盟。 除非您希望帳戶層級使用者失去帳戶中所有工作區的存取權,否則建議不要刪除它們。 請注意下列刪除使用者的後果:
- 使用使用者所產生的權杖的應用程式或指令碼無法再存取 Databricks API
- 使用者所擁有的作業失敗
- 使用者所擁有的叢集停止
- 使用者建立並使用「以擁有者身分執行」認證共用的查詢或儀表板,必須指派給新的擁有者,以防止共用失敗
從帳戶中移除使用者時,使用者就無法再存取帳戶或其工作區,不過會維護使用者的權限。 如果使用者稍後新增回帳戶,則它們會重新取得其先前的權限。
若要使用帳戶主控台移除使用者,請執行下列動作:
- 身為帳戶管理員,登入帳戶主機。
- 在側邊欄中,按一下 [使用者管理]。
- 尋找並按下使用者名稱。
- 在 [使用者資訊] 索引標籤中,按一下右上角的 Kebab 功能表,然後選取 [刪除]。
- 在確認對話方塊中,按一下 [確認刪除]。
如果使用帳戶主控台移除使用者,您必須確定也可使用已為帳戶設定的任何 SCIM 佈建連接器或 SCIM API 應用程式來移除使用者。 如果未這麼做,SCIM 佈建會在下次同步時將使用者新增回來。 請參閱從 Microsoft Entra ID 同步使用者和群組。
若要使用 SCIM API 從 Azure Databricks 帳戶中移除使用者,您必須是帳戶管理員。請參閱將使用者和群組同步至您的 Azure Databricks 帳戶和帳戶群組 API。
在您的工作區中管理使用者
工作區管理員可以使用工作區管理員設定頁面來新增及管理使用者。
使用工作區管理員設定頁面將使用者指派給工作區
若要使用工作區管理員設定頁面將使用者新增至工作區,請執行下列操作:
身為工作區管理員,登入 Azure Databricks 工作區。
按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
按一下 [身分識別與存取] 索引標籤。
按一下 [使用者] 旁邊的 [管理]。
按一下 [新增使用者] 。
選取現有使用者以指派給工作區,或者按一下 [新增] 以建立新的使用者。
您可以新增任何屬於 Azure Databricks 工作區的 Microsoft Entra ID 租用戶的使用者。 將新使用者新增至工作區,也會將使用者新增至 Azure Databricks 帳戶。
按一下新增。
注意
如果您的工作區未啟用識別身分同盟,您只會看到將新使用者新增至工作區的選項。 如果您新增與現有帳戶使用者共用使用者名稱 (電子郵件地址) 的使用者,則會合併這些使用者。
使用工作區管理員設定頁面將工作區管理員角色指派給使用者
若要使用工作區管理員設定頁面來指派工作區管理員角色,請執行下列操作:
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 [使用者] 旁邊的 [管理]。
- 選取使用者。
- 按一下 [權利] 索引標籤。
- 按一下 [管理員存取權] 旁邊的切換開關。
若要移除工作區使用者的工作區管理員角色,請執行相同的步驟,但應清除 [管理員存取權] 切換開關。
在 Azure Databricks 工作區中停用使用者
工作區管理員可以在 Azure Databricks 工作區中停用使用者。 停用的使用者無法從 Azure Databricks API 中登入工作區或進行存取,不過使用者的所有權限和工作區物件都保持不變。 停用使用者時:
- 使用者無法透過任何方法登入工作區。
- 使用者的狀態在工作區管理員設定頁面中顯示為閒置中。
- 利用使用者所產生權杖的應用程式或指令碼將無法再存取 Databricks API。 會保留權杖,但在停用使用者時無法用來進行驗證。
- 使用者擁有的筆記本維持不變。
- 使用者擁有的叢集會繼續執行。
- 使用者所建立的排程工作必須指派給新的擁有者,以防止它們失敗。
重新啟用使用者時,可以使用相同的權限登入工作區。 Databricks 建議停用使用者,而不是移除它們,因為移除使用者是破壞性動作。 您無法使用工作區管理員設定頁面來停用使用者。 請改用工作區使用者 API。 例如:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
使用工作區管理員設定頁面從工作區中移除使用者
從工作區移除使用者時,使用者就無法再存取工作區,不過會維護使用者的權限。 如果使用者稍後新增回工作區,則它們會重新取得其先前的權限。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 [使用者] 旁邊的 [管理]。
- 找到使用者並按一下使用者資料列最右邊的 Kebab 功能表,然後選取 [移除]。
- 按一下 [刪除] 以確認。
使用 API 管理使用者
帳戶管理員和工作區管理員可以使用 Databricks API 來管理 Azure Databricks 帳戶和工作區中的使用者。
使用 API 管理帳戶中的使用者
管理員可以使用帳戶使用者 API,在 Azure Databricks 帳戶中新增及管理使用者。 帳戶管理員和工作區管理員可使用不同的端點 URL 來叫用 API:
- 帳戶管理員使用
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/。 - 工作區管理員使用
{workspace-domain}/api/2.0/account/scim/v2/。
如需詳細資訊,請參閱帳戶使用者 API。
使用 API 管理工作區中的使用者
帳戶和工作區管理員可以使用工作區指派 API,將使用者指派給為識別身分同盟而啟用的工作區。 透過 Azure Databricks 帳戶和工作區,支援工作區指派 API。
- 帳戶管理員使用
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments。 - 工作區管理員使用
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}。
請參閱工作區指派 API。
如果沒有為識別身分同盟啟用工作區,工作區管理員可以使用工作區層級 API 將使用者指派給其工作區。 請參閱工作區使用者 API。