管理用戶

本文介紹如何添加、更新和刪除Databricks用戶。

有關Databricks標識模型的概述,請參見數據庫身份和角色

要了解如何管理組,請參見管理組

用戶管理概述

有四種類型的用戶:

  • 工作空間的用戶在該工作空間中執行數據科學、數據工程和數據分析任務的人員。

  • 工作空間管理員誰可以管理工作空間用戶及其對工作空間中對象的訪問。

    的成員管理員集團

  • 賬戶管理員他們管理帳戶級別的配置,如工作空間的創建、網絡和存儲配置、審計日誌記錄、計費和其他帳戶管理員的分配。的賬戶所有者是最初設置帳戶的用戶。他們添加了第一個帳戶管理員。

  • 用戶帳戶可以使用帳戶控製台查看並連接到他們的工作空間。帳戶和工作空間管理員可以向帳戶添加用戶。

向Databricks帳戶添加用戶

帳戶管理員可以使用帳戶控製台、IdP的供應連接器或SCIM(帳戶)API向Databricks帳戶添加用戶。

請注意

一個用戶不能屬於50個以上的Databricks帳戶。

使用帳戶控製台向帳戶添加用戶

使用帳戶控製台將用戶添加到帳戶,請執行以下操作:

  1. 以admin帳戶登錄賬戶控製台

  2. 在帳戶控製台的頂部欄中單擊您的用戶名並選擇用戶管理

  3. 用戶選項卡上,單擊添加用戶

  4. 為用戶輸入名稱和電子郵件地址。

  5. 點擊發送邀請

要讓用戶訪問工作空間,必須將他們添加到工作空間。看到向工作區添加用戶

從身份提供者將用戶同步到Databricks帳戶

帳戶管理員可以使用SCIM配置連接器將用戶從標識提供者(IdP)同步到Databricks帳戶。

有關說明,請參見為Databricks帳戶提供身份

使用SCIM api向您的帳戶添加用戶

帳戶管理員可以使用SCIM帳戶API在Databricks帳戶中添加和管理其他帳戶管理員。

使用SCIM api添加用戶,請執行以下操作:

  1. 使用SCIM API 2.0(帳戶)來確定用戶是否已經存在。

  2. 如果用戶不存在,請使用相同的API創建用戶。

為用戶分配帳戶admin權限

通過帳戶控製台為帳戶admin分配權限,請執行以下操作:

  1. 以admin帳戶登錄賬戶控製台

  2. 點擊Account控製台用戶管理圖標用戶管理

  3. 找到並單擊用戶名。

  4. 角色Tab,打開賬戶管理

屬性為帳戶分配管理員角色SCIM API 2.0(帳戶)

從您的Databricks帳戶中刪除用戶

帳戶管理員可以從Databricks帳戶中刪除用戶。工作空間管理員則不能。當您從帳戶中刪除用戶時,該用戶也將從其工作空間中刪除。

重要的

從帳戶中刪除用戶時,該用戶也將從其工作空間中刪除。您應該避免刪除帳戶級用戶,除非您希望他們失去對帳戶中所有工作區的訪問權。刪除用戶的後果如下:

  • 使用用戶生成的令牌的應用程序或腳本將不再能夠訪問Databricks API

  • 用戶擁有的作業將失敗

  • 用戶所屬的集群將停止運行

  • 由用戶創建並使用Run as Owner憑據共享的查詢或儀表板必須分配給新的所有者,以防止共享失敗

使用帳戶控製台刪除用戶,請執行以下操作:

  1. 以admin帳戶登錄賬戶控製台

  2. 在帳戶控製台的頂部欄中單擊您的用戶名並選擇用戶管理

  3. 找到並單擊用戶名。

  4. 用戶信息選項卡,單擊烤肉串菜單烤肉菜單在右上方並選擇刪除

  5. 在彈出的確認對話框中,單擊確認刪除

如果使用帳戶控製台刪除用戶,則必須確保還使用已為帳戶設置的任何SCIM供應連接器或SCIM API應用程序刪除用戶。如果不這樣做,SCIM配置將在下次同步時簡單地將用戶添加回來。看到從您的標識提供程序同步用戶和組

要使用SCIM api從Databricks帳戶中刪除用戶,必須是帳戶admin。看到為Databricks帳戶提供身份而且SCIM API 2.0(帳戶)

向工作區添加用戶

工作區管理員可以使用Databricks管理用戶帳戶管理控製台,Scim API 2.0,或支持scim的身份提供程序比如Okta或Azure活動目錄。

您可以使用管理控製台的Users選項卡:

  • 添加和刪除用戶。

  • 的成員資格授予和撤銷管理員組。

  • 管理用戶的權利

    • 授予和撤銷對數據科學與工程工作空間和Databricks SQL的訪問權權利

    • 授予和撤銷創建集群的能力(如果集群訪問控製已為工作區啟用)。

您還可以將用戶添加到組中。看到管理組

使用工作區管理控製台將用戶添加到工作區

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台

  3. 用戶選項卡上,單擊添加用戶

  4. 輸入用戶郵箱ID。

    添加用戶

    請注意

    若要啟用工作區REST api的穀歌ID身份驗證,可以添加穀歌業務帳號作為工作空間用戶的電子郵件地址。看到使用穀歌ID令牌對工作區api進行身份驗證.不能使用“穀歌”業務帳號地址登錄web應用。注意,以用戶身份添加服務帳戶與以用戶身份添加服務帳戶不同數據服務負責人

  5. 點擊發送邀請

    Databricks發送一封帶有URL的確認電子郵件以接受邀請。如果用戶在5分鍾內沒有收到確認郵件,請用戶檢查他們的垃圾郵件文件夾。

    用戶將看到一個登錄穀歌屏幕,提示“選擇一個帳戶繼續到數據庫”。用戶必須選擇與邀請郵件地址匹配的郵箱地址。

    請注意

    如果您作為工作空間的用戶添加了穀歌服務帳戶電子郵件地址,則Databricks不會發送邀請通知電子郵件。

添加用戶後,您將看到用戶及其權限列表:

添加用戶

使用REST api將用戶添加到工作區

工作空間管理員可以使用工作空間級別的SCIM REST api將用戶和其他身份添加到他們的工作空間。看到Scim API 2.0

請注意

若要啟用工作區REST api的穀歌ID身份驗證,可以添加穀歌業務帳號作為工作空間用戶的電子郵件地址。看到使用穀歌ID令牌對工作區api進行身份驗證.不能使用“穀歌”業務帳號地址登錄web應用。注意,以用戶身份添加服務帳戶與以用戶身份添加服務帳戶不同數據服務負責人

從工作區中刪除用戶

工作空間管理員可以使用以下方法刪除工作空間中的用戶:

  • 工作區管理控製台

  • 為標識提供程序提供連接器

  • 工作空間級別的SCIM api

使用管理控製台從工作區中刪除用戶

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台

  3. 用戶選項卡,找到用戶並單擊移除用戶圖標在用戶行最右邊。

  4. 點擊刪除來確認。

使用REST api從工作區中刪除用戶

工作空間管理員可以使用工作空間級別的SCIM REST api從他們的工作空間中刪除用戶。看到Scim API 2.0

將工作區管理員角色分配給用戶

您可以使用工作空間管理控製台或REST api分配工作空間管理角色。

使用工作區管理控製台將工作區管理角色分配給用戶

要使用工作空間管理控製台分配工作空間管理角色,請執行以下操作:

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台

  3. 用戶選項卡,找到用戶並選擇管理複選框。

若要從工作區用戶中刪除管理員角色,請執行相同的步驟,但要清除管理複選框。

使用REST api將工作區管理角色分配給用戶

工作區管理員可以使用SCIM (Groups) REST API將用戶分配到管理組或從組中刪除用戶。

為用戶分配授權

授權是允許用戶、服務主體或組以指定的方式與Databricks交互的屬性。授權被分配給工作空間級別的用戶。下表列出了用於管理每個授權的工作區UI和API屬性名。您可以使用工作區管理控製台和工作區級別SCIM REST接口權限管理。

授權名稱(UI)

授權名稱(API)

默認的

描述

工作空間的訪問

workspace-access

默認允許。

當授予用戶或服務主體時,他們可以訪問數據科學與工程和Databricks機器學習基於人物的環境。

不能從工作空間管理員中刪除。

Databricks SQL訪問

databricks-sql-access

默認允許。

當授予用戶或服務主體時,它們可以訪問Databricks SQL。

允許無限製地創建集群

allow-cluster-create

默認情況下不授予用戶或服務主體。

當授予用戶或服務主體時,它們可以創建集群。可以使用。限製對現有集群的訪問集群級別的權限

不能從工作空間管理員中刪除。

允許創建池(不能通過UI)

allow-instance-pool-create

不能授予單個用戶或服務主體。

當授予一個組時,其成員可以創建實例池。

不能從工作空間管理員中刪除。

新用戶有工作空間的訪問而且Databricks SQL訪問默認為授權。

重要的

要登錄和訪問Databricks,用戶必須擁有Databricks SQL訪問工作空間的訪問權利(或兩者兼有)。

工作空間的訪問授權允許用戶訪問數據科學與工程工作空間和Databricks機器學習。的成員繼承此權限用戶組,該組擁有授權。若要在逐個用戶的基礎上分配此權限,工作區管理員必須從用戶上對其進行分組並將其單獨分配給用戶用戶選項卡。

有關Databricks SQL訪問權限的信息,請參見管理用戶和組

如果集群訪問控製啟用,並且不選擇允許無限製地創建集群複選框,則添加用戶沒有集群創建授權。

如果重新激活以前存在於工作空間中的用戶,則恢複該用戶以前的權限。

使用工作區管理控製台為用戶添加或刪除授權

作為工作空間管理員,執行以下操作:

  1. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台

  2. 轉到用戶所在行。

  3. 如果要添加授權,請選中對應列中的複選框。

  4. 若要移除授權,請取消選中對應列中的複選框。

請注意

管理不是一種權利。的管理複選框是將用戶添加到管理員組。

要顯式地添加授權,您可以選擇其對應的複選框。如果授權是從組繼承的,則選中授權複選框,但不顯示灰色。要移除繼承的授權,要麼將用戶從擁有授權的組中移除,要麼將授權從組中移除。

allow-instance-pool-create權限不能直接授予用戶。相反,您可以將權限授予一個組,並將用戶添加到該組。

你也可以為組添加或刪除權限

使用SCIM REST api為用戶添加或刪除權限

當您使用工作空間級別的SCIM(用戶)REST API創建或更新用戶(通過PATCH或PUT)時,您可以添加授權。例如,此API調用添加allow-cluster-create指定用戶的授權。

curl—netrc -X PATCHhttps:// < databricks-instance > / api / 2.0 /預覽/ scim / v2 /用戶/ <用戶id >——頭內容類型:應用程序/ scim + json的——數據@update-user.json|金橋。

update-user.json

“模式”“urn: ietf:參數:scim: api:消息:2.0:PatchOp”),“操作”“人事處”“添加”“路徑”“權利”“價值”“價值”“allow-cluster-create”

詳細信息請參見工作空間級別的SCIM(用戶)REST API參考