管理用戶

本文介紹如何添加、更新和刪除Databricks用戶。

有關Databricks標識模型的概述,請參見數據庫身份和角色

用戶管理概述

若要管理“數據庫”中的用戶,必須是賬戶管理或者一個工作空間管理

  • 賬戶管理員可以將用戶添加到帳戶並為其分配管理角色。他們還可以為用戶分配工作空間,並為他們配置跨工作空間的數據訪問,隻要這些工作空間使用聯合身份驗證

  • 工作空間管理員可以將用戶添加到Databricks工作空間,為他們分配工作空間管理員角色,並管理對工作空間中對象和功能的訪問,例如創建集群或訪問指定的基於角色的環境的能力。

    的成員管理員集團,這是一個不能刪除的保留組。

向Databricks帳戶添加用戶

帳戶管理員可以使用賬戶控製台,為IdP或SCIM(帳戶)API提供連接器。

請注意

一個用戶不能屬於50個以上的Databricks帳戶。

使用帳戶控製台向帳戶添加用戶

  1. 以admin帳號登錄帳號控製台。

  2. 點擊用戶管理在側欄中。

  3. 用戶選項卡上,單擊添加用戶

  4. 為用戶輸入名稱和電子郵件地址。

  5. 點擊發送邀請

Databricks發送一封帶有URL的確認電子郵件以接受邀請。如果用戶在5分鍾內沒有收到確認郵件,請用戶檢查他們的垃圾郵件文件夾。

要讓用戶訪問工作空間,必須將他們添加到工作空間。看到向工作區添加用戶

從身份提供者將用戶同步到Databricks帳戶

帳戶管理員可以使用SCIM配置連接器將用戶從標識提供者(IdP)同步到Databricks帳戶。

重要的

如果您已經擁有將標識直接同步到工作空間的SCIM連接器並且這些工作區為身份聯合啟用,我們建議您在啟用帳戶級SCIM連接器時禁用那些SCIM連接器。如果您的工作區沒有使用身份聯合,那麼您必須繼續使用為這些工作區配置的任何SCIM連接器,並與帳戶級SCIM連接器並行運行。

有關說明,請參見為Databricks帳戶提供身份

使用SCIM api向您的帳戶添加用戶

帳戶管理員可以使用Databricks帳戶添加和管理用戶SCIM API 2.0(帳戶)

工作區管理員也可以使用此API管理用戶,但他們必須使用不同的端點URL調用API:

  • 帳戶管理員使用accounts.cloud.m.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /

  • 工作區管理員使用{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /

詳細信息請參見SCIM API 2.0(帳戶)

為用戶分配帳戶admin權限

  1. 以admin帳號登錄帳號控製台。

  2. 點擊用戶管理在側欄中。

  3. 找到並單擊用戶名。

  4. 角色Tab,打開賬戶管理

屬性為帳戶分配管理員角色SCIM API 2.0(帳戶)

從您的Databricks帳戶中刪除用戶

帳戶管理員可以從Databricks帳戶中刪除用戶。工作空間管理員則不能。當您從帳戶中刪除用戶時,該用戶也將從其工作空間中刪除。

重要的

當您從帳戶中刪除用戶時,該用戶也將從其工作區中刪除,無論是否啟用了身份聯合。我們建議您不要刪除帳戶級別的用戶,除非您希望他們失去對帳戶中所有工作區的訪問權。刪除用戶的後果如下:

  • 使用用戶生成的令牌的應用程序或腳本將不再能夠訪問Databricks API

  • 用戶擁有的作業將失敗

  • 用戶所屬的集群將停止運行

  • 由用戶創建並使用Run as Owner憑據共享的查詢或儀表板必須分配給新的所有者,以防止共享失敗

使用帳戶控製台刪除用戶,請執行以下操作:

  1. 以admin帳號登錄帳號控製台。

  2. 點擊用戶管理在側欄中。

  3. 找到並單擊用戶名。

  4. 用戶信息選項卡,單擊烤肉串菜單在右上角的烤肉菜單中選擇刪除

  5. 在彈出的確認對話框中,單擊確認刪除

如果使用帳戶控製台刪除用戶,則必須確保還使用已為帳戶設置的任何SCIM供應連接器或SCIM API應用程序刪除用戶。如果您不這樣做,SCIM配置將在下次同步時將用戶添加回來。看到從您的標識提供程序同步用戶和組

要使用SCIM api從Databricks帳戶中刪除用戶,必須是帳戶admin。看到為Databricks帳戶提供身份SCIM API 2.0(帳戶)

向工作區添加用戶

帳戶管理員可以將用戶添加到identity-federated工作區使用帳戶控製台和工作區分配API。

工作空間管理員可以使用工作空間管理設置頁麵、工作空間分配API(如果工作空間啟用了身份聯合)和工作空間級SCIM API來管理工作空間中的用戶。

使用帳戶控製台將用戶分配到工作區

方法將用戶添加到工作區賬戶控製台,工作空間必須啟用身份聯合。

  1. 以admin帳號登錄帳號控製台。

  2. 點擊工作區在側欄中。

  3. 權限選項卡上,單擊添加權限

  4. 搜索並選擇用戶,分配權限級別(工作區用戶管理),並按保存

使用工作區管理設置頁麵將用戶分配到工作區

工作區管理員可以使用工作區管理設置頁麵添加和管理用戶。

要使用工作區管理設置頁麵將用戶添加到工作區,請執行以下操作:

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理設置

  3. 用戶選項卡上,單擊添加用戶

  4. 選擇一個現有的用戶分配到工作區或創建一個新用戶。

    添加用戶

    若要創建新用戶,請單擊搜索框中的下拉箭頭,然後單擊+添加新用戶

  5. 點擊添加

    Databricks發送確認郵件。如果用戶在5分鍾內沒有收到確認郵件,請用戶檢查他們的垃圾郵件文件夾。

添加用戶後,您將看到用戶及其權限列表:

添加用戶

請注意

如果您的工作空間未啟用聯合身份驗證,則不能將現有帳戶用戶分配到工作區。

使用REST api將用戶分配到工作區

可用於將用戶分配到工作空間的REST api取決於是否啟用了工作空間聯合身份驗證如下:

從工作區中刪除用戶

工作空間管理員可以通過使用工作空間管理設置頁麵和工作空間級SCIM api來刪除工作空間中的用戶。

使用帳戶控製台從工作區中刪除用戶

方法從工作區中刪除用戶賬戶控製台,工作空間必須啟用身份聯合。

  1. 作為帳戶admin或工作空間的工作空間管理員,登錄到帳戶控製台。

  2. 點擊工作區在側欄中。

  3. 權限Tab,找到用戶。

  4. 單擊烤肉串菜單在用戶行最右側的烤肉菜單中選擇刪除

  5. 在彈出的確認對話框中,單擊刪除

使用工作區管理設置從工作區中刪除用戶

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理設置

  3. 用戶選項卡,找到用戶並單擊移除用戶圖標在用戶行最右邊。

  4. 點擊刪除來確認。

使用REST api從工作區中刪除用戶

用於從工作空間中刪除用戶的REST api取決於工作空間是否啟用了身份聯合:

將工作區管理員角色分配給用戶

您可以使用帳戶控製台、工作空間管理設置頁麵、REST api或IdP中的供應連接器來分配工作空間管理角色。

使用帳戶控製台將工作區管理角色分配給用戶

屬性添加到工作區管理角色賬戶控製台時,必須啟用工作區聯合身份驗證

  1. 以admin帳號登錄帳號控製台。

  2. 點擊工作區在側欄中。

  3. 權限Tab,找到用戶。

  4. 單擊烤肉串菜單在用戶行最右側的烤肉菜單中選擇編輯

  5. 角色,選擇管理

  6. 點擊保存

若要從工作區用戶中刪除管理員角色,請執行相同的步驟,但請選擇用戶角色

使用工作區管理設置頁麵將工作區管理角色分配給用戶

要使用工作空間管理設置頁麵分配工作空間管理員角色,請執行以下操作:

  1. 作為一個工作空間管理員,登錄到Databricks工作空間。

  2. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理設置

  3. 用戶選項卡,找到用戶並選擇管理複選框。

若要從工作區用戶中刪除管理員角色,請執行相同的步驟,但要清除管理複選框。

使用REST api將工作區管理角色分配給用戶

可用於分配工作空間管理角色的REST api取決於是否啟用了工作空間聯合身份驗證如下:

  • 為身份聯合啟用的工作區:帳戶管理員可以使用帳戶級別的工作區分配API來分配或刪除工作區管理員角色。帳戶管理員或工作空間管理員都可以使用工作空間級別的工作空間分配API來執行此任務。看到工作區分配API參考

  • 沒有為身份聯合啟用工作區:工作區管理員可以使用工作空間級別的SCIM(組)REST API將用戶分配到管理組或從組中刪除用戶。

使用SCIM供應連接器將工作區管理角色分配給用戶

因為工作區管理員是Databricks的成員管理員組,您可以管理工作區管理角色,方法與使用IdP中的SCIM供應連接器管理任何組供應相同。同步到數據庫的IdP組中的所有組成員管理員group將作為工作空間管理員提供給Databricks。

看到從您的標識提供程序同步用戶和組

為用戶分配授權

授權是允許用戶、服務主體或組以指定的方式與Databricks交互的屬性。授權被分配給工作空間級別的用戶。下表列出了用於管理每個授權的工作區UI和API屬性名。您可以使用工作區管理設置頁麵和工作區級別SCIM REST接口權限管理。

授權名稱(UI)

授權名稱(API)

默認的

描述

工作空間的訪問

workspace-access

默認允許。

當授予用戶或服務主體時,他們可以訪問數據科學與工程和Databricks機器學習基於人物的環境。

不能從工作空間管理員中刪除。

Databricks SQL訪問

databricks-sql-access

默認允許。

當授予用戶或服務主體時,它們可以訪問Databricks SQL。

允許無限製地創建集群

allow-cluster-create

默認情況下不授予用戶或服務主體。

當授予用戶或服務主體時,它們可以創建集群。可以使用。限製對現有集群的訪問集群級別的權限

不能從工作空間管理員中刪除。

允許創建池(不能通過UI)

allow-instance-pool-create

不能授予單個用戶或服務主體。

當授予一個組時,其成員可以創建實例池。

不能從工作空間管理員中刪除。

新用戶有工作空間的訪問Databricks SQL訪問默認為授權。

重要的

要登錄和訪問Databricks,用戶必須擁有Databricks SQL訪問工作空間的訪問權利(或兩者兼有)。

工作空間的訪問授權允許用戶訪問數據科學與工程工作空間和Databricks機器學習。的成員繼承此權限用戶組,該組擁有授權。若要在逐個用戶的基礎上分配此權限,工作區管理員必須從用戶上對其進行分組並將其單獨分配給用戶用戶選項卡。

有關Databricks SQL訪問權限的信息,請參見授權用戶訪問Databricks SQL

如果集群訪問控製啟用,並且不選擇允許無限製地創建集群複選框,則添加用戶沒有集群創建授權。

如果重新激活以前存在於工作空間中的用戶,則恢複該用戶以前的權限。

使用工作區管理設置頁麵為用戶添加或刪除權限

作為工作空間管理員,執行以下操作:

  1. 在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理設置

  2. 轉到用戶所在行。

  3. 如果要添加授權,請選中對應列中的複選框。

  4. 若要移除授權,請取消選中對應列中的複選框。

請注意

管理不是一種權利。的管理複選框是將用戶添加到管理員組。

要顯式地添加授權,您可以選擇其對應的複選框。如果授權是從組繼承的,則選中授權複選框,但不顯示灰色。要移除繼承的授權,要麼將用戶從擁有授權的組中移除,要麼將授權從組中移除。

allow-instance-pool-create權限不能直接授予用戶。相反,您可以將權限授予一個組,並將用戶添加到該組。

你也可以為組添加或刪除權限

使用SCIM REST api為用戶添加或刪除權限

當您使用工作空間級別的SCIM(用戶)REST API創建或更新用戶(通過PATCH或PUT)時,您可以添加授權。例如,此API調用添加allow-cluster-create指定用戶的授權。

curl—netrc -X PATCH\https:// < databricks-instance > / api / 2.0 /預覽/ scim / v2 /用戶/ <用戶id >\——頭內容類型:應用程序/ scim + json的\——數據@update-user.json\|金橋。

update-user.json

{“模式”(“urn: ietf:參數:scim: api:消息:2.0:PatchOp”],“操作”({“人事處”“添加”“路徑”“權利”“價值”({“價值”“allow-cluster-create”}}}

詳細信息請參見工作空間級別的SCIM(用戶)REST API參考