管理用户

本文介绍如何添加、更新和删除Databricks用户。

有关Databricks标识模型的概述,请参见数据库身份和角色

要了解如何管理组,请参见管理组

用户管理概述

有四种类型的用户:

  • 工作空间的用户在该工作空间中执行数据科学、数据工程和数据分析任务的人员。

  • 工作空间管理员谁可以管理工作空间用户及其对工作空间中对象的访问。

    的成员管理员集团

  • 账户管理员他们管理帐户级别的配置,如工作空间的创建、网络和存储配置、审计日志记录、计费和其他帐户管理员的分配。的账户所有者是最初设置帐户的用户。他们添加了第一个帐户管理员。

  • 用户帐户可以使用帐户控制台查看并连接到他们的工作空间。帐户和工作空间管理员可以向帐户添加用户。

向Databricks帐户添加用户

帐户管理员可以使用帐户控制台、IdP的供应连接器或SCIM(帐户)API向Databricks帐户添加用户。

请注意

一个用户不能属于50个以上的Databricks帐户。

使用帐户控制台向帐户添加用户

使用帐户控制台将用户添加到帐户,请执行以下操作:

  1. 以admin帐户登录账户控制台

  2. 在帐户控制台的顶部栏中单击您的用户名并选择用户管理

  3. 用户选项卡上,单击添加用户

  4. 为用户输入名称和电子邮件地址。

  5. 点击发送邀请

要让用户访问工作空间,必须将他们添加到工作空间。看到向工作区添加用户

从身份提供者将用户同步到Databricks帐户

帐户管理员可以使用SCIM配置连接器将用户从标识提供者(IdP)同步到Databricks帐户。

有关说明,请参见为Databricks帐户提供身份

使用SCIM api向您的帐户添加用户

帐户管理员可以使用SCIM帐户API在Databricks帐户中添加和管理其他帐户管理员。

使用SCIM api添加用户,请执行以下操作:

  1. 使用SCIM API 2.0(帐户)来确定用户是否已经存在。

  2. 如果用户不存在,请使用相同的API创建用户。

为用户分配帐户admin权限

通过帐户控制台为帐户admin分配权限,请执行以下操作:

  1. 以admin帐户登录账户控制台

  2. 点击Account控制台用户管理图标用户管理

  3. 找到并单击用户名。

  4. 角色Tab,打开账户管理

属性为帐户分配管理员角色SCIM API 2.0(帐户)

从您的Databricks帐户中删除用户

帐户管理员可以从Databricks帐户中删除用户。工作空间管理员则不能。当您从帐户中删除用户时,该用户也将从其工作空间中删除。

重要的

从帐户中删除用户时,该用户也将从其工作空间中删除。您应该避免删除帐户级用户,除非您希望他们失去对帐户中所有工作区的访问权。删除用户的后果如下:

  • 使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API

  • 用户拥有的作业将失败

  • 用户所属的集群将停止运行

  • 由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败

使用帐户控制台删除用户,请执行以下操作:

  1. 以admin帐户登录账户控制台

  2. 在帐户控制台的顶部栏中单击您的用户名并选择用户管理

  3. 找到并单击用户名。

  4. 用户信息选项卡,单击烤肉串菜单烤肉菜单在右上方并选择删除

  5. 在弹出的确认对话框中,单击确认删除

如果使用帐户控制台删除用户,则必须确保还使用已为帐户设置的任何SCIM供应连接器或SCIM API应用程序删除用户。如果不这样做,SCIM配置将在下次同步时简单地将用户添加回来。看到从您的标识提供程序同步用户和组

要使用SCIM api从Databricks帐户中删除用户,必须是帐户admin。看到为Databricks帐户提供身份而且SCIM API 2.0(帐户)

向工作区添加用户

工作区管理员可以使用Databricks管理用户帐户管理控制台,Scim API 2.0,或支持scim的身份提供程序比如Okta或Azure活动目录。

您可以使用管理控制台的Users选项卡:

  • 添加和删除用户。

  • 的成员资格授予和撤销管理员组。

  • 管理用户的权利

    • 授予和撤销对数据科学与工程工作空间和Databricks SQL的访问权权利

    • 授予和撤销创建集群的能力(如果集群访问控制已为工作区启用)。

您还可以将用户添加到组中。看到管理组

使用工作区管理控制台将用户添加到工作区

  1. 作为一个工作空间管理员,登录到Databricks工作空间。

  2. 在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台

  3. 用户选项卡上,单击添加用户

  4. 输入用户邮箱ID。

    添加用户

    请注意

    若要启用工作区REST api的谷歌ID身份验证,可以添加谷歌业务帐号作为工作空间用户的电子邮件地址。看到使用谷歌ID令牌对工作区api进行身份验证.不能使用“谷歌”业务帐号地址登录web应用。注意,以用户身份添加服务帐户与以用户身份添加服务帐户不同数据服务负责人

  5. 点击发送邀请

    Databricks发送一封带有URL的确认电子邮件以接受邀请。如果用户在5分钟内没有收到确认邮件,请用户检查他们的垃圾邮件文件夹。

    用户将看到一个登录谷歌屏幕,提示“选择一个帐户继续到数据库”。用户必须选择与邀请邮件地址匹配的邮箱地址。

    请注意

    如果您作为工作空间的用户添加了谷歌服务帐户电子邮件地址,则Databricks不会发送邀请通知电子邮件。

添加用户后,您将看到用户及其权限列表:

添加用户

使用REST api将用户添加到工作区

工作空间管理员可以使用工作空间级别的SCIM REST api将用户和其他身份添加到他们的工作空间。看到Scim API 2.0

请注意

若要启用工作区REST api的谷歌ID身份验证,可以添加谷歌业务帐号作为工作空间用户的电子邮件地址。看到使用谷歌ID令牌对工作区api进行身份验证.不能使用“谷歌”业务帐号地址登录web应用。注意,以用户身份添加服务帐户与以用户身份添加服务帐户不同数据服务负责人

从工作区中删除用户

工作空间管理员可以使用以下方法删除工作空间中的用户:

  • 工作区管理控制台

  • 为标识提供程序提供连接器

  • 工作空间级别的SCIM api

使用管理控制台从工作区中删除用户

  1. 作为一个工作空间管理员,登录到Databricks工作空间。

  2. 在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台

  3. 用户选项卡,找到用户并单击移除用户图标在用户行最右边。

  4. 点击删除来确认。

使用REST api从工作区中删除用户

工作空间管理员可以使用工作空间级别的SCIM REST api从他们的工作空间中删除用户。看到Scim API 2.0

将工作区管理员角色分配给用户

您可以使用工作空间管理控制台或REST api分配工作空间管理角色。

使用工作区管理控制台将工作区管理角色分配给用户

要使用工作空间管理控制台分配工作空间管理角色,请执行以下操作:

  1. 作为一个工作空间管理员,登录到Databricks工作空间。

  2. 在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台

  3. 用户选项卡,找到用户并选择管理复选框。

若要从工作区用户中删除管理员角色,请执行相同的步骤,但要清除管理复选框。

使用REST api将工作区管理角色分配给用户

工作区管理员可以使用SCIM (Groups) REST API将用户分配到管理组或从组中删除用户。

为用户分配授权

授权是允许用户、服务主体或组以指定的方式与Databricks交互的属性。授权被分配给工作空间级别的用户。下表列出了用于管理每个授权的工作区UI和API属性名。您可以使用工作区管理控制台和工作区级别SCIM REST接口权限管理。

授权名称(UI)

授权名称(API)

默认的

描述

工作空间的访问

workspace-access

默认允许。

当授予用户或服务主体时,他们可以访问数据科学与工程和Databricks机器学习基于人物的环境。

不能从工作空间管理员中删除。

Databricks SQL访问

databricks-sql-access

默认允许。

当授予用户或服务主体时,它们可以访问Databricks SQL。

允许无限制地创建集群

allow-cluster-create

默认情况下不授予用户或服务主体。

当授予用户或服务主体时,它们可以创建集群。可以使用。限制对现有集群的访问集群级别的权限

不能从工作空间管理员中删除。

允许创建池(不能通过UI)

allow-instance-pool-create

不能授予单个用户或服务主体。

当授予一个组时,其成员可以创建实例池。

不能从工作空间管理员中删除。

新用户有工作空间的访问而且Databricks SQL访问默认为授权。

重要的

要登录和访问Databricks,用户必须拥有Databricks SQL访问工作空间的访问权利(或两者兼有)。

工作空间的访问授权允许用户访问数据科学与工程工作空间和Databricks机器学习。的成员继承此权限用户组,该组拥有授权。若要在逐个用户的基础上分配此权限,工作区管理员必须从用户上对其进行分组并将其单独分配给用户用户选项卡。

有关Databricks SQL访问权限的信息,请参见管理用户和组

如果集群访问控制启用,并且不选择允许无限制地创建集群复选框,则添加用户没有集群创建授权。

如果重新激活以前存在于工作空间中的用户,则恢复该用户以前的权限。

使用工作区管理控制台为用户添加或删除授权

作为工作空间管理员,执行以下操作:

  1. 在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台

  2. 转到用户所在行。

  3. 如果要添加授权,请选中对应列中的复选框。

  4. 若要移除授权,请取消选中对应列中的复选框。

请注意

管理不是一种权利。的管理复选框是将用户添加到管理员组。

要显式地添加授权,您可以选择其对应的复选框。如果授权是从组继承的,则选中授权复选框,但不显示灰色。要移除继承的授权,要么将用户从拥有授权的组中移除,要么将授权从组中移除。

allow-instance-pool-create权限不能直接授予用户。相反,您可以将权限授予一个组,并将用户添加到该组。

你也可以为组添加或删除权限

使用SCIM REST api为用户添加或删除权限

当您使用工作空间级别的SCIM(用户)REST API创建或更新用户(通过PATCH或PUT)时,您可以添加授权。例如,此API调用添加allow-cluster-create指定用户的授权。

curl—netrc -X PATCHhttps:// < databricks-instance > / api / 2.0 /预览/ scim / v2 /用户/ <用户id >——头内容类型:应用程序/ scim + json的——数据@update-user.json|金桥。

update-user.json

“模式”“urn: ietf:参数:scim: api:消息:2.0:PatchOp”),“操作”“人事处”“添加”“路径”“权利”“价值”“价值”“allow-cluster-create”

详细信息请参见工作空间级别的SCIM(用户)REST API参考