管理用户
本文介绍如何添加、更新和删除Databricks用户。
有关Databricks标识模型的概述,请参见数据库身份和角色.
用户管理概述
若要管理“数据库”中的用户,必须是账户管理或者一个工作空间管理.
账户管理员可以将用户添加到帐户并为其分配管理角色。他们还可以为用户分配工作空间,并为他们配置跨工作空间的数据访问,只要这些工作空间使用联合身份验证.
工作空间管理员可以将用户添加到Databricks工作空间,为他们分配工作空间管理员角色,并管理对工作空间中对象和功能的访问,例如创建集群或访问指定的基于角色的环境的能力。如果工作空间没有使用联合身份验证,帐户管理员不能使用帐户级接口(如帐户控制台)将用户分配到该工作空间。工作空间管理员必须执行此任务。
的成员
管理员集团,这是一个不能删除的保留组。
管理员帐户可以通过以下界面管理所有用户:
帐户控制台
为标识提供程序提供连接器(例如,Okta或Azure Active Directory)
工作空间管理员可以使用以下界面管理工作空间中的用户:
工作区管理控制台
为标识提供程序提供连接器(例如,Okta或Azure Active Directory)
的SCIM(帐户)API(通过调用
{workspace-domain} / api / 2.0 /账户/ scim / v2 /)
向Databricks帐户添加用户
帐户管理员可以使用帐户控制台、IdP的供应连接器或SCIM(帐户)API向Databricks帐户添加用户。
请注意
一个用户不能属于50个以上的Databricks帐户。
使用帐户控制台向帐户添加用户
以admin帐户登录账户控制台.
点击
用户管理.在用户选项卡上,单击添加用户.
为用户输入名称和电子邮件地址。
点击发送邀请.
用户管理.Databricks发送一封带有URL的确认电子邮件以接受邀请。如果用户在5分钟内没有收到确认邮件,请用户检查他们的垃圾邮件文件夹。
要让用户访问工作空间,必须将他们添加到工作空间。看到向工作区添加用户.
从身份提供者将用户同步到Databricks帐户
帐户管理员可以使用SCIM配置连接器将用户从标识提供者(IdP)同步到Databricks帐户。
重要的
如果您已经拥有将标识直接同步到工作空间的SCIM连接器并且这些工作区为身份联合启用,当启用帐户级SCIM连接器时,应该禁用那些SCIM连接器。如果您的工作区没有使用身份联合,那么您应该继续使用为这些工作区配置的任何SCIM连接器,并与帐户级SCIM连接器并行运行。
有关说明,请参见为Databricks帐户提供身份.
使用SCIM api向您的帐户添加用户
帐户管理员可以使用SCIM帐户API在Databricks帐户中添加和管理用户。
工作区管理员也可以使用此API管理用户,但他们必须使用不同的端点URL调用API:
帐户管理员使用
accounts.cloud.www.neidfyre.com/api/2.0/accounts/ {account_id} / scim / v2 /.工作区管理员使用
{workspace-domain} / api / 2.0 /账户/ scim / v2 /.
使用实例通过SCIM api添加用户。
使用SCIM API 2.0(帐户)来确定用户是否已经存在。
如果用户不存在,请使用相同的API创建用户。
属性将用户分配到工作区工作空间分配API.
从您的Databricks帐户中删除用户
帐户管理员可以从Databricks帐户中删除用户。工作空间管理员则不能。当您从帐户中删除用户时,该用户也将从其工作空间中删除。
重要的
当您从帐户中删除用户时,该用户也将从其工作区中删除,无论是否启用了身份联合。您应该避免删除帐户级用户,除非您希望他们失去对帐户中所有工作区的访问权。删除用户的后果如下:
使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API
用户拥有的作业将失败
用户所属的集群将停止运行
由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败
使用帐户控制台删除用户,请执行以下操作:
以admin帐户登录账户控制台.
点击
用户管理.找到并单击用户名。
在用户信息选项卡,单击
烤肉菜单在右上方并选择删除.在弹出的确认对话框中,单击确认删除.
烤肉菜单在右上方并选择删除.如果使用帐户控制台删除用户,则必须确保还使用已为帐户设置的任何SCIM供应连接器或SCIM API应用程序删除用户。如果不这样做,SCIM配置将在下次同步时简单地将用户添加回来。看到从您的标识提供程序同步用户和组.
要使用SCIM api从Databricks帐户中删除用户,必须是帐户admin。看到为Databricks帐户提供身份而且SCIM API 2.0(帐户).
向工作区添加用户
帐户管理员可以将用户添加到identity-federated工作区使用以下方法:
帐户控制台
工作空间分配API
工作空间管理员可以使用以下方法管理工作空间中的用户:
工作区管理控制台
工作空间分配API(如果为身份联合启用了工作空间)
为标识提供程序提供连接器
工作空间级别的SCIM api
使用帐户控制台将用户分配到工作区
要使用帐户控制台将用户添加到工作空间,必须启用工作空间的身份联合功能。
以admin帐户登录账户控制台.
点击
工作区.在权限选项卡上,单击添加权限.
搜索并选择用户,分配权限级别(工作区用户或管理),并按保存.
工作区.使用工作区管理控制台将用户添加到工作区
工作区管理员可以使用工作区管理控制台添加和管理用户。
要使用工作区管理控制台将用户添加到工作区,请执行以下操作:
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在用户选项卡上,单击添加用户.
选择一个现有的用户分配到工作区或创建一个新用户。
若要创建新用户,请单击搜索框中的下拉箭头,然后单击+添加新用户.
点击添加.
Databricks发送确认邮件。如果用户在5分钟内没有收到确认邮件,请用户检查他们的垃圾邮件文件夹。
请注意
如果您的工作空间未启用联合身份验证,则不能将现有帐户用户分配到工作区。
使用REST api将用户分配到工作区
可用于将用户分配到工作空间的REST api取决于是否启用了工作空间联合身份验证如下:
为身份联合启用的工作区:帐户管理员可以使用帐户级别的工作区分配API将用户和其他身份分配到工作区。帐户管理员或工作空间管理员都可以使用工作空间级别的工作空间分配API来执行此任务。看到工作区分配(帐户)API和工作区分配(工作区)API引用
没有为身份联合启用工作区:工作空间管理员可以使用工作空间级别的SCIM api将用户和其他身份分配到他们的工作空间。看到Scim API 2.0.
从工作区中删除用户
帐户管理员可以从identity-federated工作区使用以下方法:
帐户控制台
工作空间分配API
工作空间管理员可以使用以下方法将用户从工作空间中删除:
工作区管理控制台
工作空间分配API(如果为身份联合启用了工作空间)
为标识提供程序提供连接器
工作空间级别的SCIM api
使用帐户控制台从工作区中删除用户
若要使用帐户控制台从工作空间中删除用户,必须启用工作空间的身份联合功能。
以工作区的帐户admin或工作区的管理员身份登录账户控制台.
点击
工作区.在权限Tab,找到用户。
单击
在用户行最右侧的烤肉菜单中选择删除.在弹出的确认对话框中,单击删除.
使用管理控制台从工作区中删除用户
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在用户选项卡,找到用户并单击
在用户行最右边。点击删除来确认。
在用户行最右边。使用REST api从工作区中删除用户
用于从工作空间中删除用户的REST api取决于工作空间是否启用了身份联合:
为身份联合启用的工作区:帐户管理员可以使用帐户级别的工作区分配API从工作区中删除用户。帐户管理员或工作空间管理员都可以使用工作空间级别的工作空间分配API来执行此任务。看到工作区分配(帐户)API和工作区分配(工作区)API引用
没有为身份联合启用工作区:工作空间管理员可以使用工作空间级别的SCIM api将用户从他们的工作空间中删除。看到Scim API 2.0.
将工作区管理员角色分配给用户
您可以使用帐户控制台、工作空间管理控制台、REST api或IdP中的供应连接器来分配工作空间管理角色。
使用帐户控制台将工作区管理角色分配给用户
对于使用帐户控制台的工作空间管理角色,必须启用工作空间联合身份验证.
以admin帐户登录账户控制台.
点击
工作区.在权限Tab,找到用户。
单击
在用户行最右侧的烤肉菜单中选择编辑.下角色,选择管理.
点击保存.
若要从工作区用户中删除管理员角色,请执行相同的步骤,但请选择用户下角色.
使用工作区管理控制台将工作区管理角色分配给用户
要使用工作空间管理控制台分配工作空间管理角色,请执行以下操作:
作为一个工作空间管理员,登录到Databricks工作空间。
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
在用户选项卡,找到用户并选择管理复选框。
若要从工作区用户中删除管理员角色,请执行相同的步骤,但要清除管理复选框。
使用REST api将工作区管理角色分配给用户
可用于分配工作空间管理角色的REST api取决于是否启用了工作空间联合身份验证如下:
为身份联合启用的工作区:帐户管理员可以使用帐户级别的工作区分配API来分配或删除工作区管理员角色。帐户管理员或工作空间管理员都可以使用工作空间级别的工作空间分配API来执行此任务。看到工作区分配API参考
没有为身份联合启用工作区:工作区管理员可以使用工作空间级别的SCIM(组)REST API将用户分配到管理组或从组中删除用户。
为工作空间用户分配权利
授权是允许用户、服务主体或组以指定的方式与Databricks交互的属性。授权被分配给工作空间级别的用户。下表列出了用于管理每个授权的工作区UI和API属性名。您可以使用工作区管理控制台和工作区级别SCIM REST接口权限管理。
授权名称(UI) |
授权名称(API) |
默认的 |
描述 |
|---|---|---|---|
工作空间的访问 |
|
默认允许。 |
当授予用户或服务主体时,他们可以访问数据科学与工程和Databricks机器学习基于人物的环境。 不能从工作空间管理员中删除。 |
Databricks SQL访问 |
|
默认允许。 |
当授予用户或服务主体时,它们可以访问Databricks SQL。 |
允许无限制地创建集群 |
|
默认情况下不授予用户或服务主体。 |
当授予用户或服务主体时,它们可以创建集群。可以使用。限制对现有集群的访问集群级别的权限. 不能从工作空间管理员中删除。 |
允许创建池(不能通过UI) |
|
不能授予单个用户或服务主体。 |
当授予一个组时,其成员可以创建实例池。 不能从工作空间管理员中删除。 |
新用户有工作空间的访问而且Databricks SQL访问默认为授权。
重要的
要登录和访问Databricks,用户必须拥有Databricks SQL访问或工作空间的访问权利(或两者兼有)。
的工作空间的访问授权允许用户访问数据科学与工程工作空间和Databricks机器学习。的成员继承此权限用户组,该组拥有授权。若要在逐个用户的基础上分配此权限,工作区管理员必须从用户上对其进行分组并将其单独分配给用户用户选项卡。
有关Databricks SQL访问权限的信息,请参见授权用户访问Databricks SQL.
如果集群访问控制启用,并且不选择允许无限制地创建集群复选框,则添加用户没有集群创建授权。
如果重新激活以前存在于工作空间中的用户,则恢复该用户以前的权限。
使用工作区管理控制台为用户添加或删除授权
作为工作空间管理员,执行以下操作:
在Databricks工作区的顶部栏中单击您的用户名并选择管理控制台.
进入用户所在行。
如果要添加授权,请选中对应列中的复选框。
若要移除授权,请取消选中对应列中的复选框。
请注意
管理不是一种权利。的管理复选框是将用户添加到管理员组。
要显式地添加授权,您可以选择其对应的复选框。如果授权是从组继承的,则选中授权复选框,但不显示灰色。要移除继承的授权,要么将用户从拥有授权的组中移除,要么将授权从组中移除。
的allow-instance-pool-create权限不能直接授予用户。相反,您可以将权限授予一个组,并将用户添加到该组。
你也可以为组添加或删除权限.
使用SCIM REST api为用户添加或删除权限
当您使用工作空间级别的SCIM(用户)REST API创建或更新用户(通过PATCH或PUT)时,您可以添加授权。例如,此API调用添加allow-cluster-create指定用户的授权。
curl—netrc -X PATCH\https:// < databricks-instance > / api / 2.0 /预览/ scim / v2 /用户/ <用户id >\——头内容类型:应用程序/ scim + json的\——数据@update-user.json\|金桥。
update-user.json:
{“模式”:[“urn: ietf:参数:scim: api:消息:2.0:PatchOp”),“操作”:[{“人事处”:“添加”,“路径”:“权利”,“价值”:[{“价值”:“allow-cluster-create”}]}]}
详细信息请参见工作空间级别的SCIM(用户)REST API参考.