gerenciar usuários
Este artigo explica como adicionar, atualizar e remover usuários do Databricks.
Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.
Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.
Visão geral do gerenciamento de usuários
Para gerenciar usuários no Databricks, você deve ser um administrador da conta ou um administrador do workspace .
-
Os administradores de conta podem adicionar usuários ao site account e atribuir-lhes funções de administrador. Eles também podem atribuir usuários ao espaço de trabalho e configurar o acesso aos dados para eles em todo o espaço de trabalho, desde que esse espaço de trabalho use a federação de identidade.
-
Os administradores do espaço de trabalho podem adicionar usuários a um Databricks workspace, atribuir a eles a função de administrador do workspace e gerenciar o acesso a objetos e funcionalidades no workspace, como a capacidade de criar clustering ou acessar ambientes específicos baseados em personas. A adição de um usuário a um Databricks workspace também o adiciona ao account.
Os administradores do espaço de trabalho são membros do grupo
adminsno site workspace, que é um grupo reservado que não pode ser excluído.
Databricks começou a habilitar o novo espaço de trabalho para federação de identidade e Unity Catalog automaticamente em 8 de novembro de 2023, com uma implementação gradual em toda a conta. Se o seu workspace estiver habilitado para a federação de identidade pelo default, ele não poderá ser desabilitado. Para obter mais informações, consulte Habilitação automática do Unity Catalog site.
Sincronize os usuários com o site Databricks account a partir de um provedor de identidade
Os administradores da conta podem sincronizar usuários do seu provedor de identidade (IdP) com sua conta do Databricks usando um conector de provisionamento SCIM.
Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o accountnível.
Para obter instruções, consulte Sincronizar usuários e grupos com o site Databricks account .
gerenciar usuários em sua account
Os administradores de conta podem adicionar usuários ao seu Databricks account usando o consoleaccount. Os usuários em um Databricks account não têm nenhum default acesso a um workspace, dados ou compute recurso.
Adicione usuários ao seu account usando o console account
- Como administrador da conta, faça login no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Usuários , clique em Adicionar usuário .
- Digite um nome e um endereço de e-mail para o usuário.
- Clique em Adicionar usuário .
Um usuário não pode pertencer a mais de 50 contas do Databricks.
Para dar aos usuários acesso a um workspace, é necessário adicioná-los ao workspace. Veja como gerenciar usuários em seu site workspace.
Atribuir funções de administrador do account a um usuário
-
Como administrador da conta, faça login no console da conta.
-
Na barra lateral, clique em Gerenciamento de usuários .
-
Encontre e clique no nome de usuário.
-
Em Roles (Funções ) tab, ative a opção account admin (administrador da conta ), marketplace admin (administrador do marketplace ) ou Billing admin (administrador do faturamento ).
Atribua um usuário a um workspace usando o console account
Para adicionar usuários a um workspace usando o console account, o workspace deve estar habilitado para a federação de identidade. Os administradores do espaço de trabalho também podem atribuir usuários ao espaço de trabalho usando a página de configurações de administração workspace. Consulte Atribuir um usuário a um workspace usando a página de configurações de administração workspace.
- Como administrador da conta, faça login no console da conta.
- Na barra lateral, clique em Workspaces .
- Clique no nome do workspace.
- Na guia Permissões , clique em Adicionar permissões .
- Procure e selecione o usuário, atribua o nível de permissão ( usuário ou administrador do workspace) e clique em Salvar .
Remova um usuário de um workspace usando o console account
Para remover usuários de um workspace usando o console account, o workspace deve estar habilitado para a federação de identidade. Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site workspace, ele recuperará as permissões anteriores.
- Como account administrador do, log in acesse o account console em
- Na barra lateral, clique em Workspaces .
- Clique no nome do workspace.
- Na guia Permissões , localize o usuário.
- Clique no menu
kebab na extremidade direita da linha do usuário e selecione Remover . - Na caixa de diálogo de confirmação, clique em Remover .
Desativar um usuário em seu Databricks account
Os administradores da conta podem desativar usuários em uma conta do Databricks. Um usuário desativado não pode fazer logon na conta ou nos workspaces do Databricks. No entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados. Quando um usuário é desativado, o seguinte é verdadeiro:
- O usuário não pode acessar a conta ou qualquer um de seus workspaces usando nenhum método.
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
- Os blocos de anotações de propriedade do usuário permanecem.
- Os clusters de propriedade do usuário permanecem em execução.
- Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.
Quando um usuário é reativado, ele pode fazer login no Databricks com as mesmas permissões. Databricks recomenda desativar usuários do site account em vez de removê-los, pois remover um usuário é uma ação destrutiva. O status de um usuário desativado é o rótulo Inactive (Inativo ) no console account. O senhor também pode desativar um usuário de um site específico workspace. Consulte Desativar um usuário em Databricks workspace .
Não é possível desativar um usuário usando o console account. Em vez disso, use a conta Users API. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Remover usuários do site Databricks account
Os administradores da conta podem excluir usuários de uma conta do Databricks. Os administradores do workspace não podem. Quando você remove um usuário da conta, esse usuário também é removido de seus workspaces.
Quando você remove um usuário da conta, esse usuário também é removido de suas áreas de trabalho, independentemente de a federação de identidade ter sido habilitada ou não.Recomendamos que você evite excluir os usuários de nível de conta, a menos que deseje que eles percam o acesso a todas as áreas de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:
- Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks
- Os jobs pertencentes ao usuário não vão funcionar
- Os clusters pertencentes ao usuário serão interrompidos
- As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento
Quando um usuário é removido de um account, ele não pode mais acessar o account ou seu espaço de trabalho; no entanto, as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site account, ele recuperará as permissões anteriores.
Para remover um usuário usando o console da conta, faça o seguinte:
- Como administrador da conta, faça login no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Encontre e clique no nome de usuário.
- Na aba Informações do usuário , clique no menu da guia no canto superior direito e selecione Excluir .
- Na caixa de diálogo de confirmação, clique em Confirmar exclusão .
Se o senhor remover um usuário usando o console account, deverá certificar-se de que também removerá o usuário usando quaisquer conectores de provisionamento SCIM ou aplicativos SCIM API que tenham sido configurados para o account. Se o senhor não fizer isso, o provisionamento do SCIM adicionará o usuário de volta na próxima vez que for sincronizado. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.
Para remover um usuário de um Databricks account usando SCIM APIs, o senhor deve ser um administrador do account. Consulte Sincronizar usuários e grupos com o site Databricks accounte a conta Groups API.
gerenciar usuários em sua workspace
Os administradores do workspace podem adicionar e gerenciar usuários usando a página de configurações de administração do workspace.
Atribua um usuário a um workspace usando a página de configurações de administração workspace
Para adicionar um usuário a um workspace usando a página de configurações de administração do workspace, faça o seguinte:
-
Como administrador do workspace, faça login no workspace do Databricks.
-
Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
-
Clique na guia Identidade e acesso .
-
Ao lado de Usuários , clique em Gerenciar .
-
Clique em Adicionar usuário .
-
Selecione um usuário existente para atribuir ao workspace ou clique em Add new (Adicionar novo) para criar um novo usuário.
-
Clique em Adicionar .
Databricks envia uma confirmação email. Se o usuário não receber a confirmação email em cinco minutos, peça ao usuário para verificar a pasta de spam. A adição de um novo usuário ao site workspace também adiciona o usuário ao site Databricks account.
Se o site workspace não estiver habilitado para federação de identidade, o senhor só verá a opção de adicionar um novo usuário ao site workspace. Se o senhor adicionar um usuário que compartilhe um nome de usuário (endereçoemail ) com um usuário existente do account, esses usuários serão mesclados.
Atribua a função de administrador do workspace a um usuário usando a página de configurações de administrador do workspace
Para atribuir a função de administrador da área de trabalho usando a página de configurações de administração da área de trabalho, siga as etapas abaixo:
- Como administrador do workspace, faça login no workspace do Databricks.
- Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
- Clique na guia Identidade e acesso .
- Ao lado de Usuários , clique em Gerenciar .
- Selecione o usuário.
- Clique na guia Direitos .
- Clique no botão ao lado de Acesso de administrador .
Para remover a função de administrador workspace de um usuário workspace, execute as mesmas etapas, mas desmarque a alternância de acesso Admin .
Desativar um usuário em seu Databricks workspace
Os administradores do workspace podem desativar usuários em um workspace do Databricks. Um usuário desativado não pode fazer login no workspace nem acessá-lo por meio das APIs do Databricks, no entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados.Quando um usuário é desativado:
- O usuário não pode fazer login nos workspaces usando nenhum método.
- O status do usuário é exibido como Inactive (Inativo ) na página de configuração do administrador workspace.
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
- Os blocos de anotações de propriedade do usuário permanecem.
- Os clusters de propriedade do usuário permanecem em execução.
- Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.
Quando um usuário é reativado, ele pode fazer login no site workspace com as mesmas permissões. A Databricks recomenda desativar os usuários em vez de removê-los, pois remover um usuário é uma ação destrutiva. O senhor não pode desativar um usuário usando a página de configurações de administração workspace. Em vez disso, use o espaço de trabalho Users API. Por exemplo:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Remova um usuário de um site workspace usando a página de configurações de administração workspace
Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site workspace, ele recuperará as permissões anteriores.
- Como administrador do workspace, faça login no workspace do Databricks.
- Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
- Clique na guia Identidade e acesso .
- Ao lado de Usuários , clique em Gerenciar .
- Encontre o menu do usuário e do kebab na extremidade direita da linha do usuário e selecione Remover.
- Clique em Excluir para confirmar.
gerenciar usuários usando o API
Os administradores de conta e de workspace podem gerenciar usuários na conta e nos workspaces do Databricks usando as APIs do Databricks.
Gerenciar usuários no site account usando o API
Os administradores podem adicionar e gerenciar usuários na conta do Databricks usando a API de usuários da conta. Administradores de conta e administradores de workspace invocam a API com outra URL de endpoint:
- Administradores de conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Os administradores do workspace usam
{workspace-domain}/api/2.0/account/scim/v2/.
Para obter detalhes, consulte a API Usuários da conta.
Gerenciar usuários no site workspace usando o API
Os administradores de conta e de workspace podem usar a API de atribuição de workspace para atribuir usuários a workspaces habilitados para federação de identidade. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.
- Administradores de conta usam
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Os administradores do workspace usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.
Consulte API de atribuição de workspace.
Se o seu workspace não estiver habilitado para a federação de identidades, o administrador do workspace poderá usar as APIs no nível do workspace para atribuir usuários aos seus workspaces. Consulte API de usuários do workspace.