Gerenciar usuários
Este artigo explica como adicionar, atualizar e remover usuários do Databricks.
Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.
Para gerenciar o acesso dos usuários, consulte Autenticação e controle de acesso.
Visão geral do gerenciamento de usuários
Para gerenciar usuários no Databricks, você deve ser um administrador da conta ou um administrador do workspace.
os administradores account podem adicionar usuários à account e atribuir-lhes funções administrativas. Eles também podem atribuir usuários a espaços de trabalho e configurar o acesso a dados para eles nos espaços de trabalho, desde que esses espaços de trabalho usem federação de identidade.
workspace Os administradores podem adicionar usuários a um Databricks workspace, atribuir a eles a função de administrador do workspace e gerenciar o acesso a objetos e funcionalidades no workspace, como a capacidade de criar clusters ou acessar ambientes específicos baseados em personas. Adicionar um usuário a um Databricks workspace também o adiciona ao account.
Os administradores do workspace são membros do grupo
admins
no workspace, que é um grupo reservado que não pode ser excluído.
Importante
Databricks começou a habilitar o novo espaço de trabalho para federação de identidade e Unity Catalog automaticamente em 6 de março de 2024, com uma implementação gradual em toda a conta. Se o seu workspace estiver habilitado para a federação de identidade por default, ele não poderá ser desabilitado. Para obter mais informações, consulte Habilitação automática do Unity Catalog site .
Sincronize usuários com sua conta do Databricks de um provedor de identidade
Os administradores da conta podem sincronizar usuários do seu provedor de identidade (IdP) com sua conta do Databricks usando um conector de provisionamento SCIM.
Importante
Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o nível account .
Para obter instruções, consulte Sincronizar usuários e grupos com a sua conta Databricks.
Gerenciar usuários em sua conta
account Os administradores podem adicionar usuários ao seu Databricks account usando o consoleaccount . Os usuários em um Databricks account não têm nenhum default acesso a um workspace, dados ou compute recurso.
Adicionar usuários à sua conta usando o console da conta
Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Usuários , clique em Adicionar usuário.
Digite um nome e um endereço de e-mail para o usuário.
Clique em Add user (Adicionar usuário).
Observação
Um usuário não pode pertencer a mais de 50 contas do Databricks.
Para conceder aos usuários acesso a um workspace, é necessário adicioná-los ao workspace. Veja como gerenciar usuários em seu site workspace.
Atribuir funções de administrador de conta a um usuário
Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Encontre e clique no nome de usuário.
Na aba Funções, habilite Administrador da conta ou Administrador do Marketplace.
Atribuir um usuário a um workspace usando o console da conta
Para adicionar usuários a um workspace usando o console account, o workspace deve estar habilitado para a federação de identidade. workspace Os administradores também podem atribuir usuários ao espaço de trabalho usando a página de configurações de administração workspace. Consulte Atribuir um usuário a um workspace usando a página de configurações de administração workspace .
Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Espaços de trabalho.
Clique no nome do workspace.
Na guia Permissões, clique em Adicionar permissões.
Procure e selecione o usuário, atribua o nível de permissão (usuário ou administrador do workspace) e clique em Salvar.
Remover um usuário de um workspace usando o console da conta
Para remover usuários de um workspace usando o console account, o workspace deve estar habilitado para a federação de identidade. Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site workspace, ele recuperará as permissões anteriores.
Como account administrador do , log in acesse o account console em
Na barra lateral, clique em Espaços de trabalho.
Clique no nome do workspace.
Na guia Permissões, localize o usuário.
Clique no menu kebab na extremidade direita da linha do usuário e selecione Remover.
Na caixa de diálogo de confirmação, clique em Remover.
Desativar um usuário em sua conta Databricks
Os administradores da conta podem desativar usuários em uma conta do Databricks. Um usuário desativado não pode fazer logon na conta ou nos workspaces do Databricks. No entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados. Quando um usuário é desativado, o seguinte é verdadeiro:
O usuário não pode acessar a conta ou qualquer um de seus workspaces usando nenhum método.
Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
Os blocos de anotações de propriedade do usuário permanecem.
Os clusters de propriedade do usuário permanecem em execução.
Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.
Quando um usuário é reativado, ele pode fazer login no Databricks com as mesmas permissões. Databricks recomenda desativar usuários do site account em vez de removê-los, pois remover um usuário é uma ação destrutiva. O status de um usuário desativado é o rótulo Inactive (Inativo ) no console account. O senhor também pode desativar um usuário de um site específico workspace. Consulte Desativar um usuário no espaço de trabalho do Databricks.
Não é possível desativar um usuário usando o console account. Em vez disso, use a conta Users API. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Remover usuários da sua conta Databricks
Os administradores da conta podem excluir usuários de uma conta do Databricks. Os administradores do workspace não podem. Quando você remove um usuário da conta, esse usuário também é removido de seus workspaces.
Importante
Quando você remove um usuário da conta, esse usuário também é removido de suas áreas de trabalho, independentemente de a federação de identidade ter sido habilitada ou não.Recomendamos que você evite excluir os usuários de nível de conta, a menos que deseje que eles percam o acesso a todas as áreas de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:
Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks
Os jobs pertencentes ao usuário não vão funcionar
Os clusters pertencentes ao usuário serão interrompidos
As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento
Quando um usuário é removido de um account, ele não pode mais acessar o account ou seu espaço de trabalho; no entanto, as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site account, ele recuperará as permissões anteriores.
Para remover um usuário usando o console da conta, faça o seguinte:
Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Encontre e clique no nome de usuário.
Na aba Informações do usuário, clique no menu da guia no canto superior direito e selecione Excluir.
Na caixa de diálogo de confirmação, clique em Confirmar exclusão.
Se você remover um usuário usando o console da conta, certifique-se também de remover o usuário usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento SCIM adicionará o usuário de volta na próxima vez que ele sincronizar. Consulte Sincronizar usuários e grupos do seu provedor de identidade.
Para remover um usuário de um Databricks account usando SCIM APIs, o senhor deve ser um administrador do account. Consulte Sincronizar usuários e grupos com o site Databricks accounte a conta Groups API.
Gerenciar usuários no workspace
Os administradores do workspace podem adicionar e gerenciar usuários usando a página de configurações de administração do workspace.
Atribuir um usuário a um workspace usando a página de configurações de administrador do workspace
Para adicionar um usuário a um workspace usando a página de configurações de administração do workspace, faça o seguinte:
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de Usuários, clique em gerenciar.
Clique em Add User (Adicionar usuário).
Selecione um usuário existente para atribuir ao workspace ou clique em Add new (Adicionar novo ) para criar um novo usuário.
Clique em Adicionar.
Databricks envia um email de confirmação. Se o usuário não receber o e-mail de confirmação em cinco minutos, peça que ele verifique sua pasta de spam.
Observação
Se o site workspace não estiver habilitado para federação de identidade, o senhor só verá a opção de adicionar um novo usuário ao site workspace. Se o senhor adicionar um usuário que compartilhe um nome de usuário (endereçoemail ) com um usuário existente do account, esses usuários serão mesclados.
Observação
Para habilitar a autenticação do Google ID para workspace REST APIs, o senhor pode adicionar um endereço de serviço do Google account email como um usuário para o workspace. Consulte Autenticação com tokens de ID do Google. O endereço do serviço do Google account não pode ser usado para acessar o aplicativo da Web log in. Adicionar um serviço account como um usuário é diferente de adicioná-lo como uma Databricks entidade de serviço. Se o senhor adicionar um endereço do serviço account email do Google como usuário do workspace, o Databricks não enviará a notificação de convite email.
Atribuir a função de administrador do workspace a um usuário usando a página de configurações de administrador do workspace
Para atribuir a função de administrador da área de trabalho usando a página de configurações de administração da área de trabalho, siga as etapas abaixo:
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de Usuários, clique em gerenciar.
Selecione o usuário.
Clique na guia Direitos.
Clique no botão de alternância ao lado de Acesso de administrador.
Para remover a função de administrador workspace de um usuário workspace, execute os mesmos passos, mas desmarque a alternância de acesso Admin.
Desativar um usuário no workspace Databricks
Os administradores do workspace podem desativar usuários em um workspace do Databricks. Um usuário desativado não pode fazer login no workspace nem acessá-lo por meio das APIs do Databricks, no entanto, todas as permissões e objetos do workspace do usuário permanecem inalterados.Quando um usuário é desativado:
O usuário não pode fazer login nos workspaces usando nenhum método.
O status do usuário é exibido como Inactive (Inativo ) na página de configuração do administrador workspace.
Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar a API Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto um usuário estiver desativado.
Os blocos de anotações de propriedade do usuário permanecem.
Os clusters de propriedade do usuário permanecem em execução.
Os trabalhos agendados criados pelo usuário devem ser atribuídos a um novo proprietário para evitar que falhem.
Quando um usuário é reativado, ele pode fazer login no site workspace com as mesmas permissões. A Databricks recomenda desativar os usuários em vez de removê-los, pois remover um usuário é uma ação destrutiva. O senhor não pode desativar um usuário usando a página de configurações de administração workspace. Em vez disso, use a API de usuários do espaço de trabalho. Por exemplo:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
Remover um usuário de um workspace usando a página de configurações de administrador do workspace
Quando um usuário é removido de um workspace, ele não pode mais acessar o workspace, mas as permissões são mantidas para o usuário. Se o usuário for adicionado novamente ao site workspace, ele recuperará as permissões anteriores.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de Usuários, clique em gerenciar.
Localize o usuário e o menu kebab na extrema direita da linha do usuário e selecione Remove (Remover).
Clique em Excluir para confirmar.
Gerencie usuários usando a API
Os administradores de conta e de workspace podem gerenciar usuários na conta e nos workspaces do Databricks usando as APIs do Databricks.
Gerenciar usuários na conta usando a API
Os administradores podem adicionar e gerenciar usuários na conta do Databricks usando a API de usuários da conta. Administradores de conta e administradores de workspace invocam a API com outra URL de endpoint:
Administradores de conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
.Os administradores do workspace usam
{workspace-domain}/api/2.0/account/scim/v2/
.
Para obter detalhes, consulte o site account Users API.
Gerenciar usuários no workspace usando a API
Os administradores de conta e de workspace podem usar a API de atribuição de workspace para atribuir usuários a workspaces habilitados para federação de identidade. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.
Administradores de conta usam
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
.Os administradores do workspace usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
.
Consulte API de atribuição de workspace.
Se o seu workspace não estiver habilitado para a federação de identidades, o administrador do workspace poderá usar as APIs no nível do workspace para atribuir usuários aos seus workspaces. Consulte API de usuários do workspace.