Compartir a través de

Administrar usuarios

Este artículo explica cómo añadir, actualizar y eliminar usuarios de Azure Databricks.

Para obtener información general sobre el modelo de identidad de Azure Databricks, consulte Identidades de Azure Databricks.

Para administrar el acceso de los usuarios, consulte Autenticación y control de acceso.

Nota:

En esta página se supone que el área de trabajo tiene habilitada la federación de identidades, que es el valor predeterminado para la mayoría de las áreas de trabajo. Para obtener información sobre las áreas de trabajo heredadas sin federación de identidades, consulte Áreas de trabajo heredadas sin federación de identidades.

¿Quién puede administrar usuarios?

Para administrar usuarios en Azure Databricks, debe ser un administrador de cuenta o un administrador del área de trabajo.

  • Los administradores de cuentas pueden agregar usuarios a la cuenta y asignarles roles de administrador. También pueden asignar usuarios a áreas de trabajo y configurar el acceso a datos para ellos en áreas de trabajo.

  • Los administradores del área de trabajo pueden agregar usuarios a un área de trabajo de Azure Databricks, asignarles el rol de administrador del área de trabajo y administrar el acceso a objetos y funcionalidades del área de trabajo, como la capacidad de crear clústeres o acceder a entornos basados en roles especificados. Agregar un usuario a un área de trabajo de Azure Databricks también los agrega a la cuenta.

    Los administradores del área de trabajo son miembros del adminsgrupo del área de trabajo, que es un grupo reservado que no se puede eliminar.

    A los usuarios con un rol integrado de Colaborador o Propietario de Azure o rol personalizado con los permisos de administrador de Azure necesarios se les asigna automáticamente el rol de administrador del área de trabajo al hacer clic en Iniciar área de trabajo en Azure Portal. Para obtener más información, consulte ¿Qué son los administradores del área de trabajo?.

Sincronización de usuarios en la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID

Puede sincronizar usuarios desde el inquilino de Microsoft Entra ID a la cuenta de Azure Databricks automáticamente o un conector de aprovisionamiento SCIM.

La administración automática de identidades permite agregar usuarios, entidades de servicio y grupos de Microsoft Entra ID a Azure Databricks sin configurar una aplicación en microsoft Entra ID. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. Para obtener más información, consulte Sincronizar usuarios y grupos automáticamente desde el identificador de Microsoft Entra.

El aprovisionamiento de SCIM le permite configurar una aplicación empresarial en el identificador de Microsoft Entra para mantener a los usuarios y grupos sincronizados con el identificador de Microsoft Entra. Para obtener instrucciones, consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM).

Agregar usuarios a su cuenta

Consola de gestión de cuentas

Los administradores de cuentas pueden agregar usuarios a la cuenta de Azure Databricks mediante la consola de la cuenta. Los usuarios de una cuenta de Azure Databricks no tienen acceso predeterminado a un área de trabajo, datos o recursos de proceso. Un usuario no puede pertenecer a más de 50 cuentas de Azure Databricks.

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. En la pestaña Usuarios , haga clic en Agregar usuario.
  4. Introduce un nombre y dirección de correo electrónico del usuario.
  5. Haga clic en Agregar usuario.

Configuración del administrador del área de trabajo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

  3. Haga clic en la pestaña Identidad y acceso .

  4. Junto a Usuarios, haga clic en Administrar.

  5. Haga clic en Agregar usuario.

  6. Haga clic en Agregar nuevo.

  7. Escriba una dirección de correo electrónico para el usuario.

    Puede agregar cualquier usuario que pertenezca al inquilino de Microsoft Entra ID del área de trabajo de Azure Databricks. Agregar un nuevo usuario al área de trabajo también agrega el usuario a la cuenta de Azure Databricks.

  8. Haga clic en Agregar.

Asignación de roles de administrador de cuenta a un usuario

Nota:

La página Detalles del usuario solo muestra los roles que se asignan directamente al usuario. Los roles heredados a través de la pertenencia a grupos están activos, pero sus alternancias no se muestran como habilitadas en la interfaz de usuario.

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. Busque y haga clic en el nombre de usuario.
  4. En la pestaña Roles , seleccione uno o varios roles.

Asignación de un usuario a un área de trabajo

Los administradores de cuentas y los administradores del área de trabajo pueden asignar entidades de servicio a un área de trabajo de Azure Databricks mediante la consola de cuenta o la página de configuración del administrador del área de trabajo.

Consola de gestión de cuentas

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Áreas de trabajo.
  3. Haga clic en el nombre del área de trabajo.
  4. En la pestaña Permisos , haga clic en Agregar permisos.
  5. Busque y seleccione el usuario, asigne el nivel de permiso ( usuario o administrador del área de trabajo) y haga clic en Guardar.

Configuración del administrador del área de trabajo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Junto a Usuarios, haga clic en Administrar.
  5. Haga clic en Agregar usuario.
  6. Seleccione un usuario existente para asignar al área de trabajo o haga clic en Agregar nuevo para crear un nuevo usuario.
  7. Haga clic en Agregar.

Quitar un usuario de un área de trabajo

Cuando se quita un usuario de un área de trabajo, este ya no puede acceder al área de trabajo, pero los permisos se mantienen en el usuario. Si el usuario se vuelve a agregar más adelante al área de trabajo, recupera sus permisos anteriores.

Consola de gestión de cuentas

  1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Áreas de trabajo.
  3. Haga clic en el nombre del área de trabajo.
  4. En la pestaña Permisos , busque el usuario.
  5. Haga clic en el icono de menú Kebab. Menú kebab situado en el extremo derecho de la fila de usuario y seleccione Quitar.
  6. En el cuadro de diálogo de confirmación, haga clic en Quitar.

Configuración del administrador del área de trabajo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Junto a Usuarios, haga clic en Administrar.
  5. Busque al usuario y el icono del menú kebab situado en el extremo derecho de la fila del usuario y seleccione Quitar.
  6. Haga clic en Eliminar para confirmar.

Asignación del rol de administrador del área de trabajo a un usuario

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en el nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso .
  4. Junto a Usuarios, haga clic en Administrar.
  5. Seleccione el usuario.
  6. En Derechos, active Acceso de administrador.

Para quitar el rol de administrador de un usuario del área de trabajo, realice los mismos pasos, pero desactive el conmutador Acceso de administrador.

Desactivar un usuario

Puede desactivar un usuario en el nivel de cuenta o área de trabajo.

Los administradores de cuentas pueden desactivar usuarios en una cuenta de Azure Databricks. La desactivación impide que el usuario autentique y acceda a la cuenta, las áreas de trabajo o las API de Databricks, pero no quita sus permisos ni objetos. Esto es preferible a la eliminación, que es una acción destructiva.

Efectos de la desactivación:

  • El usuario no puede autenticarse ni acceder a la interfaz de usuario o a las API de Databricks.
  • Las aplicaciones o scripts que usan los tokens generados por el usuario ya no pueden acceder a la API de Databricks. Los tokens permanecerán, pero no se podrán usar para autenticarse mientras un usuario esté desactivado.
  • Los recursos de proceso propiedad del usuario permanecen en ejecución.
  • Se produce un error en los trabajos programados creados por el usuario a menos que se les asigne un nuevo propietario.

Cuando se reactiva, el usuario recupera el acceso con los mismos permisos.

Desactivación de nivel de cuenta

Los administradores de cuentas pueden desactivar un usuario en una cuenta de Azure Databricks. Cuando un usuario se desactiva en el nivel de cuenta, no puede autenticarse en la cuenta de Azure Databricks ni en ninguna área de trabajo de la cuenta.

No se puede desactivar un usuario mediante la consola de la cuenta. En su lugar, use la API de Usuarios de Cuenta. Por ejemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Desactivación de nivel de área de trabajo

Cuando un usuario se desactiva en el nivel de área de trabajo, no puede autenticarse en esa área de trabajo específica, pero todavía puede autenticarse en la cuenta y en otras áreas de trabajo de la cuenta.

No se puede desactivar un usuario mediante la página de configuración del administrador del área de trabajo. En su lugar, use la API de usuarios del área de trabajo. Por ejemplo:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Eliminar usuarios de la cuenta de Azure Databricks

Los administradores de cuenta pueden eliminar usuarios de una cuenta de Azure Databricks. Los administradores de área de trabajo no pueden. Al eliminar un usuario de la cuenta, ese usuario también se quita de tus áreas de trabajo. Si quitas un usuario mediante la consola de la cuenta, debes asegurarte de quitar también el usuario mediante los conectores de aprovisionamiento SCIM o las aplicaciones de API de SCIM que se han configurado para la cuenta. Si no lo hace, el aprovisionamiento SCIM agrega al usuario la próxima vez que se sincroniza. Consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM).

Importante

Cuando se elimina un usuario de la cuenta, ese usuario también se elimina de sus áreas de trabajo, independientemente de si se ha activado o no la federación de identidades. Se recomienda evitar eliminar usuarios de nivel de cuenta a menos que desees que pierdan el acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:

  • Las aplicaciones o scripts que usan los tokens generados por el usuario ya no pueden acceder a las API de Databricks.
  • Ha ocurrido un error en los trabajos del usuario.
  • Los clústeres propiedad del usuario se detienen.
  • Las bibliotecas instaladas por ese usuario no son válidas y deben volver a instalarse.
  • Las consultas o paneles creados por el usuario y compartidos mediante la credencial Ejecutar como propietario deben asignarse a un nuevo propietario para evitar que se produzca un error en el uso compartido.

Cuando se quita un usuario de una cuenta, este ya no puede acceder a la cuenta ni a sus áreas de trabajo, pero los permisos se mantienen en el usuario. Si el usuario se vuelve a agregar más adelante a la cuenta, recupera sus permisos anteriores.

Para quitar un usuario mediante la consola de la cuenta, haz lo siguiente:

  1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
  2. En la barra lateral, haga clic en Administración de usuarios.
  3. Busque y haga clic en el nombre de usuario.
  4. En la pestaña Información del usuario , haga clic en el icono de menú Kebab. Menú kebab en la esquina superior derecha y seleccione Eliminar.
  5. En el cuadro de diálogo de confirmación, haga clic en Confirmar eliminación.

Nota:

Cuando la administración automática de identidades está habilitada, los usuarios que se encuentran en el identificador de Microsoft Entra están visibles en la consola de la cuenta. Su estado se muestra como Inactivo: Sin uso y no se pueden eliminar de la lista de usuarios. No están activos en la cuenta y no cuentan con los límites de usuarios.

Administración de usuarios mediante la API

Los administradores de cuentas y los administradores del área de trabajo pueden administrar usuarios en la cuenta y las áreas de trabajo de Azure Databricks mediante las API de Databricks.

Administración de usuarios en la cuenta mediante la API

Los administradores pueden agregar y administrar usuarios en la cuenta de Azure Databricks usando la API de Usuarios de cuenta. Los administradores de la cuenta y los administradores del área de trabajo invocan la API mediante una dirección URL de punto de conexión diferente:

  • Los administradores de cuenta usan {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Los administradores de área de trabajo usan {workspace-domain}/api/2.0/account/scim/v2/.

Para obtener más información, consulte api de usuarios de cuenta.

Administración de usuarios en el área de trabajo mediante la API

Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar usuarios a áreas de trabajo. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.

  • Los administradores de cuenta usan {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Los administradores de área de trabajo usan {workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}.

Consulte Api de asignación de áreas de trabajo.

Nota:

En el caso de las áreas de trabajo heredadas sin federación de identidades, los administradores del área de trabajo pueden usar la API de usuarios del área de trabajo para asignar usuarios a sus áreas de trabajo.

  • Last updated on