Het tabblad 'Databricks Compute' ontbreekt vanwege machtigingen, niet door een bug.

Je logt in op een Databricks-werkruimte. In de linkerzijbalk zie je Werkruimte, Repositories, misschien SQL, maar geen Compute. Geen foutmelding. Geen melding dat de toegang is geweigerd. Het tabblad ontbreekt gewoon, alsof de functionaliteit niet bestaat in je implementatie.

Dit is een terugkerende vraag op de Databricks-communityforums en de verwarring is begrijpelijk. Het platform maakt geen onderscheid tussen "je hebt geen toestemming om dit te zien" en "deze functionaliteit is niet ingeschakeld". Beide situaties leiden tot hetzelfde resultaat: een ontbrekend item in de zijbalk.

De oorzaak ligt bijna altijd bij een van de drie werkruimterechten, geconfigureerd op beheerdersniveau en overgenomen via groepslidmaatschap. Databricks gebruikt rechten – eigenschappen die zijn toegewezen aan gebruikers, service principals of groepen – om de toegang tot complete functionaliteiten te beperken. In tegenstelling tot ACL's op objectniveau die een 403-foutmelding geven wanneer je iets probeert te openen, verwijderen rechten het UI-element volledig.

Dit ontwerp betekent dat een gebruiker die de toegang tot het tabblad Compute verliest, geen diagnostische informatie heeft om mee te werken. Ze kunnen niet vaststellen of het tabblad opzettelijk is verwijderd, of hun groepslidmaatschap is gewijzigd, of dat een werkruimtebeheerder een machtiging van de gebruikersgroep heeft ingetrokken tijdens een beleidswijziging. Ze zien alleen een kortere zijbalk.

De drie relevante machtigingen zijn: toegang tot de werkruimte, het aanmaken van clusters toestaan en de aanwezigheid van ten minste één clusterbeleid. Elk van deze machtigingen beheert een andere laag van de zichtbaarheid van de rekenkracht, en een verkeerde configuratie van een van deze machtigingen leidt tot hetzelfde symptoom.

De toegangsmachtiging voor de werkruimte is de breedste toegangspoort. Zonder deze machtiging heeft een gebruiker geen toegang tot notebooks, taken, modellen, pipelines of het tabblad 'Compute'. Het regelt de toegang tot wat Databricks de "Data Science & Engineering"-persona noemt – in feite alles buiten Databricks SQL en het consumentendashboard.

Standaard erft elke gebruiker van een werkruimte de toegang tot de werkruimte via de ingebouwde gebruikersgroep. Alle gebruikers en service principals van een werkruimte worden automatisch aan deze groep toegevoegd. Het probleem ontstaat wanneer een beheerder van een werkruimte de machtigingen van de gebruikersgroep wijzigt, vaak tijdens een poging om een model voor consumententoegang te implementeren.

Databricks biedt een functie genaamd "Standaardtoegang tot werkruimte wijzigen naar consumententoegang" waarmee de toegang tot de werkruimte en de toegang tot Databricks SQL van de gebruikersgroep worden verwijderd en aan een gekloonde groep worden toegewezen. Het doel is om nieuwe gebruikers standaard een alleen-lezen consumentenervaring te bieden. Maar als bestaande gebruikers niet aan de gekloonde groep worden toegevoegd, verliezen ze hun toegangsmachtiging voor de werkruimte en verdwijnt het tabblad 'Compute'.

Je kunt dit controleren met de SCIM API:

```bash curl --netrc -X GET \

https:///api/2.0/preview/scim/v2/Users/ \

| jq '.entitlements' ```

Het antwoord moet een object bevatten met de waarde "value": "workspace-access". Als dit ontbreekt, kan de gebruiker de werkruimte Data Science & Engineering helemaal niet zien. De oplossing is om de gebruiker toe te voegen aan een groep die de toegangsmachtiging voor de werkruimte heeft, of deze rechtstreeks toe te wijzen via Instellingen > Identiteit en toegang > Gebruikers > [gebruiker] > Rechten.

Dit is ook relevant voor SCIM-gebruikers die zijn gesynchroniseerd vanuit Microsoft Entra ID. Als automatisch identiteitsbeheer is ingeschakeld, verschijnen gebruikers in de accountconsole, maar met de status "Inactief: Geen gebruik" totdat ze expliciet zijn toegewezen aan een werkruimte met rechten.

Een gebruiker met toegang tot de werkruimte kan het tabblad Compute zien. Maar het zien ervan en het kunnen aanmaken van clusters zijn twee verschillende machtigingen. De machtiging 'allow-cluster-create' — in de beheerdersinterface aangeduid als 'Allow unrestricted cluster creation' — bepaalt of de gebruiker onbeperkt compute-resources kan provisioneren.

Werkruimtebeheerders ontvangen deze machtiging standaard en deze kan niet worden verwijderd van beheerdersaccounts. Gebruikers zonder beheerdersrechten ontvangen deze machtiging niet, tenzij deze expliciet is toegewezen. Dit is een bewuste beveiligingsmaatregel: onbeperkt cluster aanmaken betekent dat een gebruiker elke clusterconfiguratie kan opzetten, inclusief dure GPU-instanties of clusters met permissieve netwerktoegang.

Zonder de machtiging 'allow-cluster-create' wordt het tabblad Compute nog steeds weergegeven, maar kan de gebruiker alleen clusters aanmaken via toegewezen clusterbeleid. Als er geen beleid is toegewezen, ziet de gebruiker de pagina Compute zonder de knop 'Create' of met een grijsgemaakte interface. Dit is het specifieke scenario dat veel teams tegenkomen: het tabblad is zichtbaar, maar het lijkt niet te werken.

De API-naam voor deze machtiging is allow-cluster-create. Je kunt deze toewijzen via SCIM:

```json {

"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],

"Operations": [ {

"op": "add",

"path": "entitlements",

"value": [

{ "value": "allow-cluster-create"

}

]

}

] }

```

De meeste productieomgevingen zouden geen onbeperkte toegang tot clustercreatie moeten verlenen. Een betere aanpak is om deze machtiging te beperken tot beheerders en clusterbeleid te gebruiken om gebruikers gecontroleerde toegang te geven tot specifieke compute-configuraties. Maar als je beleid gebruikt, moet je dit ook daadwerkelijk toewijzen — wat ons bij de derde mogelijke foutmodus brengt.

Clusterbeleid bevindt zich tussen "geen toegang tot rekenkracht" en "onbeperkte toegang tot rekenkracht". Het definieert een reeks regels die de beschikbare configuratieopties bij het aanmaken van een cluster beperken. Een gebruiker zonder de machtiging 'allow-cluster-create' maar met een toegewezen clusterbeleid kan clusters aanmaken binnen deze beperkingen.

Databricks biedt een ingebouwd persoonlijk rekenbeleid dat rekenkracht op één machine toestaat. Standaard hebben alle gebruikers toegang tot dit beleid. Werkruimtebeheerders kunnen het echter intrekken en aangepaste beleidsregels vereisen een expliciete toewijzing.

Het faalpatroon werkt als volgt: een beheerder verwijdert 'allow-cluster-create' uit een gebruikersgroep om kostenbeheersing af te dwingen, met de bedoeling dat gebruikers in plaats daarvan op clusterbeleid vertrouwen. Maar ze vergeten beleidsregels aan de groep toe te wijzen. De gebruiker opent het tabblad 'Compute' en ziet bestaande clusters waarvoor ze toestemming hebben, maar kan geen nieuwe clusters aanmaken. In sommige UI-situaties is de knop 'Compute aanmaken' volledig afwezig.

Om te controleren tot welke beleidsregels een gebruiker toegang heeft, gebruikt je de Cluster Policies API:

```bash curl --netrc -X GET \

https:///api/2.0/policies/clusters/list \

--header 'Content-Type: application/json' ```

Dit retourneert de beleidsregels die zichtbaar zijn voor de gebruiker die de API aanroept. Een lege lijst bevestigt dat de gebruiker geen beleidsregels heeft toegewezen gekregen en geen onbeperkte aanmaakrechten heeft.

De oplossing is om een clusterbeleid te creëren dat aansluit op je kosten- en beveiligingsvereisten en dit vervolgens toe te wijzen aan de juiste groep. Een minimaal beleid dat alleen clusters met één knooppunt en een specifiek instantie type toestaat, geeft gebruikers de mogelijkheid om notebooks uit te voeren zonder het risico te lopen dat de kosten de pan uit rijzen. Het belangrijkste punt is dat het verwijderen van allow-cluster-create zonder een beleid toe te wijzen een dode zone creëert waarin gebruikers wel rekenkracht kunnen zien, maar deze niet kunnen aanmaken.

Voor organisaties die Microsoft Entra ID (voorheen Azure AD) gebruiken met SCIM-provisioning, kunnen wijzigingen in toegangsrechten plaatsvinden zonder dat een workspace-beheerder direct actie hoeft te ondernemen. SCIM-synchronisatie is ontworpen als de bron van waarheid voor identiteit en groepslidmaatschap. Als het groepslidmaatschap van een gebruiker in Entra ID verandert, wordt die wijziging bij de volgende SCIM-synchronisatie doorgegeven aan Databricks.

Overweeg de volgende situatie: een gebruiker behoort tot een groep "Data Engineers" in Entra ID die is gekoppeld aan een Databricks-groep met toegangsrechten voor workspaces en de rechten om clusters aan te maken. Een identiteitsbeheerder verwijdert de gebruiker om organisatorische redenen uit "Data Engineers" in Entra ID — misschien is de gebruiker van team veranderd, misschien was het een opruimactie. Bij de volgende SCIM-synchronisatie wordt de gebruiker ook verwijderd uit de corresponderende Databricks-groep. De toegangsrechten die de gebruiker van die groep had, verdwijnen. Het tabblad Compute verdwijnt.

De gebruiker opent een ticket met de melding dat het platform niet werkt. De beheerder van de werkruimte controleert de directe rechten van de gebruiker en ziet niets mis — omdat de rechten zijn overgeërfd, niet direct toegekend. De beheerder zou het groepslidmaatschap moeten controleren om de fout te vinden, maar tegen die tijd heeft de SCIM-synchronisatie de koppeling al verwijderd.

Databricks heeft ook automatisch identiteitsbeheer geïntroduceerd voor accounts die na augustus 2025 zijn aangemaakt. Dit maakt gebruik van Entra ID als bron van gegevens, zonder dat een handmatige SCIM-connector nodig is. Wijzigingen in gebruikers of groepslidmaatschappen in Entra ID worden automatisch gerespecteerd. Dit is handiger, maar betekent ook dat wijzigingen in rechten sneller en minder zichtbaar worden doorgevoerd.

De diagnostische aanpak is om het volledige groepslidmaatschap van de gebruiker op te vragen en te achterhalen welke groepen welke rechten hebben. De SCIM Users API retourneert een array met groepen voor elke gebruiker, en de Groups API retourneert de rechten voor elke groep. Door deze twee antwoorden te vergelijken, wordt duidelijk of de gebruiker de toegang heeft verloren door een wijziging in de groep of door een directe intrekking van rechten.

MetricSign monitort de resultaten van Databricks-taken en brengt fouten aan het licht met context over de onderliggende oorzaak, inclusief taken die mislukken omdat de machtigingen van de service principal zijn ingetrokken tijdens een SCIM-synchronisatie. In deze foutmodus geeft het foutbericht van de taak "toegang geweigerd" aan, terwijl de werkelijke oorzaak een identiteitswijziging is die zich drie niveaus lager in de werkruimte bevindt.

Wanneer een gebruiker meldt dat het tabblad 'Compute' ontbreekt of dat er geen clusters kunnen worden aangemaakt, doorloop dan deze stappen voordat je de melding escaleert.

Controleer eerst of de gebruiker toegang heeft tot de werkruimte. Ga naar Instellingen > Identiteit en toegang > Gebruikers, selecteer de gebruiker en controleer het tabblad 'Rechten'. Als de toegang tot de werkruimte niet is ingeschakeld en niet is overgenomen van een groep, dan is dat het probleem. De volledige zijbalk 'Data Science & Engineering' is dan verborgen.

Ten tweede, als het tabblad 'Compute' wel zichtbaar is, maar het aanmaken van clusters is uitgeschakeld, controleer dan of de machtiging 'allow-cluster-create' is ingeschakeld. Deze machtiging wordt in de gebruikersinterface aangeduid als 'Onbeperkt cluster aanmaken toestaan'. Als deze machtiging niet is toegewezen, is de gebruiker volledig afhankelijk van clusterbeleid.

Ten derde, controleer de toewijzing van clusterbeleid. Als de gebruiker noch 'allow-cluster-create' noch ander clusterbeleid heeft toegewezen gekregen, is er geen mogelijkheid voor de gebruiker. Wijs ten minste het beleid 'Persoonlijke Compute' toe, of maak een aangepast beleid aan dat voldoet aan je governancevereisten.

Ten vierde, controleer het groepslidmaatschap van gebruikers die door SCIM worden beheerd. Rechten die van groepen zijn overgenomen, worden niet weergegeven als direct toegewezen. De schakelaar lijkt geselecteerd, maar is grijs weergegeven in de gebruikersinterface wanneer de rechten zijn overgenomen. Als de schakelaar is uitgeschakeld en niet grijs is weergegeven, zijn de rechten nooit via een pad toegewezen.

Ten vijfde gelden dezelfde regels voor rechten voor service principals die geplande taken uitvoeren. Een service principal zonder toegang tot de werkruimte kan geen taken uitvoeren die verwijzen naar objecten in de werkruimte. Dit leidt tot onduidelijke taakfouten die lijken op machtigingsfouten voor specifieke objecten, terwijl het werkelijke probleem een ontbrekende machtiging op het hoogste niveau is.

Uit het Stack Overflow-onderzoek onder ontwikkelaars van 2024 blijkt dat Databricks SQL door 1,9% van de professionele ontwikkelaars wordt gebruikt – een kleine maar groeiende gebruikersgroep waar de kennis over werkruimtebeheer nog steeds wordt opgebouwd. Deze interacties met rechten zijn geen uitzonderingen; ze maken deel uit van het standaard configuratiemodel. Inzicht hierin voorkomt de telefoontjes midden in de nacht waarbij een productietaak mislukt omdat iemand een Entra ID-groep heeft opgeschoond.