Administrar grupos

En este artículo se explica cómo los administradores crean y administran grupos de Azure Databricks. Para obtener información general sobre el modelo de identidad de Azure Databricks, consulte Identidades de Azure Databricks.

Para administrar el acceso de los grupos, consulte Autenticación y control de acceso.

Introducción a la administración de grupos

Los grupos simplifican la administración de identidades facilitando la asignación del acceso a áreas de trabajo, datos y otros objetos protegibles. Todas las identidades de Databricks se pueden asignar como miembros de grupos.

tipos de grupos en Azure Databricks

Azure Databricks tiene cuatro tipos de grupos, clasificados en función de su origen:

• A los grupos de cuentas se les puede conceder acceso a los datos de un metastore de Unity Catalog, conceder roles sobre entidades de servicio y grupos, y permisos para áreas de trabajo de identidad federada.

• grupos locales del área de trabajo son grupos heredados que solo se pueden usar en el contexto del área de trabajo en la que se crearon. Estos grupos no se pueden asignar a áreas de trabajo adicionales, ni tener acceso a datos en un metastore de Unity Catalog, ni se les pueden asignar roles de nivel de cuenta. Databricks recomienda convertir los grupos locales del área de trabajo existentes en grupos de cuentas. Para más información sobre los grupos locales del área de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).

• Grupos externos son grupos creados en Azure Databricks a partir del identificador de Microsoft Entra. Estos grupos se crean mediante un conector de aprovisionamiento SCIM y permanecen sincronizados con Microsoft Entra ID. De forma predeterminada, la pertenencia a grupos externos no se puede actualizar desde la consola de la cuenta de Azure Databricks ni desde la página de configuración del administrador del área de trabajo. Los grupos externos son grupos de cuentas.

  Nota:

  Para actualizar la pertenencia a grupos externos desde la interfaz de usuario de Azure Databricks, un administrador de cuentas puede deshabilitar la vista previa de grupos externos inmutables en la página de vista previa de la consola de la cuenta.

• Los grupos del sistema son creados y mantenidos por Azure Databricks. Cada cuenta tiene un grupo de sistema de cuentas denominado account users, que incluye a todos los usuarios. Hay dos grupos de sistema de nivel de área de trabajo en cada área de trabajo: users y admins. Todos los miembros del área de trabajo pertenecen al grupo de users y los administradores del área de trabajo también son miembros del grupo de admins. Los grupos de sistemas no se pueden eliminar.

Los usuarios con un rol incorporado de "Colaborador" o "Propietario" en Azure se asignan automáticamente al grupo del área de trabajo admins. Para más información, consulte Administración de suscripciones.

¿Quién puede administrar grupos de cuentas?

Para crear grupos de cuentas en Azure Databricks, debe ser administrador de cuentas o administrador de áreas de trabajo. Los administradores de áreas de trabajo deben estar en áreas de trabajo federadas por identidades para crear un grupo de cuentas.

Para administrar grupos de cuentas en Azure Databricks, debe tener el rol de administrador de grupo (versión preliminar pública) en un grupo. Los administradores de grupo pueden administrar la pertenencia a grupos y eliminar el grupo. También pueden asignar a otros usuarios el rol de administrador de grupo. Los administradores de cuentas pueden administrar roles de grupo mediante la consola de la cuenta y los administradores del área de trabajo pueden administrar roles de grupo mediante la página de configuración de administración del área de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo pueden administrar roles de grupo mediante la API de Control de acceso a cuentas.

Los administradores de cuentas tienen el rol de administrador de grupos en el nivel de cuenta, lo que significa que tienen el rol de administrador de grupos en todos los grupos de la cuenta. Los administradores de áreas de trabajo tienen el rol de administrador de grupos en los grupos de cuentas que crean.

Los administradores de áreas de trabajo también pueden crear y administrar grupos locales del área de trabajo.

Sincronización de grupos con la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID

Puede sincronizar grupos desde el inquilino de Microsoft Entra ID a su cuenta de Azure Databricks automáticamente o mediante un conector de aprovisionamiento SCIM.

administración automática de identidades (versión preliminar pública) permite agregar usuarios, entidades de servicio y grupos de Microsoft Entra ID a Azure Databricks sin configurar una aplicación en Microsoft Entra ID. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. Esta versión preliminar admite grupos anidados. Para obtener más información, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.

.. nota: Durante la versión preliminar pública de administración automática de identidades, los grupos anidados no aparecen en la interfaz de usuario de Azure Databricks. Consulte las limitaciones de la interfaz de usuario de gestión automática de identidades durante la vista previa pública.

El aprovisionamiento de SCIM le permite configurar una aplicación empresarial en el identificador de Microsoft Entra para mantener a los usuarios y grupos sincronizados con el identificador de Microsoft Entra. El aprovisionamiento SCIM no admite grupos anidados. Para obtener instrucciones, consulte Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM.

Administración de grupos de cuentas usando la consola de cuenta

Los administradores de cuentas pueden agregar y administrar grupos en la cuenta de Azure Databricks usando la consola de cuenta. Los administradores del área de trabajo y los administradores de grupos pueden administrar grupos mediante la página de configuración del área de trabajo y las API de Databricks. Consulte Administración de grupos de cuentas mediante la página de configuración del administrador del área de trabajo y Administración de grupos de cuentas mediante la API.

Agregar grupos a la cuenta mediante la consola de la cuenta

Para agregar un grupo a la cuenta mediante la consola de la cuenta, haga lo siguiente:

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Administración de usuarios.
3. En la pestaña Grupos, haga clic en Agregar grupo.
4. Escribe un nombre para el grupo.
5. Haga clic en Confirmar.
6. Cuando se le solicite, agregue al grupo usuarios, entidades de servicio y grupos.

Adición de miembros a un grupo usando la consola de cuenta

Para mantener los grupos externos sincronizados con Microsoft Entra ID, no puede administrar la pertenencia a grupos externos desde la consola de la cuenta de forma predeterminada. Para agregar usuarios, entidades de servicio y grupos a un grupo mediante la consola de cuenta, haga lo siguiente:

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Administración de usuarios.
3. En la pestaña Grupos, seleccione el grupo que desea actualizar.
4. Haga clic en Agregar miembros.
5. Busque el usuario, grupo o entidad de servicio que quiere agregar y selecciónelo.
6. Haga clic en Agregar.

Hay un retraso de unos minutos entre actualizar un grupo de una cuenta y el grupo que se actualiza en áreas de trabajo.

Administración de roles en un grupo usando la consola de cuentas

Importante

Esta característica está en versión preliminar pública.

Los administradores de cuentas pueden conceder roles en grupos de cuentas en la consola de la cuenta.

1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Administración de usuarios.
3. En la pestaña Grupos, busque y haga clic en el nombre del grupo.
4. Haga clic en la pestaña Permisos.
5. Haga clic en Conceder acceso.
6. Busque y seleccione el usuario, la entidad de seguridad o el grupo y elija el rol Grupo: Administrador.
7. Haga clic en Save(Guardar).

Cambio del nombre de un grupo

Para mantener los grupos externos sincronizados con el identificador de Entra de Microsoft, no puede actualizar el nombre de un grupo externo en la consola de la cuenta de forma predeterminada. Los administradores de cuentas pueden actualizar el nombre de los grupos de cuentas en mediante la consola de la cuenta:

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Administración de usuarios.
3. En la pestaña Grupos, seleccione el grupo que desea actualizar.
4. Haga clic en Información de grupo.
5. En Nombre, actualice el nombre.
6. Haga clic en Save(Guardar).

Los administradores de grupo no pueden cambiar el nombre de un grupo mediante la consola de la cuenta. En su lugar, use la API de grupos de cuentas. Por ejemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obtener información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autorización del acceso a los recursos de Azure Databricks.

Asignación de un grupo a un área de trabajo mediante la consola de cuenta

Para agregar grupos a un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitado para la federación de identidades. Solo se pueden asignar grupos de cuentas a áreas de trabajo.

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Área de trabajo.
3. Haga clic en el nombre del área de trabajo.
4. En la pestaña Permissions (Permisos), haga clic en Add permissions (Agregar permisos).
5. Busque y seleccione el grupo, asigne el nivel de permiso (Usuario o Administrador del área de trabajo) y haga clic en Guardar.

Quitar un grupo de un área de trabajo mediante la consola de la cuenta

Para quitar grupos de un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitado para la federación de identidades. Solo los grupos de cuentas se pueden quitar de áreas de trabajo mediante la consola de la cuenta.

Cuando se quita un grupo de cuentas de un área de trabajo, los miembros del grupo ya no pueden acceder él, pero los permisos se mantienen en el grupo. Si el grupo se vuelve a agregar más adelante a un área de trabajo, el grupo recupera sus permisos anteriores.

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Área de trabajo.
3. Haga clic en el nombre del área de trabajo.
4. En la pestaña Permisos, busca el grupo.
5. Haga clic en el menú kebab situado en el extremo derecho de la fila de grupo y seleccione Quitar.
6. En el cuadro de diálogo de confirmación, haga clic en Remove (Quitar).

Asignación de roles de administrador de cuentas a un grupo

No puede asignar el rol de administrador de cuentas o de administrador de marketplace a un grupo usando la consola de cuenta, pero puede asignarlo a grupos usando la API de Grupos de cuentas. Por ejemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obtener información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autorización del acceso a los recursos de Azure Databricks.

Eliminación de grupos de su cuenta de Azure Databricks

Los administradores de cuentas pueden quitar grupos de una cuenta de Azure Databricks. Los administradores de grupos también pueden quitar grupos de la cuenta mediante la API de grupos de cuentas, consulte Administración de grupos de cuentas mediante la API.

Importante

Al quitar un grupo, todos los usuarios de ese grupo se eliminan de la cuenta y pierden el acceso a las áreas de trabajo a las que tenían acceso, (a menos que sean miembros de otro grupo o se les haya concedido acceso directamente a la cuenta o a cualquier área de trabajo). Databricks recomienda abstenerse de eliminar grupos de nivel de cuenta a menos que quiera que pierdan acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:

• Las aplicaciones o scripts que utilizan los tokens generados por el usuario ya no pueden acceder a las API de Databricks.
• Ha ocurrido un error en los trabajos del usuario.
• Los clústeres propiedad del usuario se detienen.
• Las consultas o los cuadros de mando creados por el usuario y compartidos mediante la credencial Ejecutar como propietario deben asignarse a un nuevo propietario para evitar que el uso compartido falle.

Para quitar un grupo mediante la consola de la cuenta, haga lo siguiente:

1. Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
2. En la barra lateral, haz clic en Administración de usuarios.
3. En la pestaña Grupos, encuentre el grupo que desea quitar.
4. Haga clic en el menú de tres puntos verticales en el extremo derecho de la fila de usuario y seleccione Eliminar.
5. En el cuadro de diálogo de confirmación, haga clic en Confirmar eliminación.

Si quita un grupo mediante la consola de la cuenta, debe asegurarse de quitar también el grupo mediante los conectores de aprovisionamiento SCIM o las aplicaciones de API de SCIM que se han configurado para la cuenta. Si no lo hace, el aprovisionamiento SCIM simplemente volverá a agregar el grupo y sus miembros la próxima vez que se sincronice. Consulte Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM.

Para quitar un grupo de una cuenta de Azure Databricks mediante la API, consulte Sincronización de usuarios y grupos en la cuenta de Azure Databricks y API de grupos de cuenta.

Administración de grupos de cuentas mediante la página de configuración del administrador de áreas de trabajo

Los administradores de áreas de trabajo pueden crear y administrar grupos de cuentas en áreas de trabajo federadas con identidades mediante la página de configuración del administrador de áreas de trabajo.

Nota:

Hay un retraso de unos minutos entre actualizar un grupo de cuenta de un área de trabajo y el grupo que se actualiza en la cuenta.

Para obtener información sobre cómo crear grupos locales del área de trabajo en áreas de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).

Creación o asignación de un grupo a un área de trabajo usando la página de configuración del administrador de áreas de trabajo

Para asignar o crear un grupo de cuentas en un área de trabajo usando la página de configuración del administrador de áreas de trabajo, haga lo siguiente:

1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

3. Haga clic en la pestaña Identidad y acceso.

4. Junto a Grupos, haga clic en Administrar.

5. Haga clic en el botón Agregar grupo.

6. Seleccione un grupo existente para asignarlo al área de trabajo, o bien haga clic en Agregar nuevo para crear un grupo de cuentas.

   Nota:

   Si su área de trabajo no está habilitada para federación de identidades, no podrá asignar grupos de cuentas existentes ni agregar grupos de cuentas creados en su área de trabajo. En su lugar, debe usar grupos locales del área de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).

Adición de miembros a un grupo mediante la página de configuración del administrador de áreas de trabajo

Debe ser administrador de áreas de trabajo para agregar usuarios, entidades de servicio y grupos a un grupo de cuentas mediante la página de configuración del administrador de áreas de trabajo. Solo puede administrar los miembros de un grupo en el que tenga el rol de administrador de grupos. Para mantener los grupos externos sincronizados con el identificador de Entra de Microsoft, no puede administrar la pertenencia a grupos externos en la página de configuración del administrador del área de trabajo de forma predeterminada.

Nota:

No se puede agregar un grupo secundario al grupo admins. No se pueden agregar grupos locales del área de trabajo ni grupos de sistemas como miembros de grupos de cuentas.

Los administradores de grupos que no son administradores de áreas de trabajo deben administrar la pertenencia a grupos mediante la API de grupos de cuenta.

1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
3. Haga clic en la pestaña Identidad y acceso.
4. Junto a Grupos, haga clic en Administrar.
5. Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
6. En la pestaña Miembros, haga clic en Agregar miembros.
7. Navegue o busque los usuarios, entidades de servicio y grupos que desea agregar y selecciónelos en el cuadro de diálogo.
8. Haga clic en Confirmar.

Administración de roles en un grupo de cuentas mediante la página de configuración del administrador de áreas de trabajo

Importante

Esta característica está en versión preliminar pública.

Puede asignar el rol de administrador de grupos a usuarios, grupos de cuentas y entidades de servicio. Los administradores de grupos pueden administrar la pertenencia a grupos. También pueden asignar el rol de administrador de grupos a otros usuarios.

Debe ser administrador de áreas de trabajo para administrar roles de grupo mediante la página de configuración del administrador de áreas de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo pueden administrar roles de grupo mediante la API de la cuenta de Access Control.

1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

3. Haga clic en la pestaña Identidad y acceso.

4. Junto a Grupos, haga clic en Administrar.

5. Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.

6. Haga clic en la pestaña Permisos.

7. Haga clic en Conceder acceso.

8. Busque y seleccione el usuario, la entidad de seguridad o el grupo y elija el rol Grupo: Administrador.

   Nota:

   No se pueden asignar grupos locales del área de trabajo ni roles de grupos de sistemas en grupos de cuentas.

9. Haga clic en Save(Guardar).

Visualización de grupos primarios

1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
3. Haga clic en la pestaña Identidad y acceso.
4. Junto a Grupos, haga clic en Administrar.
5. Seleccione el grupo que quiere ver.
6. En la pestaña Grupo primario, vea los grupos primarios del grupo.

Eliminación de un grupo de un área de trabajo usando la página de configuración del administrador de áreas de trabajo

Eliminar un grupo de un área de trabajo no elimina el grupo en la cuenta. Cuando se quita un grupo de un área de trabajo, los miembros del grupo ya no pueden acceder él, pero los permisos se mantienen en el grupo. Si el grupo se vuelve a agregar más adelante al área de trabajo, el grupo recupera sus permisos anteriores.

1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
3. Haga clic en la pestaña Identidad y acceso.
4. Junto a Grupos, haga clic en Administrar.
5. Seleccione el grupo y haga clic en x Eliminar
6. Haga clic en Delete (Eliminar) para confirmar.

Administración de grupos de cuentas usando la API

Los administradores de cuentas, los administradores de áreas de trabajo y los administradores de grupos pueden agregar, eliminar y administrar grupos en la cuenta de Azure Databricks mediante la API de grupos de cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:

• Los administradores de cuenta usan {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Los administradores de áreas de trabajo y los administradores de grupos usan {workspace-domain}/api/2.0/account/scim/v2/.

Para más información, consulte API de grupos de cuentas.

Asignación de un grupo a un área de trabajo usando la API

Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar grupos a las áreas de trabajo habilitadas para la federación de identidades. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.

• Los administradores de cuenta usan {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Los administradores de área de trabajo usan {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulta API de asignación de áreas de trabajo.

Administración de roles para un grupo mediante la API

Importante

Esta característica está en versión preliminar pública.

Los administradores de grupos pueden administrar los roles de grupo usando la API de Control de acceso a cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:

• Los administradores de cuenta usan {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Los administradores de áreas de trabajo y los administradores de grupos usan {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Consulte API de la cuenta de Access Control y API de proxy del área de trabajo de las cuentas de Access Control.