Gestire i gruppi

Questo articolo illustra come gli amministratori creano e gestiscono i gruppi di Azure Databricks. Per una panoramica del modello di identità di Azure Databricks, consultare Identità di Azure Databricks.

Per gestire l'accesso per i gruppi, consultare Autenticazione e controllo di accesso.

Panoramica della gestione gruppi

I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.

tipi di gruppi in Azure Databricks

Azure Databricks ha quattro tipi di gruppi, classificati in base all'origine:

• Ai gruppi di account è possibile concedere l'accesso ai dati in un megastore di Unity Catalog, ruoli su entità servizio e gruppi, e autorizzazioni per i workspace federati con identità.

• I gruppi locali dell'area di lavoro sono gruppi legacy che possono essere usati solo nel contesto dell'area di lavoro in cui sono stati creati. Questi gruppi non possono essere assegnati ad aree di lavoro aggiuntive, né avere accesso ai dati in un metastore di Unity Catalog, né ottenere ruoli a livello di account. Databricks consiglia di convertire i gruppi locali dell'area di lavoro esistenti in gruppi di account. Per altre informazioni sui gruppi locali dell'area di lavoro, consultare Gestire i gruppi locali dell'area di lavoro (legacy).

• Gruppi esterni sono gruppi creati in Azure Databricks da Microsoft Entra ID. Questi gruppi vengono creati usando un connettore di provisioning SCIM e rimangono sincronizzati con Microsoft Entra ID. Per impostazione predefinita, l'appartenenza a gruppi esterni non può essere aggiornata dalla pagina delle impostazioni di amministrazione dell'account Azure Databricks o dell'area di lavoro. I gruppi esterni sono gruppi di account.

  Nota

  Per aggiornare l'appartenenza a gruppi esterni dall'interfaccia utente di Azure Databricks, un amministratore dell'account può disabilitare anteprima dei gruppi esterni non modificabili nella pagina di anteprima della console dell'account.

• i gruppi di sistema vengono creati e gestiti da Azure Databricks. Ogni account ha un gruppo di sistema account denominato account users, che include tutti gli utenti. In ogni area di lavoro sono presenti due gruppi di sistema a livello di area di lavoro: users e admins. Tutti i membri dell'area di lavoro appartengono al gruppo users e anche gli amministratori dell'area di lavoro sono membri del gruppo admins. I gruppi di sistema non possono essere eliminati.

Gli utenti con un ruolo predefinito di Collaboratore o Proprietario in Azure vengono assegnati automaticamente al gruppo dell'area di lavoro admins. Per altre informazioni, consultare Gestire le sottoscrizioni.

Chi può gestire i gruppi di account?

Per creare gruppi di account in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro. Gli amministratori dell'area di lavoro devono trovarsi in aree di lavoro federate con identità per creare un gruppo di account.

Per gestire i gruppi di account in Azure Databricks, è necessario avere il ruolo di manager del gruppo (Anteprima Pubblica) in un gruppo. I manager dei gruppi possono gestire l'appartenenza ai gruppi ed eliminare il gruppo. Possono anche assegnare ad altri utenti il ruolo di manager del gruppo. Gli amministratori dell'account possono gestire i ruoli di gruppo usando la console dell'account e gli amministratori dell'area di lavoro possono gestire i ruoli del gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I manager di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l'API di controllo di accesso degli account.

Gli amministratori dell'account hanno il ruolo di manager del gruppo a livello di account, ovvero hanno il ruolo di manager del gruppo in tutti i gruppi nell'account. Gli amministratori dell'area di lavoro hanno il ruolo di manager del gruppo nei gruppi di account da loro creati.

Gli amministratori dell’area di lavoro possono anche creare e gestire gruppi locali dell’area di lavoro.

Sincronizzare i gruppi con l'account Azure Databricks dal tenant di Microsoft Entra ID

È possibile sincronizzare i gruppi dal tenant di Microsoft Entra ID all'account Azure Databricks automaticamente o usando un connettore di provisioning SCIM.

gestione automatica delle identità (anteprima pubblica) consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Questa anteprima supporta i gruppi annidati. Per informazioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.

.. Nota: durante l'anteprima pubblica di gestione automatica delle identità, i gruppi annidati non sono elencati nell'interfaccia utente di Azure Databricks. Vedere Limitazioni dell'interfaccia utente di Gestione automatica delle identità durante l'anteprima pubblica.

di provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Il provisioning SCIM non supporta i gruppi annidati. Per istruzioni dettagliate, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.

Gestire i gruppi di account usando la console dell'Account

Gli amministratori dell'account possono aggiungere e gestire gruppi nell'account Azure Databricks usando la console dell'account. Gli amministratori dell'area di lavoro e i manager dei gruppi possono gestirli usando la pagina delle impostazioni dell'area di lavoro e le API di Databricks. Consultare Gestire i gruppi di account utilizzando la console dell'account, e Gestire i gruppi di account le API.

Aggiungere gruppi all'account usando la console dell'account

Per aggiungere un gruppo all'account usando la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi fare clic su Aggiungi gruppo.
4. Immetti un nome per il gruppo.
5. Cliccare Conferma.
6. Quando richiesto, aggiungere utenti, entità servizio e gruppi al gruppo.

Aggiungere membri a un gruppo usando la console dell'account

Per mantenere sincronizzati i gruppi esterni con Microsoft Entra ID, non è possibile gestire l'appartenenza a gruppi esterni nella console dell'account per impostazione predefinita. Per aggiungere utenti, entità servizio e gruppi a un gruppo usando la console dell’account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Selezionare la scheda Gruppi e aprire il gruppo che si vuole modificare.
4. Fare clic su Aggiungi membri.
5. Cercare l'utente, il gruppo o l'entità servizio da aggiungere e selezionarla.
6. Fare clic su Aggiungi.

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo da un account e il gruppo da aggiornare nelle aree di lavoro.

Gestire i ruoli in un gruppo usando la console dell'account

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Gli amministratori dell'account possono concedere ruoli ai gruppi di account nella console dell'account.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare e fare clic sul nome del gruppo.
4. Fare clic sulla scheda Permessi.
5. Clicca su Concedi accesso.
6. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager.
7. Fare clic su Salva.

Modificare il nome di un gruppo

Per mantenere sincronizzati i gruppi esterni con Microsoft Entra ID, non è possibile aggiornare il nome di un gruppo esterno nella console dell'account per impostazione predefinita. Gli amministratori dell'account possono aggiornare il nome dei gruppi di Account usando la console dell'account:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Selezionare la scheda Gruppi e aprire il gruppo che si vuole modificare.
4. Fare clic su Informazioni sul gruppo.
5. In Nome, aggiornare il nome.
6. Fare clic su Salva.

I manager del gruppo non possono modificare il nome di un gruppo usando la console dell'account. Usare invece l’API dei gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, vedere Autorizzazione dell'accesso alle risorse di Azure Databricks.

Assegnare un utente a un'area di lavoro usando la console dell'account.

Per aggiungere gruppi a un'area di lavoro usando la console dell’account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono assegnabili alle aree di lavoro.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
5. Cercare e selezionare il gruppo, assegnare il livello di autorizzazione (Utente o Amministratore dell'area di lavoro) e quindi fare clic su Salva.

Rimuovere un gruppo da un'area di lavoro usando la console dell'account

Per rimuovere i gruppi in un'area di lavoro usando la console dell’account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono rimovibili dalle aree di lavoro usando la console dell'account.

Quando un gruppo di account viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo dovesse tornare a far parte di un'area di lavoro, riacquisterebbe le autorizzazioni precedenti.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni trovare il gruppo.
5. Fare clic sul menu kebab all'estrema destra della riga del gruppo e selezionare Rimuovi.
6. Nella finestra di dialogo di conferma fare clic su Rimuovi.

Assegnare ruoli di amministratore dell'account a un gruppo

Non è possibile assegnare l'amministratore dell'account o il ruolo di amministratore del marketplace a un gruppo usando la console dell'account, ma è possibile assegnarlo ai gruppi usando le API dei gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, vedere Autorizzazione dell'accesso alle risorse di Azure Databricks.

Rimuovere gruppi dall'account Azure Databricks

Gli amministratori dell'account possono rimuovere i gruppi da un account Azure Databricks. I manager dei gruppi possono anche rimuovere i gruppi dall'account usando le API gruppi di account. consultare Gestire i gruppi di account usando le API.

Importante

Quando si rimuove un gruppo, tutti gli utenti in quel gruppo vengono eliminati dall'account e perdono l'accesso a qualsiasi workspace a cui avevano accesso (a meno che non siano membri di un altro gruppo o abbiano ricevuto accesso diretto all'account o a qualsiasi workspace). È consigliabile evitare di eliminare gli utenti dell'account o le entità servizio a meno che non si desideri che perdano l'accesso a tutte le aree di lavoro dell'account. Tenere presente le seguenti conseguenze dell'eliminazione degli utenti:

• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
• I processi di proprietà dell'utente hanno esito negativo
• I cluster di proprietà dell'utente si arrestano
• Le query o le dashboard create dall'utente e condivise tramite le credenziali Esegui come proprietario devono essere assegnate a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Per rimuovere un gruppo tramite la console dell'account, eseguire le seguenti operazioni:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare il gruppo da rimuovere.
4. In alto a destra nella schermata fare clic sul menu kebab e selezionare Elimina.
5. Nella finestra di dialogo di conferma fare su Conferma eliminazione.

Se si rimuove un gruppo usando la console dell'account, è necessario assicurarsi di rimuovere anche il gruppo usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiungerà semplicemente il gruppo e i relativi membri alla successiva sincronizzazione. Consulta Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.

Per rimuovere un gruppo da un account Azure Databricks usando l'API, consultare Sincronizzare utenti e gruppi con l'account Azure Databricks e le API dei gruppi di account.

Gestire i gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Gli amministratori dell'area di lavoro possono creare e gestire gruppi di account nelle aree di lavoro federate con identità usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Nota

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo di account da un'area di lavoro e il gruppo da aggiornare nell'account.

Per informazioni su come creare gruppi locali dell'area di lavoro nelle aree di lavoro, consultare Gestire gruppi locali dell'area di lavoro (legacy).

Creare o assegnare un gruppo a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare o creare un gruppo di account in un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, eseguire le seguenti operazioni:

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fai clic sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.

3. Fare clic sulla scheda Identità e accesso.

4. Accanto a Gruppi, fare clic su Gestisci.

5. Fare clic su Aggiungi gruppo.

6. Selezionare un gruppo esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo gruppo di account.

   Nota

   Se l'area di lavoro non è abilitata per la federazione delle identità, non è possibile assegnare gruppi di account esistenti o aggiungere gruppi di account nell'area di lavoro. È invece necessario usare i gruppi locali dell'area di lavoro, consultare Gestire i gruppi locali dell'area di lavoro (legacy).

Aggiungere membri a un gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro

È necessario essere un amministratore dell'area di lavoro per aggiungere utenti, entità servizio e gruppi a un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro. È possibile gestire solo i membri di un gruppo su cui si ha il ruolo di manager del gruppo. Per mantenere sincronizzati i gruppi esterni con Microsoft Entra ID, non è possibile gestire l'appartenenza ai gruppi esterni nella pagina delle impostazioni di amministrazione dell'area di lavoro per impostazione predefinita.

Nota

Non è possibile aggiungere un gruppo figlio al gruppo admins. Non è possibile aggiungere gruppi locali dell'area di lavoro o gruppi di sistema come membri dei gruppi di account.

I gestori di gruppi che non sono amministratori dell'area di lavoro devono gestire l'appartenenza ai gruppi usando le API dei gruppi di account.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fai clic sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di responsabile del gruppo.
6. Nella scheda Membri fare clic su Aggiungi.
7. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi da aggiungere e selezionarli.
8. Cliccare Conferma.

Gestire i ruoli in un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Il ruolo di manager del gruppo può essere assegnato a utenti, gruppi ed entità servizio. Un proprietario di un gruppo può gestire l'appartenenza a un gruppo. Possono anche assegnare il ruolo di manager del gruppo ad altri utenti.

È necessario essere un amministratore dell'area di lavoro per gestire i ruoli di gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I gestori di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l’Account Access Control API.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fai clic sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.

3. Fare clic sulla scheda Identità e accesso.

4. Accanto a Gruppi, fare clic su Gestisci.

5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di responsabile del gruppo.

6. Fare clic sulla scheda Permessi.

7. Clicca su Concedi accesso.

8. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager.

   Nota

   Non è possibile assegnare i gruppi locali dell'area di lavoro o i ruoli dei gruppi di sistema nei gruppi di account.

9. Fare clic su Salva.

Visualizzare i gruppi genitori

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fai clic sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo che si vuole visualizzare.
6. Nella scheda Gruppi genitori visualizzare i gruppi genitori per il gruppo.

Rimuovere un gruppo da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

La rimozione di un gruppo da un'area di lavoro non comporta l'eliminazione del gruppo nell'account. Quando un gruppo viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo dovesse tornare a far parte dell’area di lavoro, riacquisterebbe le autorizzazioni precedenti.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fai clic sul tuo nome utente nella barra superiore dell'area di lavoro di Azure Databricks e seleziona Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo e fare clic su Elimina.
6. Fare clic su Elimina per confermare.

Gestire i gruppi di account usando le API

Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi possono aggiungere, eliminare e gestire gruppi nell'account Azure Databricks usando le API dei gruppi di account. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Gli amministratori dell'area di lavoro e i manager dei gruppi usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, consultare le API dei gruppi di account.

Assegnare un gruppo a un'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gruppi alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

• Gli amministratori dell'account usano {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consultare l’API di assegnazione dell'area di lavoro.

Gestire i ruoli di un gruppo usando l'API

Importante

Questa funzionalità è disponibile in anteprima pubblica.

I manager dei gruppi possono gestire i ruoli di gruppo usando l'Account Access Control API. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Gli amministratori dell'area di lavoro e i manager dei gruppi usano {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Consultare API di controllo degli accessi degli account e API proxy di controllo degli accessi degli account per il workspace.