Gestire i gruppi

Questo articolo illustra come gli amministratori creano e gestiscono i gruppi di Azure Databricks. Per una panoramica del modello di identità di Azure Databricks, consultare Identità di Azure Databricks.

Per gestire l'accesso per i gruppi, consultare Autenticazione e controllo di accesso.

Panoramica della gestione gruppi

I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.

Differenza tra gruppi di account e gruppi locali dell'area di lavoro

Azure Databricks ha il concetto di gruppi di account e gruppi locali legacy del workspace:

• Ai gruppi di account è possibile concedere l'accesso ai dati in un megastore di Unity Catalog, ruoli su entità servizio e gruppi, e autorizzazioni per i workspace federati con identità.
• I gruppi locali dell’area di lavoro sono gruppi legacy. Questi gruppi sono identificati come workspace-local nella pagina delle impostazioni dell'amministratore del workspace. Non è possibile assegnare gruppi locali dell'area di lavoro ad aree di lavoro aggiuntive o concedere privilegi a oggetti a protezione diretta in Unity Catalog. Ai gruppi locali dell'area di lavoro non possono essere concessi ruoli a livello di account. Per altre informazioni sui gruppi locali dell'area di lavoro, consultare Gestire i gruppi locali dell'area di lavoro (legacy).

In ogni area di lavoro sono presenti due gruppi di sistema: users e admins. Tutti gli utenti dell'area di lavoro sono membri del gruppo users e tutti gli amministratori dell'area di lavoro sono membri del gruppo admins. I gruppi di sistema sono gruppi locali dell'area di lavoro. I gruppi di sistema non possono essere eliminati.

Databricks consiglia di trasformare i gruppi locali dell'area di lavoro esistenti in gruppi di account per sfruttare i vantaggi dell'assegnazione centralizzata dell'area di lavoro e della gestione degli accessi ai dati usando Unity Catalog. Consultare Eseguire la migrazione dei gruppi locali dell'area di lavoro ai gruppi di account.

Nota

Gli utenti con un ruolo predefinito Collaboratore, Proprietario o Personalizzato con l'autorizzazione Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action per la risorsa dell'area di lavoro in Azure vengono assegnati automaticamente al gruppo di aree di lavoro admins. Per altre informazioni, consultare Gestire le sottoscrizioni.

Chi può gestire i gruppi di account?

Per creare gruppi di account in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro. Gli amministratori dell'area di lavoro devono trovarsi in aree di lavoro federate con identità per creare un gruppo di account.

Per gestire i gruppi di account in Azure Databricks, è necessario avere il ruolo di manager del gruppo (Anteprima Pubblica) in un gruppo. I manager dei gruppi possono gestire l'appartenenza ai gruppi ed eliminare il gruppo. Possono anche assegnare ad altri utenti il ruolo di manager del gruppo. Gli amministratori dell'account possono gestire i ruoli di gruppo usando la console dell'account e gli amministratori dell'area di lavoro possono gestire i ruoli del gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I manager di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l'API di controllo di accesso degli account.

Gli amministratori dell'account hanno il ruolo di manager del gruppo a livello di account, ovvero hanno il ruolo di manager del gruppo in tutti i gruppi nell'account. Gli amministratori dell'area di lavoro hanno il ruolo di manager del gruppo nei gruppi di account da loro creati.

Gli amministratori dell’area di lavoro possono anche creare e gestire gruppi locali dell’area di lavoro.

Sincronizzare i gruppi con l'account Azure Databricks dal tenant di Microsoft Entra ID

È possibile sincronizzare i gruppi dal tenant di Microsoft Entra ID all'account Azure Databricks usando un connettore di provisioning SCIM. Per istruzioni, consultare Effettuare il provisioning delle identità nell'account Azure Databricks usando Microsoft Entra ID.

Importante

Se si dispone di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro e tali aree di lavoro sono abilitate per la federazione delle identità, è consigliabile disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Se si dispone di aree di lavoro che non usano la federazione delle identità, è necessario continuare a usare tutti i connettori SCIM configurati per tali aree di lavoro, in esecuzione in parallelo con il connettore SCIM a livello di account.

Gestire i gruppi di account usando la console dell'Account

Gli amministratori dell'account possono aggiungere e gestire gruppi nell'account Azure Databricks usando la console dell'account. Gli amministratori dell'area di lavoro e i manager dei gruppi possono gestirli usando la pagina delle impostazioni dell'area di lavoro e le API di Databricks. Consultare Gestire i gruppi di account utilizzando la console dell'account, e Gestire i gruppi di account le API.

Aggiungere gruppi all'account usando la console dell'account

Per aggiungere un gruppo all'account usando la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi fare clic su Aggiungi gruppo.
4. Immetti un nome per il gruppo.
5. Cliccare Conferma.
6. Quando richiesto, aggiungere utenti, entità servizio e gruppi al gruppo.

Aggiungere membri a un gruppo usando la console dell'account

Per aggiungere utenti, entità servizio e gruppi a un gruppo usando la console dell’account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Selezionare la scheda Gruppi e aprire il gruppo che si vuole modificare.
4. Fare clic su Aggiungi membri.
5. Cercare l'utente, il gruppo o l'entità servizio da aggiungere e selezionarla.
6. Fare clic su Aggiungi.

Nota

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo da un account e il gruppo da aggiornare nelle aree di lavoro.

Gestire i ruoli in un gruppo usando la console dell'account

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Gli amministratori dell'account possono concedere ruoli ai gruppi di account nella console dell'account.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare e fare clic sul nome del gruppo.
4. Fare clic sulla scheda Permessi.
5. Fare clic su Concedi accesso.
6. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager.
7. Fare clic su Salva.

Modificare il nome di un gruppo

Gli amministratori dell'account possono aggiornare il nome dei gruppi di Account usando la console dell'account:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Selezionare la scheda Gruppi e aprire il gruppo che si vuole modificare.
4. Fare clic su Informazioni sul gruppo.
5. In Nome aggiornare il nome.
6. Fare clic su Salva.

I manager del gruppo non possono modificare il nome di un gruppo usando la console dell'account. Usare invece l’API dei gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, consultare Autenticare l'accesso alle risorse di Azure Databricks.

Assegnare un utente a un'area di lavoro usando la console dell'account.

Per aggiungere gruppi a un'area di lavoro usando la console dell’account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono assegnabili alle aree di lavoro.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
5. Cercare e selezionare il gruppo, assegnare il livello di autorizzazione (Utente o Amministratore dell'area di lavoro) e quindi fare clic su Salva.

Rimuovere un gruppo da un'area di lavoro usando la console dell'account

Per rimuovere i gruppi in un'area di lavoro usando la console dell’account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono rimovibili dalle aree di lavoro usando la console dell'account.

Quando un gruppo di account viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo dovesse tornare a far parte di un'area di lavoro, riacquisterebbe le autorizzazioni precedenti.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni trovare il gruppo.
5. Fare clic sul menu kebab all'estrema destra della riga del gruppo e selezionare Rimuovi.
6. Nella finestra di conferma fare clic su Rimuovi.

Assegnare ruoli di amministratore dell'account a un gruppo

Non è possibile assegnare l'amministratore dell'account o il ruolo di amministratore del marketplace a un gruppo usando la console dell'account, ma è possibile assegnarlo ai gruppi usando le API dei gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, consultare Autenticare l'accesso alle risorse di Azure Databricks.

Rimuovere gruppi dall'account Azure Databricks

Gli amministratori dell'account possono rimuovere i gruppi da un account Azure Databricks. I manager dei gruppi possono anche rimuovere i gruppi dall'account usando le API gruppi di account. consultare Gestire i gruppi di account usando le API.

Importante

Quando si rimuove un gruppo, tutti gli utenti in quel gruppo vengono eliminati dall'account e perdono l'accesso a qualsiasi workspace a cui avevano accesso (a meno che non siano membri di un altro gruppo o abbiano ricevuto accesso diretto all'account o a qualsiasi workspace). È consigliabile evitare di eliminare gli utenti dell'account o le entità servizio a meno che non si desideri che perdano l'accesso a tutte le aree di lavoro dell'account. Tenere presente le seguenti conseguenze dell'eliminazione degli utenti:

• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
• I processi di proprietà dell'utente hanno esito negativo
• I cluster di proprietà dell'utente si arrestano
• Le query o le dashboard create dall'utente e condivise tramite le credenziali Esegui come proprietario devono essere assegnate a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Per rimuovere un gruppo tramite la console dell'account, eseguire le seguenti operazioni:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale, fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare il gruppo da rimuovere.
4. In alto a destra nella schermata fare clic sul menu kebab e selezionare Elimina.
5. Nella finestra di dialogo di conferma fare su Conferma eliminazione.

Se si rimuove un gruppo usando la console dell'account, è necessario assicurarsi di rimuovere anche il gruppo usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiungerà semplicemente il gruppo e i relativi membri alla successiva sincronizzazione. Consultare Sincronizzare utenti e gruppi da Microsoft Entra ID.

Per rimuovere un gruppo da un account Azure Databricks usando l'API, consultare Sincronizzare utenti e gruppi con l'account Azure Databricks e le API dei gruppi di account.

Gestire i gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Gli amministratori dell'area di lavoro possono creare e gestire gruppi di account nelle aree di lavoro federate con identità usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Nota

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo di account da un'area di lavoro e il gruppo da aggiornare nell'account.

Per informazioni su come creare gruppi locali dell'area di lavoro nelle aree di lavoro, consultare Gestire gruppi locali dell'area di lavoro (legacy).

Creare o assegnare un gruppo a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare o creare un gruppo di account in un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, eseguire le seguenti operazioni:

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso.

4. Accanto a Gruppi, fare clic su Gestisci.

5. Fare clic su Aggiungi gruppo.

6. Selezionare un gruppo esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo gruppo di account.

   Nota

   Se l'area di lavoro non è abilitata per la federazione delle identità, non è possibile assegnare gruppi di account esistenti o aggiungere gruppi di account nell'area di lavoro. È invece necessario usare i gruppi locali dell'area di lavoro, consultare Gestire i gruppi locali dell'area di lavoro (legacy).

Aggiungere membri a un gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro

È necessario essere un amministratore dell'area di lavoro per aggiungere utenti, entità servizio e gruppi a un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro. È possibile gestire solo i membri di un gruppo su cui si ha il ruolo di manager del gruppo.

Nota

Non è possibile aggiungere un gruppo figlio al gruppo admins. Non è possibile aggiungere gruppi locali dell'area di lavoro o gruppi di sistema come membri dei gruppi di account.

I gestori di gruppi che non sono amministratori dell'area di lavoro devono gestire l'appartenenza ai gruppi usando le API dei gruppi di account.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di manager del gruppo.
6. Nella scheda Membri fare clic su Aggiungi.
7. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi da aggiungere e selezionarli.
8. Cliccare Conferma.

Gestire i ruoli in un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Il ruolo di manager del gruppo può essere assegnato a utenti, gruppi ed entità servizio. Un proprietario di un gruppo può gestire l'appartenenza a un gruppo. Possono anche assegnare il ruolo di manager del gruppo ad altri utenti.

È necessario essere un amministratore dell'area di lavoro per gestire i ruoli di gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I gestori di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l’Account Access Control API.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso.

4. Accanto a Gruppi, fare clic su Gestisci.

5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di manager del gruppo.

6. Fare clic sulla scheda Permessi.

7. Fare clic su Concedi accesso.

8. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager.

   Nota

   Non è possibile assegnare i gruppi locali dell'area di lavoro o i ruoli dei gruppi di sistema nei gruppi di account.

9. Fare clic su Salva.

Visualizzare i gruppi genitori

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo da visualizzare.
6. Nella scheda Gruppi genitori visualizzare i gruppi genitori per il gruppo.

Rimuovere un gruppo da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

La rimozione di un gruppo da un'area di lavoro non comporta l'eliminazione del gruppo nell'account. Quando un gruppo viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo dovesse tornare a far parte dell’area di lavoro, riacquisterebbe le autorizzazioni precedenti.

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso.
4. Accanto a Gruppi, fare clic su Gestisci.
5. Selezionare il gruppo e fare clic su Elimina.
6. Fare clic su Elimina per confermare.

Gestire i gruppi di account usando le API

Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi possono aggiungere, eliminare e gestire gruppi nell'account Azure Databricks usando le API dei gruppi di account. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Gli amministratori dell'area di lavoro e i manager dei gruppi usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, consultare le API dei gruppi di account.

Assegnare un gruppo a un'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gruppi alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

• Gli amministratori degli account usano {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consultare l’API di assegnazione dell'area di lavoro.

Gestire i ruoli di un gruppo usando l'API

Importante

Questa funzionalità è disponibile in anteprima pubblica.

I manager dei gruppi possono gestire i ruoli di gruppo usando l'Account Access Control API. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i manager dei gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Gli amministratori dell'area di lavoro e i manager dei gruppi usano {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Consultare API di controllo degli accessi degli account e API proxy di controllo degli accessi degli account per il workspace.