Delen via

Groepen beheren

  • Artikel

In dit artikel wordt uitgelegd hoe beheerders Azure Databricks-groepen maken en beheren. Zie Azure Databricks-identiteiten voor een overzicht van het Azure Databricks-identiteitsmodel.

Zie Verificatie en toegangsbeheer om de toegang voor groepen te beheren.

Overzicht van groepsbeheer

Groepen vereenvoudigen identiteitsbeheer door het gemakkelijker te maken om toegang toe te wijzen aan werkruimten, gegevens en andere beveiligbare objecten. Alle Databricks-identiteiten kunnen worden toegewezen als leden van groepen.

Typen groepen in Azure Databricks

Azure Databricks heeft vier typen groepen, gecategoriseerd op basis van hun bron:

  • Accountgroepen kunnen toegang krijgen tot gegevens in een Unity Catalog metastore, rollen toegewezen krijgen voor serviceprincipals en groepen, en machtigingen voor identiteitsfederatieve werkplekken.

  • werkruimte-lokale groepen verouderde groepen zijn die alleen kunnen worden gebruikt in de context van de werkruimte waarin ze zijn gemaakt. Deze groepen kunnen niet worden toegewezen aan extra werkruimten, toegang krijgen tot gegevens in een Unity-Catalog metastore of toegewezen rollen op accountniveau. Databricks raadt u aan bestaande werkruimte-lokale groepen om te zetten in accountgroepen. Zie Werkruimte-lokale groepen beheren (verouderd) voor meer informatie over werkruimte-lokale groepen.

  • Externe groepen zijn groepen die zijn gemaakt in Azure Databricks op basis van Microsoft Entra-id. Deze groepen worden gemaakt met behulp van een SCIM-inrichtingsconnector en blijven in sync opgeslagen met Microsoft Entra-id. Standaard kan extern groepslidmaatschap niet worden bijgewerkt vanaf de pagina met instellingen voor de Azure Databricks-accountconsole of werkruimtebeheerder. Externe groepen zijn accountgroepen.

    Notitie

    Als u een extern groepslidmaatschap wilt update vanuit de gebruikersinterface van Azure Databricks, kan een accountbeheerder onveranderbare preview van externe groepen uitschakelen op de preview-pagina van de accountconsole.

  • Systeemgroepen worden gemaakt en onderhouden door Azure Databricks. Elk account heeft een accountsysteemgroep met de naam account users, die alle gebruikers bevat. Er zijn twee systeemgroepen op werkruimteniveau in elke werkruimte: users en admins. Alle leden van de werkruimte behoren tot de users groep en werkruimtebeheerders zijn ook lid van de admins groep. Systeemgroepen kunnen niet worden verwijderd.

Notitie

Gebruikers met een ingebouwde rol Inzender of Eigenaar in Azure worden automatisch toegewezen aan de werkruimte admins groep. Zie Uw abonnement beheren voor meer informatie.

Wie kan accountgroepen beheren?

Als u accountgroepen wilt maken in Azure Databricks, moet u een accountbeheerder of werkruimtebeheerder zijn. Werkruimtebeheerders moeten zich in een door identiteit gefedereerde werkruimten bevinden om een accountgroep te maken.

Als u accountgroepen in Azure Databricks wilt beheren, moet u de rol groepsbeheerder (openbare preview) voor een groep hebben. Groepsbeheerders kunnen groepslidmaatschap beheren en de groep verwijderen. Ze kunnen ook andere gebruikers de rol groepsbeheerder toewijzen. Accountbeheerders kunnen groepsrollen beheren met behulp van de accountconsole en werkruimtebeheerders kunnen groepsrollen beheren met behulp van de pagina met instellingen voor werkruimtebeheerders. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor toegangsbeheer voor accounts.

Accountbeheerders hebben de rol groepsbeheerder op accountniveau, wat betekent dat ze de groepsmanagerrol hebben voor alle groepen in het account. Werkruimtebeheerders hebben de rol groepsbeheerder voor accountgroepen die ze maken.

Werkruimtebeheerders kunnen ook werkruimte-lokale groepen maken en beheren.

Sync groepen naar uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant

U kunt groepen van uw Microsoft Entra ID-tenant sync naar uw Azure Databricks-account met behulp van een SCIM-inrichtingsconnector. Zie Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id voor instructies.

Belangrijk

Als u al SCIM-connectors hebt die identiteiten rechtstreeks sync naar uw werkruimten, moet u deze SCIM-connectors uitschakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Zie om SCIM-inrichting op werkruimteniveau te migreren naar het accountniveau in.

Accountgroepen beheren met behulp van de accountconsole

Accountbeheerders kunnen groepen toevoegen en beheren in het Azure Databricks-account met behulp van de accountconsole. Werkruimtebeheerders en groepsbeheerders kunnen groepen beheren met behulp van de pagina werkruimte-instellingen en Databricks-API's. Zie Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen en Accountgroepen beheren met behulp van de API.

Groepen toevoegen aan uw account met behulp van de accountconsole

Ga als volgt te werk om een groep toe te voegen aan het account met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Klik op het tabblad Groepen op Groep toevoegen.
  4. Geef een naam op voor de groep.
  5. Klik op Bevestigen.
  6. Wanneer u hierom wordt gevraagd, voegt u gebruikers, service-principals en groepen toe aan de groep.

Leden toevoegen aan een groep met behulp van de accountconsole

Als u externe groepen in sync wilt houden met Microsoft Entra ID, kunt u het lidmaatschap van externe groepen niet standaard beheren in de accountconsole. Ga als volgt te werk om gebruikers, service-principals en groepen toe te voegen aan een groep met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Klik op het tabblad Groepenselect de groep die u wilt update.
  4. Klik op Leden toevoegen.
  5. Zoek de gebruiker, groep of service-principal die u wilt toevoegen en select.
  6. Klik op Toevoegen.

Er is een vertraging van een paar minuten tussen het bijwerken van een groep vanuit een account en de groep die wordt bijgewerkt in werkruimten.

Rollen in een groep beheren met behulp van de accountconsole

Belangrijk

Deze functie is beschikbaar als openbare preview.

Accountbeheerders kunnen rollen grant voor accountgroepen in de accountconsole.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Zoek en klik op het tabblad Groepen op de groepsnaam.
  4. Klik op het tabblad Machtigingen .
  5. Klik op Grant om toegang te krijgen tot.
  6. Zoek de gebruiker, service-principal of groep op en select, en selecteer de rol Groep: Manager.
  7. Klik op Opslaan.

De naam van een groep wijzigen

Als u externe groepen in sync wilt behouden met Microsoft Entra ID, kunt u standaard niet de naam van een externe groep in de accountconsole update. Accountbeheerders kunnen de naam van accountgroepen update met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Klik op het tabblad Groepenselect de groep die u wilt update.
  4. Klik op Groepsgegevens.
  5. Onder Naam, update de naam.
  6. Klik op Opslaan.

Groepsbeheerders kunnen de naam van een groep niet wijzigen met behulp van de accountconsole. Gebruik in plaats daarvan de API accountgroepen. Voorbeeld:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Zie Toegang tot Azure Databricks-resources verifiëren voor meer informatie over het verifiëren van de API voor accountgroepen.

Een groep toewijzen aan een werkruimte met behulp van de accountconsole

Als u groepen wilt toevoegen aan een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Alleen accountgroepen kunnen worden toegewezen aan werkruimten.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Werkruimten.
  3. Klik op de naam van uw werkruimte.
  4. Klik op het tabblad Permissions (Machtigingen) op Add permissions (Machtigingen toevoegen).
  5. Zoek en select de groep, wijs het machtigingsniveau toe (werkruimte Gebruiker of Admin) en klik vervolgens op Opslaan.

Remove een groep uit een werkruimte met behulp van de accountconsole

Om groepen remove naar een werkruimte te brengen met behulp van de -accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie . Alleen accountgroepen zijn verwisselbaar vanuit werkruimten met behulp van de accountconsole.

Wanneer een accountgroep uit een werkruimte wordt verwijderd, hebben groepsleden geen toegang meer tot de werkruimte, maar worden machtigingen voor de groep behouden. Als de groep later weer wordt toegevoegd aan een werkruimte, krijgt de groep weer de vorige machtigingen.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Werkruimten.
  3. Klik op de naam van uw werkruimte.
  4. Zoek de groep op het tabblad Machtigingen .
  5. Klik op het menu uiterst rechts van de groepsrij en selectRemove.
  6. Klik in het bevestigingsvenster op Remove.

Accountbeheerdersrollen toewijzen aan een groep

U kunt de accountbeheerder of marketplace-beheerdersrol niet toewijzen aan een groep met behulp van de accountconsole, maar u kunt deze toewijzen aan groepen met behulp van de ACCOUNTgroepen-API. Voorbeeld:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Zie Toegang tot Azure Databricks-resources verifiëren voor meer informatie over het verifiëren van de API voor accountgroepen.

Remove groepen uit uw Azure Databricks-account

Accountbeheerders kunnen groepen remove vanuit een Azure Databricks-account. Groepsbeheerders kunnen ook groepen uit het account remove met behulp van de API accountgroepen. Zie Accountgroepen beheren met behulp van de API-.

Belangrijk

Wanneer u een groep remove, worden alle gebruikers in die groep verwijderd uit het account en hebben ze geen toegang meer tot werkruimten waartoe ze toegang hadden (tenzij ze lid zijn van een andere groep of rechtstreeks toegang hebben gekregen tot het account of werkruimten). Databricks raadt u aan geen groepen op accountniveau te verwijderen, tenzij u wilt dat ze geen toegang meer hebben tot alle werkruimten in het account. Houd rekening met de volgende gevolgen van het verwijderen van gebruikers:

  • Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot Databricks-API's
  • Taken die eigendom zijn van de gebruiker mislukken
  • Clusters waarvan de gebruiker eigenaar is, stoppen
  • Query's of dashboards die zijn gemaakt door de gebruiker en die zijn gedeeld met de referenties Uitvoeren als eigenaar, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat delen mislukt

Ga als volgt te werk om een groep te remove met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Zoek op het tabblad Groepen de groep die u wilt remove.
  4. Klik op het kebabmenu helemaal rechts van de gebruikersrij en selecteer selectVerwijderen.
  5. Klik in het bevestigingsdialoogvenster op Verwijderen bevestigen.

Als u een groep remove met behulp van de account-console, moet u ervoor zorgen dat u de groep ook remove met behulp van SCIM-inrichtingsconnectors of SCIM API-toepassingen die zijn set voor het account opgezet. Als u dit niet doet, voegt SCIM-inrichting de groep en de bijbehorende leden terug toe wanneer deze de volgende keer wordt gesynchroniseerd. Zie Sync gebruikers en groepen van Microsoft Entra ID.

Als u een groep wilt remove van een Azure Databricks-account met behulp van de API, raadpleegt u de gebruikers en groepen Sync naar uw Azure Databricks-account en de API voor accountgroepen .

Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen

Werkruimtebeheerders kunnen accountgroepen maken en beheren in identiteitsfedereerde werkruimten met behulp van de pagina met werkruimtebeheerdersinstellingen.

Notitie

Er is een vertraging van een paar minuten tussen het bijwerken van een accountgroep vanuit een werkruimte en de groep die wordt bijgewerkt in het account.

Zie Werkruimte-lokale groepen beheren (verouderd) voor informatie over het maken van werkruimte-lokale groepen in werkruimten.

Een groep maken of toewijzen aan een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen

Ga als volgt te werk om een accountgroep in een werkruimte toe te wijzen of te maken met behulp van de pagina Met beheerdersinstellingen voor werkruimten:

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selectInstellingen.

  3. Klik op het tabblad Identiteit en toegang .

  4. Klik naast Groepen op Beheren.

  5. Klik op Groep toevoegen.

  6. Select een bestaande groep die u wilt toewijzen aan de werkruimte of klikt u op Nieuwe toevoegen om een nieuwe accountgroep te maken.

    Notitie

    Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, kunt u geen bestaande accountgroepen toewijzen of accountgroepen maken in uw werkruimte. U moet in plaats daarvan werkruimte-lokale groepen gebruiken. Zie Werkruimte-lokale groepen beheren (verouderd).

Leden toevoegen aan een groep met behulp van de pagina met werkruimtebeheerdersinstellingen

U moet een werkruimtebeheerder zijn om gebruikers, service-principals en groepen toe te voegen aan een accountgroep met behulp van de pagina met werkruimtebeheerdersinstellingen. U kunt alleen leden van een groep beheren waarvoor u de rol groepsbeheerder hebt. Als u externe groepen in sync wilt houden met Microsoft Entra ID, kunt u het lidmaatschap van externe groepen niet standaard beheren op de pagina met instellingen voor werkruimtebeheerders.

Notitie

U kunt geen onderliggende groep aan de admins groep toevoegen. U kunt geen werkruimte-lokale groepen of systeemgroepen toevoegen als leden van accountgroepen.

Groepsbeheerders die geen werkruimtebeheerders zijn, moeten groepslidmaatschap beheren met behulp van de API accountgroepen.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selectInstellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Select de groep die u wilt update. Je moet de rol van groepsbeheerder binnen de groep hebben om dit te update.
  6. Klik op het tabblad Leden op Leden toevoegen.
  7. Blader of zoek in het dialoogvenster naar de gebruikers, service-principals en groepen die u wilt toevoegen en select ze.
  8. Klik op Bevestigen.

Rollen voor een accountgroep beheren met behulp van de pagina met instellingen voor werkruimtebeheerders

Belangrijk

Deze functie is beschikbaar als openbare preview.

U kunt de groepsbeheerderrol toewijzen aan gebruikers, accountgroepen en service-principals. Groepsbeheerders kunnen groepslidmaatschap beheren. Ze kunnen de groepsmanagerrol ook toewijzen aan andere gebruikers.

U moet een werkruimtebeheerder zijn om groepsrollen te beheren met behulp van de pagina met werkruimtebeheerdersinstellingen. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor accounttoegangsbeheer.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selectInstellingen.

  3. Klik op het tabblad Identiteit en toegang .

  4. Klik naast Groepen op Beheren.

  5. Select de groep die u wilt update. U moet de rol groepsbeheerder voor de groep hebben om deze te update.

  6. Klik op het tabblad Machtigingen .

  7. Klik op Grant om toegang te krijgen tot.

  8. Zoek en select de gebruiker, service-principal of groep en kies de Groep: Manager rol.

    Notitie

    U kunt geen rollen voor werkruimtegroepen of systeemgroepen toewijzen aan accountgroepen.

  9. Klik op Opslaan.

Bovenliggende groepen weergeven

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selectInstellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Select de groep die u wilt weergeven.
  6. Bekijk op het tabblad Bovenliggende groep de bovenliggende groepen voor uw groep.

Remove een groep uit een werkruimte verwijderen via de pagina voor beheerdersinstellingen van werkruimten

Als u een groep uit een werkruimte verwijdert, wordt de groep in het account niet verwijderd. Wanneer een groep wordt verwijderd uit een werkruimte, hebben groepsleden geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de groep. Als de groep later weer wordt toegevoegd aan de werkruimte, krijgt de groep weer de vorige machtigingen.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selectInstellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Select de groep en klik op x Verwijderen
  6. Klik op Verwijderen om te bevestigen.

Accountgroepen beheren met behulp van de API

Accountbeheerders en werkruimtebeheerders en groepsbeheerders kunnen groepen toevoegen, verwijderen en beheren in het Azure Databricks-account met behulp van de API accountgroepen. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:

  • Accountbeheerders gebruiken {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Werkruimtebeheerders en groepsbeheerders gebruiken {workspace-domain}/api/2.0/account/scim/v2/.

Zie de API accountgroepen voor meer informatie.

Een groep toewijzen aan een werkruimte met behulp van de API

Account- en werkruimtebeheerders kunnen de Werkruimtetoewijzings-API gebruiken om groepen toe te wijzen aan werkruimten die zijn ingeschakeld voor identiteitsfederatie. De API voor werkruimtetoewijzing wordt ondersteund via het Azure Databricks-account en werkruimten.

  • Accountbeheerders gebruiken {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Werkruimtebeheerders gebruiken {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Zie werkruimtetoewijzings-API.

Rollen voor een groep beheren met behulp van de API

Belangrijk

Deze functie is beschikbaar als openbare preview.

Groepsbeheerders kunnen groepsrollen beheren met behulp van de Api voor toegangsbeheer voor accounts. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:

  • Accountbeheerders gebruiken {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Werkruimtebeheerders en groepsbeheerders gebruiken {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Zie De API voor accounttoegangsbeheer en de proxy-API voor toegangsbeheer voor accounts.