Groepen beheren
In dit artikel wordt uitgelegd hoe beheerders Azure Databricks-groepen maken en beheren. Zie Azure Databricks-identiteiten voor een overzicht van het Azure Databricks-identiteitsmodel.
Zie Verificatie en toegangsbeheer om de toegang voor groepen te beheren.
Overzicht van groepsbeheer
Groepen vereenvoudigen identiteitsbeheer door het gemakkelijker te maken om toegang toe te wijzen aan werkruimten, gegevens en andere beveiligbare objecten. Alle Databricks-identiteiten kunnen worden toegewezen als leden van groepen.
Typen groepen in Azure Databricks
Azure Databricks heeft vier typen groepen, gecategoriseerd op basis van hun bron:
accountgroepen toegang kunnen krijgen tot gegevens in een Unity Catalog metastore, toegewezen rollen voor service-principals en groepen en machtigingen voor gefedereerde werkruimten.
werkruimte-lokale groepen verouderde groepen zijn die alleen kunnen worden gebruikt in de context van de werkruimte waarin ze zijn gemaakt. Deze groepen kunnen niet worden toegewezen aan extra werkruimten, toegang krijgen tot gegevens in een Unity Catalog-metastore of toegewezen rollen op accountniveau. Databricks raadt u aan bestaande werkruimte-lokale groepen om te zetten in accountgroepen. Zie Werkruimte-lokale groepen beheren (verouderd) voor meer informatie over werkruimte-lokale groepen.
Externe groepen zijn groepen die zijn gemaakt in Azure Databricks op basis van Microsoft Entra-id. Deze groepen worden gemaakt met behulp van een SCIM-provisioningconnector en blijven gesynchroniseerd met de Microsoft Entra ID. Standaard kan extern groepslidmaatschap niet worden bijgewerkt vanaf de pagina met instellingen voor de Azure Databricks-accountconsole of werkruimtebeheerder. Externe groepen zijn accountgroepen.
Notitie
Als u het lidmaatschap van externe groepen wilt bijwerken vanuit de Gebruikersinterface van Azure Databricks, kan een accountbeheerder onveranderbare preview van externe groepen uitschakelen op de preview-pagina van de accountconsole.
Systeemgroepen worden gemaakt en onderhouden door Azure Databricks. Elk account heeft een accountsysteemgroep met de naam
account users, die alle gebruikers bevat. Er zijn twee systeemgroepen op werkruimteniveau in elke werkruimte:usersenadmins. Alle leden van de werkruimte behoren tot deusersgroep en werkruimtebeheerders zijn ook lid van deadminsgroep. Systeemgroepen kunnen niet worden verwijderd.
Gebruikers met een ingebouwde rol Inzender of Eigenaar in Azure worden automatisch toegewezen aan de werkruimte admins groep. Zie Uw abonnement beheren voor meer informatie.
Wie kan accountgroepen beheren?
Als u accountgroepen wilt maken in Azure Databricks, moet u een accountbeheerder of werkruimtebeheerder zijn. Werkruimtebeheerders moeten zich in een door identiteit gefedereerde werkruimten bevinden om een accountgroep te maken.
Als u accountgroepen in Azure Databricks wilt beheren, moet u de rol groepsbeheerder (openbare preview) voor een groep hebben. Groepsbeheerders kunnen groepslidmaatschap beheren en de groep verwijderen. Ze kunnen ook andere gebruikers de rol groepsbeheerder toewijzen. Accountbeheerders kunnen groepsrollen beheren met behulp van de accountconsole en werkruimtebeheerders kunnen groepsrollen beheren met behulp van de pagina met instellingen voor werkruimtebeheerders. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor toegangsbeheer voor accounts.
Accountbeheerders hebben de rol groepsbeheerder op accountniveau, wat betekent dat ze de groepsmanagerrol hebben voor alle groepen in het account. Werkruimtebeheerders hebben de rol groepsbeheerder voor accountgroepen die ze maken.
Werkruimtebeheerders kunnen ook werkruimte-lokale groepen maken en beheren.
Groepen synchroniseren met uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant
U kunt groepen van uw Microsoft Entra ID-tenant automatisch synchroniseren met uw Azure Databricks-account of via een SCIM-provisioningconnector.
Automatisch identiteitsbeheer (openbare preview) kunt u gebruikers, service-principals en groepen uit Microsoft Entra-id toevoegen aan Azure Databricks zonder dat u een toepassing in Microsoft Entra-id hoeft te configureren. Databricks maakt gebruik van Microsoft Entra-id als bron van record, zodat wijzigingen in gebruikers of groepslidmaatschappen worden gerespecteerd in Azure Databricks. Deze preview ondersteunt geneste groepen. Zie Gebruikers en groepen automatisch synchroniseren vanuit Microsoft Entra IDvoor meer informatie.
.. Opmerking: Tijdens de openbare preview van automatisch identiteitsbeheer worden geneste groepen niet vermeld in de gebruikersinterface van Azure Databricks. Zie Beperkingen van de gebruikersinterface voor automatisch identiteitsbeheer tijdens de Openbare Preview:.
SCIM-provisioning stelt u in staat om een bedrijfstoepassing in Microsoft Entra ID te configureren om gebruikers en groepen hiermee gesynchroniseerd te houden. SCIM-voorziening biedt geen ondersteuning voor geneste groepen. Zie Gebruikers en groepen van Microsoft Entra-id synchroniseren met behulp van SCIMvoor instructies.
Accountgroepen beheren met behulp van de accountconsole
Accountbeheerders kunnen groepen toevoegen en beheren in het Azure Databricks-account met behulp van de accountconsole. Werkruimtebeheerders en groepsbeheerders kunnen groepen beheren met behulp van de pagina werkruimte-instellingen en Databricks-API's. Zie Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen en Accountgroepen beheren met behulp van de API.
Groepen toevoegen aan uw account met behulp van de accountconsole
Ga als volgt te werk om een groep toe te voegen aan het account met behulp van de accountconsole:
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Klik op het tabblad Groepen op Groep toevoegen.
- Geef een naam op voor de groep.
- Klik op Bevestigen.
- Wanneer u hierom wordt gevraagd, voegt u gebruikers, service-principals en groepen toe aan de groep.
Leden toevoegen aan een groep met behulp van de accountconsole
Als u externe groepen synchroon wilt houden met Microsoft Entra ID, kunt u het lidmaatschap van externe groepen in de accountconsole niet standaard beheren. Ga als volgt te werk om gebruikers, service-principals en groepen toe te voegen aan een groep met behulp van de accountconsole:
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Selecteer op het tabblad Groepen de groep die u wilt bijwerken.
- Klik op Leden toevoegen.
- Zoek de gebruiker, groep of service-principal die u wilt toevoegen en selecteer deze.
- Klik op Toevoegen.
Er is een vertraging van een paar minuten tussen het bijwerken van een groep vanuit een account en de groep die wordt bijgewerkt in werkruimten.
Rollen in een groep beheren met behulp van de accountconsole
Belangrijk
Deze functie is beschikbaar als openbare preview.
Accountbeheerders kunnen rollen verlenen voor accountgroepen in de accountconsole.
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Zoek en klik op het tabblad Groepen op de groepsnaam.
- Klik op het tabblad Machtigingen .
- Klik op Verleen toegang.
- Zoek en selecteer de gebruiker, de serviceprincipal, of de groep en kies de rol Groep: Manager.
- Klik op Opslaan.
De naam van een groep wijzigen
Als u externe groepen synchroon wilt houden met Microsoft Entra-id, kunt u de naam van een externe groep in de accountconsole niet standaard bijwerken. Accountbeheerders kunnen de naam van accountgroepen bijwerken met behulp van de accountconsole:
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Selecteer op het tabblad Groepen de groep die u wilt bijwerken.
- Klik op Groepsgegevens.
- Werk onder naamde naam bij.
- Klik op Opslaan.
Groepsbeheerders kunnen de naam van een groep niet wijzigen met behulp van de accountconsole. Gebruik in plaats daarvan de API accountgroepen. Voorbeeld:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Zie Toegang tot Azure Databricks-resources autoriserenvoor informatie over hoe je authenticatie naar de API voor accountgroepen uitvoert.
Een groep toewijzen aan een werkruimte met behulp van de accountconsole
Als u groepen wilt toevoegen aan een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Alleen accountgroepen kunnen worden toegewezen aan werkruimten.
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Werkruimten.
- Klik op de naam van uw werkruimte.
- Klik op het tabblad Permissions (Machtigingen) op Add permissions (Machtigingen toevoegen).
- Zoek en selecteer de groep, wijs het machtigingsniveau toe (werkruimte Gebruiker of Admin) en klik vervolgens op Opslaan.
Een groep verwijderen uit een werkruimte met behulp van de accountconsole
Als u groepen wilt verwijderen uit een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Alleen accountgroepen zijn verwisselbaar vanuit werkruimten met behulp van de accountconsole.
Wanneer een accountgroep uit een werkruimte wordt verwijderd, hebben groepsleden geen toegang meer tot de werkruimte, maar worden machtigingen voor de groep behouden. Als de groep later weer wordt toegevoegd aan een werkruimte, krijgt de groep weer de vorige machtigingen.
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Werkruimten.
- Klik op de naam van uw werkruimte.
- Zoek de groep op het tabblad Machtigingen .
- Klik op het kebabmenu
uiterst rechts van de groepsrij en selecteer Verwijderen. - Klik in het bevestigingsvenster op verwijderen.
Accountbeheerdersrollen toewijzen aan een groep
U kunt de accountbeheerder of marketplace-beheerdersrol niet toewijzen aan een groep met behulp van de accountconsole, maar u kunt deze toewijzen aan groepen met behulp van de ACCOUNTgroepen-API. Voorbeeld:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Voor meer informatie over hoe u authenticatie uitvoert bij de Account Groups API, zie Toegang tot Azure Databricks-resources autoriseren.
Groepen verwijderen uit uw Azure Databricks-account
Accountbeheerders kunnen groepen verwijderen uit een Azure Databricks-account. Groepsbeheerders kunnen ook groepen uit het account verwijderen met behulp van de API accountgroepen. Zie Accountgroepen beheren met behulp van de API-.
Belangrijk
Wanneer u een groep verwijdert, worden alle gebruikers in die groep verwijderd uit het account en hebben ze geen toegang meer tot werkruimten waartoe ze toegang hadden (tenzij ze lid zijn van een andere groep of rechtstreeks toegang hebben gekregen tot het account of werkruimten). Databricks raadt u aan geen groepen op accountniveau te verwijderen, tenzij u wilt dat ze geen toegang meer hebben tot alle werkruimten in het account. Houd rekening met de volgende gevolgen van het verwijderen van gebruikers:
- Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot Databricks-API's
- Taken die eigendom zijn van de gebruiker mislukken
- Clusters waarvan de gebruiker eigenaar is, stoppen
- Query's of dashboards die zijn gemaakt door de gebruiker en die zijn gedeeld met de referenties Uitvoeren als eigenaar, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat delen mislukt
Ga als volgt te werk om een groep te verwijderen met behulp van de accountconsole:
- Meld u als accountbeheerder aan bij de accountconsole.
- Klik in de zijbalk op Gebruikersbeheer.
- Zoek op het tabblad Groepen de groep die u wilt verwijderen.
- Klik op het uiterst rechts van de gebruikersrij en selecteer Verwijderen.
- Klik in het bevestigingsdialoogvenster op Verwijderen bevestigen.
Als u een groep verwijdert via de accountconsole, moet u ervoor zorgen dat u de groep ook via SCIM-inrichtingsconnectors of SCIM API-toepassingen verwijdert die zijn ingesteld voor het account. Als u dit niet doet, voegt SCIM-inrichting de groep en de bijbehorende leden terug toe wanneer deze de volgende keer wordt gesynchroniseerd. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id met behulp van SCIM.
Als u een groep wilt verwijderen uit een Azure Databricks-account met behulp van de API, raadpleegt u Gebruikers en groepen synchroniseren met uw Azure Databricks-account en de API voor accountgroepen.
Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen
Werkruimtebeheerders kunnen accountgroepen maken en beheren in identiteitsfedereerde werkruimten met behulp van de pagina met werkruimtebeheerdersinstellingen.
Notitie
Er is een vertraging van een paar minuten tussen het bijwerken van een accountgroep vanuit een werkruimte en de groep die wordt bijgewerkt in het account.
Zie Werkruimte-lokale groepen beheren (verouderd) voor informatie over het maken van werkruimte-lokale groepen in werkruimten.
Een groep maken of toewijzen aan een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen
Ga als volgt te werk om een accountgroep in een werkruimte toe te wijzen of te maken met behulp van de pagina Met beheerdersinstellingen voor werkruimten:
Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
Klik op het tabblad Identiteit en toegang .
Klik naast Groepen op Beheren.
Klik op Groep toevoegen.
Selecteer een bestaande groep die u wilt toewijzen aan de werkruimte of klik op Nieuwe toevoegen om een nieuwe accountgroep te maken.
Notitie
Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, kunt u geen bestaande accountgroepen toewijzen of accountgroepen maken in uw werkruimte. U moet in plaats daarvan werkruimte-lokale groepen gebruiken. Zie Werkruimte-lokale groepen beheren (verouderd).
Leden toevoegen aan een groep met behulp van de pagina met werkruimtebeheerdersinstellingen
U moet een werkruimtebeheerder zijn om gebruikers, service-principals en groepen toe te voegen aan een accountgroep met behulp van de pagina met werkruimtebeheerdersinstellingen. U kunt alleen leden van een groep beheren waarvoor u de rol groepsbeheerder hebt. Als u externe groepen synchroon wilt houden met Microsoft Entra ID, kunt u het lidmaatschap van externe groepen niet standaard beheren op de pagina met instellingen voor werkruimtebeheerders.
Notitie
U kunt geen onderliggende groep aan de admins groep toevoegen. U kunt geen werkruimte-lokale groepen of systeemgroepen toevoegen als leden van accountgroepen.
Groepsbeheerders die geen werkruimtebeheerders zijn, moeten groepslidmaatschap beheren met behulp van de API accountgroepen.
- Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
- Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
- Klik op het tabblad Identiteit en toegang .
- Klik naast Groepen op Beheren.
- Selecteer de groep die u wilt bijwerken. U moet de rol groepsbeheerder voor de groep hebben om deze bij te werken.
- Klik op het tabblad Leden op Leden toevoegen.
- Blader of zoek in het dialoogvenster naar de gebruikers, service-principals en groepen die u wilt toevoegen en selecteer ze.
- Klik op Bevestigen.
Rollen voor een accountgroep beheren met behulp van de pagina met instellingen voor werkruimtebeheerders
Belangrijk
Deze functie is beschikbaar als openbare preview.
U kunt de groepsbeheerderrol toewijzen aan gebruikers, accountgroepen en service-principals. Groepsbeheerders kunnen groepslidmaatschap beheren. Ze kunnen de groepsmanagerrol ook toewijzen aan andere gebruikers.
U moet een werkruimtebeheerder zijn om groepsrollen te beheren met behulp van de pagina met werkruimtebeheerdersinstellingen. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor accounttoegangsbeheer.
Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
Klik op het tabblad Identiteit en toegang .
Klik naast Groepen op Beheren.
Selecteer de groep die u wilt bijwerken. U moet de rol groepsbeheerder voor de groep hebben om deze bij te werken.
Klik op het tabblad Machtigingen .
Klik op Verleen toegang.
Zoek en selecteer de gebruiker, de serviceprincipal, of de groep en kies de rol Groep: Manager.
Notitie
U kunt geen rollen voor werkruimtegroepen of systeemgroepen toewijzen aan accountgroepen.
Klik op Opslaan.
Bovenliggende groepen weergeven
- Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
- Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
- Klik op het tabblad Identiteit en toegang .
- Klik naast Groepen op Beheren.
- Selecteer de groep die u wilt weergeven.
- Bekijk op het tabblad Bovenliggende groep de bovenliggende groepen voor uw groep.
Een groep verwijderen uit een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders
Als u een groep uit een werkruimte verwijdert, wordt de groep in het account niet verwijderd. Wanneer een groep wordt verwijderd uit een werkruimte, hebben groepsleden geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de groep. Als de groep later weer wordt toegevoegd aan de werkruimte, krijgt de groep weer de vorige machtigingen.
- Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
- Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
- Klik op het tabblad Identiteit en toegang .
- Klik naast Groepen op Beheren.
- Selecteer de groep en klik op x verwijderen
- Klik op Verwijderen om te bevestigen.
Accountgroepen beheren met behulp van de API
Accountbeheerders en werkruimtebeheerders en groepsbeheerders kunnen groepen toevoegen, verwijderen en beheren in het Azure Databricks-account met behulp van de API accountgroepen. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:
- Accountbeheerders gebruiken
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Werkruimtebeheerders en groepsbeheerders gebruiken
{workspace-domain}/api/2.0/account/scim/v2/.
Zie de API accountgroepen voor meer informatie.
Een groep toewijzen aan een werkruimte met behulp van de API
Account- en werkruimtebeheerders kunnen de Werkruimtetoewijzings-API gebruiken om groepen toe te wijzen aan werkruimten die zijn ingeschakeld voor identiteitsfederatie. De API voor werkruimtetoewijzing wordt ondersteund via het Azure Databricks-account en werkruimten.
- Accountbeheerders gebruiken
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Werkruimtebeheerders gebruiken
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.
Zie werkruimtetoewijzings-API.
Rollen voor een groep beheren met behulp van de API
Belangrijk
Deze functie is beschikbaar als openbare preview.
Groepsbeheerders kunnen groepsrollen beheren met behulp van de Api voor toegangsbeheer voor accounts. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:
- Accountbeheerders gebruiken
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles. - Werkruimtebeheerders en groepsbeheerders gebruiken
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.
Zie De API voor accounttoegangsbeheer en de proxy-API voor toegangsbeheer voor accounts.