Udostępnij za pośrednictwem


Zarządzanie grupami

W tym artykule wyjaśniono, jak administratorzy tworzą grupy usługi Azure Databricks i zarządzają nimi. Aby zapoznać się z omówieniem modelu tożsamości usługi Azure Databricks, zobacz Tożsamości usługi Azure Databricks.

Aby zarządzać dostępem dla grup, zobacz Uwierzytelnianie i kontrola dostępu.

Omówienie zarządzania grupami

Grupy upraszczają zarządzanie tożsamościami, ułatwiając przypisywanie dostępu do obszarów roboczych, danych i innych zabezpieczanych obiektów. Wszystkie tożsamości usługi Databricks można przypisać jako członków grup.

Różnica między grupami kont a grupami lokalnymi obszaru roboczego

Usługa Azure Databricks ma pojęcie grup kont i starszych grup obszarów roboczych lokalnych:

  • Grupy kont mogą mieć dostęp do danych w magazynie metadanych wykazu aparatu Unity, udzielaniu ról w jednostkach usługi i grupach oraz uprawnieniach do tożsamości federacyjnych obszarów roboczych.
  • Grupy lokalne obszaru roboczego to starsze grupy. Te grupy są identyfikowane jako obszar roboczy lokalny na stronie ustawień administratora obszaru roboczego. Nie można przypisać grup lokalnych obszaru roboczego do dodatkowych obszarów roboczych ani udzielić dostępu do danych w magazynie metadanych wykazu aparatu Unity. Nie można udzielić ról na poziomie konta dla grup lokalnych obszaru roboczego. Aby uzyskać więcej informacji na temat grup lokalnych obszaru roboczego, zobacz Zarządzanie grupami lokalnymi (starsza wersja) obszaru roboczego.

Istnieją dwie grupy systemowe w każdym obszarze roboczym: users i admins. Wszyscy użytkownicy obszaru roboczego są członkami users grupy, a wszyscy administratorzy obszaru roboczego admins są członkami grupy. Grupy systemowe to grupy lokalne obszaru roboczego. Nie można usunąć grup systemowych.

Usługa Databricks zaleca przekształcenie istniejących grup lokalnych obszaru roboczego w grupy, aby skorzystać z scentralizowanego przypisania obszaru roboczego i zarządzania dostępem do danych przy użyciu wykazu aparatu Unity. Zobacz Migrowanie grup obszarów roboczych i lokalnych do grup kont.

Uwaga

Użytkownicy z wbudowaną rolą Współautor, Właściciel lub Niestandardowa z Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action uprawnieniem do zasobu obszaru roboczego na platformie Azure są automatycznie przypisywani do grupy obszarów roboczych admins . Aby uzyskać więcej informacji, zobacz Zarządzanie subskrypcją.

Kto może zarządzać grupami kont?

Aby utworzyć grupy kont w usłudze Azure Databricks, musisz być administratorem konta lub administratorem obszaru roboczego. Aby utworzyć grupę kont, administratorzy obszaru roboczego muszą znajdować się w obszarach roboczych federacyjnych tożsamości.

Aby zarządzać grupami kont w usłudze Azure Databricks, musisz mieć rolę menedżera grupy (publiczna wersja zapoznawcza) w grupie. Menedżerowie grup mogą zarządzać członkostwem w grupach i usuwać grupę. Mogą również przypisywać innym użytkownikom rolę menedżera grupy. Administratorzy konta mogą zarządzać rolami grup przy użyciu konsoli konta, a administratorzy obszaru roboczego mogą zarządzać rolami grupy przy użyciu strony ustawień administratora obszaru roboczego. Menedżerowie grup, którzy nie są administratorami obszaru roboczego, mogą zarządzać rolami grup przy użyciu interfejsu API kontroli dostępu kont.

Administratorzy kont mają rolę menedżera grupy na poziomie konta, co oznacza, że mają rolę menedżera grupy we wszystkich grupach na koncie. Administratorzy obszaru roboczego mają rolę menedżera grupy w grupach kont, które tworzą.

Administratorzy obszaru roboczego mogą również tworzyć grupy lokalne obszaru roboczego i zarządzać nimi.

Synchronizowanie grup z kontem usługi Azure Databricks z dzierżawy microsoft Entra ID

Możesz synchronizować grupy z dzierżawy identyfikatora Entra firmy Microsoft do konta usługi Azure Databricks przy użyciu łącznika aprowizacji SCIM. Aby uzyskać instrukcje, zobacz Provision identities to your Azure Databricks account using Microsoft Entra ID (Aprowizuj tożsamości na koncie usługi Azure Databricks przy użyciu identyfikatora Microsoft Entra).

Ważne

Jeśli masz łączniki SCIM, które synchronizują tożsamości bezpośrednio z obszarami roboczymi, a te obszary robocze są włączone dla federacji tożsamości, zalecamy wyłączenie tych łączników SCIM po włączeniu łącznika SCIM na poziomie konta. Jeśli masz obszary robocze, które nie korzystają z federacji tożsamości, musisz nadal używać wszystkich łączników SCIM skonfigurowanych dla tych obszarów roboczych, działających równolegle z łącznikiem SCIM na poziomie konta.

Zarządzanie grupami kont przy użyciu konsoli konta

Administratorzy kont mogą dodawać grupy i zarządzać nimi na koncie usługi Azure Databricks przy użyciu konsoli konta. Administratorzy obszaru roboczego i menedżerowie grup mogą zarządzać grupami przy użyciu strony ustawień obszaru roboczego i interfejsów API usługi Databricks. Zobacz Zarządzanie grupami kont przy użyciu strony ustawień administratora obszaru roboczego i Zarządzanie grupami kont przy użyciu interfejsu API.

Dodawanie grup do konta przy użyciu konsoli konta

Aby dodać grupę do konta przy użyciu konsoli konta, wykonaj następujące czynności:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Grupy kliknij pozycję Dodaj grupę.
  4. Wprowadź nazwę grupy.
  5. Kliknij przycisk Potwierdź.
  6. Po wyświetleniu monitu dodaj użytkowników, jednostki usługi i grupy do grupy.

Dodawanie członków do grupy przy użyciu konsoli konta

Aby dodać użytkowników, jednostki usługi i grupy do grupy przy użyciu konsoli konta, wykonaj następujące czynności:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Grupy wybierz grupę, którą chcesz zaktualizować.
  4. Kliknij pozycję Dodaj członków.
  5. Wyszukaj użytkownika, grupę lub jednostkę usługi, którą chcesz dodać, i wybierz ją.
  6. Kliknij przycisk Dodaj.

Uwaga

Istnieje opóźnienie między aktualizowaniem grupy z konta a grupą aktualizowaną w obszarach roboczych.

Zarządzanie rolami w grupie przy użyciu konsoli konta

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Administratorzy kont mogą udzielać ról w grupach kont w konsoli konta.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Grupy znajdź i kliknij nazwę grupy.
  4. Kliknij kartę Uprawnienia .
  5. Kliknij pozycję Udziel dostępu.
  6. Wyszukaj i wybierz użytkownika, jednostkę usługi lub grupę , a następnie wybierz rolę Grupa: Menedżer .
  7. Kliknij przycisk Zapisz.

Zmienianie nazwy grupy

Administratorzy kont mogą zaktualizować nazwę grup kont przy użyciu konsoli konta:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Grupy wybierz grupę, którą chcesz zaktualizować.
  4. Kliknij pozycję Informacje o grupie.
  5. W obszarze Nazwa zaktualizuj nazwę.
  6. Kliknij przycisk Zapisz.

Menedżerowie grup nie mogą zmienić nazwy grupy przy użyciu konsoli konta. Zamiast tego użyj interfejsu API grup kont. Na przykład:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Aby uzyskać informacje na temat uwierzytelniania w interfejsie API grup kont, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Databricks.

Przypisywanie grupy do obszaru roboczego przy użyciu konsoli konta

Aby dodać grupy do obszaru roboczego przy użyciu konsoli konta, obszar roboczy musi być włączony dla federacji tożsamości. Tylko grupy kont można przypisywać do obszarów roboczych.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Permissions (Uprawnienia) kliknij pozycję Add permissions (Dodaj uprawnienia).
  5. Wyszukaj i wybierz grupę, przypisz poziom uprawnień (użytkownik lub administrator obszaru roboczego), a następnie kliknij przycisk Zapisz.

Usuwanie grupy z obszaru roboczego przy użyciu konsoli konta

Aby usunąć grupy do obszaru roboczego przy użyciu konsoli konta, obszar roboczy musi być włączony dla federacji tożsamości. Tylko grupy kont są wymienne z obszarów roboczych przy użyciu konsoli konta.

Gdy grupa kont zostanie usunięta z obszaru roboczego, członkowie grupy nie będą już mogli uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane w grupie. Jeśli grupa zostanie później dodana z powrotem do obszaru roboczego, grupa odzyska poprzednie uprawnienia.

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Obszary robocze.
  3. Kliknij nazwę obszaru roboczego.
  4. Na karcie Uprawnienia znajdź grupę.
  5. Menu Kebab Kliknij menu kebab po prawej stronie wiersza grupy i wybierz pozycję Usuń.
  6. W oknie dialogowym potwierdzenia kliknij przycisk Usuń.

Przypisywanie ról administratora konta do grupy

Nie można przypisać roli administratora konta lub administratora witryny Marketplace do grupy przy użyciu konsoli konta, ale można przypisać ją do grup przy użyciu interfejsu API grup kont. Na przykład:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Aby uzyskać informacje na temat uwierzytelniania w interfejsie API grup kont, zobacz Uwierzytelnianie dostępu do zasobów usługi Azure Databricks.

Usuwanie grup z konta usługi Azure Databricks

Administratorzy konta mogą usuwać grupy z konta usługi Azure Databricks. Menedżerowie grup mogą również usuwać grupy z konta przy użyciu interfejsu API grup kont, zobacz Zarządzanie grupami kont przy użyciu interfejsu API.

Ważne

Gdy usuniesz grupę, wszyscy użytkownicy w tej grupie zostaną usunięci z konta i utracą dostęp do wszystkich obszarów roboczych, do których mieli dostęp (chyba że są członkami innej grupy lub otrzymali bezpośrednio dostęp do konta lub dowolnych obszarów roboczych). Usługa Databricks zaleca powstrzymanie się od usuwania grup na poziomie konta, chyba że chcesz, aby utraciły dostęp do wszystkich obszarów roboczych na koncie. Należy pamiętać o następujących konsekwencjach usuwania użytkowników:

  • Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsów API usługi Databricks
  • Zadania należące do użytkownika kończą się niepowodzeniem
  • Klastry należące do użytkownika zatrzymają
  • Zapytania lub pulpity nawigacyjne utworzone przez użytkownika i udostępnione przy użyciu poświadczeń Uruchom jako właściciel muszą być przypisane do nowego właściciela, aby zapobiec awarii udostępniania

Aby usunąć grupę przy użyciu konsoli konta, wykonaj następujące czynności:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
  3. Na karcie Grupy znajdź grupę, którą chcesz usunąć.
  4. Menu Kebab Kliknij menu kebab po prawej stronie wiersza użytkownika i wybierz pozycję Usuń.
  5. W oknie dialogowym potwierdzenia kliknij pozycję Potwierdź usunięcie.

Jeśli usuniesz grupę przy użyciu konsoli konta, musisz również usunąć grupę przy użyciu łączników aprowizacji SCIM lub aplikacji interfejsu API SCIM skonfigurowanych dla konta. Jeśli tego nie zrobisz, aprowizacja SCIM po prostu doda grupę i jej członków ponownie przy następnej synchronizacji. Zobacz Synchronizowanie użytkowników i grup z identyfikatora Entra firmy Microsoft.

Aby usunąć grupę z konta usługi Azure Databricks przy użyciu interfejsu API, zobacz Synchronizowanie użytkowników i grup z kontem usługi Azure Databricks oraz interfejsem API grup kont.

Zarządzanie grupami kont przy użyciu strony ustawień administratora obszaru roboczego

Administratorzy obszaru roboczego mogą tworzyć grupy kont i zarządzać nimi w obszarach roboczych federacyjnych tożsamości przy użyciu strony ustawień administratora obszaru roboczego.

Uwaga

Istnieje opóźnienie z kilku minut między aktualizowaniem grupy kont z obszaru roboczego a zaktualizowaną grupą na koncie.

Aby uzyskać informacje o sposobie tworzenia grup lokalnych obszaru roboczego w obszarach roboczych, zobacz Zarządzanie grupami lokalnymi obszaru roboczego (starsza wersja).

Tworzenie lub przypisywanie grupy do obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego

Aby przypisać lub utworzyć grupę kont w obszarze roboczym przy użyciu strony ustawień administratora obszaru roboczego, wykonaj następujące czynności:

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.

  3. Kliknij kartę Tożsamość i dostęp .

  4. Obok pozycji Grupy kliknij pozycję Zarządzaj.

  5. Kliknij pozycję Dodaj grupę.

  6. Wybierz istniejącą grupę, która ma zostać przypisana do obszaru roboczego, lub kliknij pozycję Dodaj nową , aby utworzyć nową grupę kont.

    Uwaga

    Jeśli obszar roboczy nie jest włączony dla federacji tożsamości, nie można przypisać istniejących grup kont ani dodać grup kont w obszarze roboczym. Zamiast tego należy używać grup obszarów roboczych i lokalnych, zobacz Zarządzanie grupami lokalnymi (starsza wersja) obszaru roboczego.

Dodawanie członków do grupy przy użyciu strony ustawień administratora obszaru roboczego

Musisz być administratorem obszaru roboczego, aby dodać użytkowników, jednostki usługi i grupy do grupy kont przy użyciu strony ustawień administratora obszaru roboczego. Możesz zarządzać tylko członkami grupy, w której pełnisz rolę menedżera grup.

Uwaga

Nie można dodać grupy podrzędnej admins do grupy. Nie można dodać grup lokalnych obszaru roboczego ani grup systemowych jako członków grup kont.

Menedżerowie grup, którzy nie są administratorami obszarów roboczych, muszą zarządzać członkostwem w grupie przy użyciu interfejsu API grup kont.

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Grupy kliknij pozycję Zarządzaj.
  5. Wybierz grupę, którą chcesz zaktualizować. Aby ją zaktualizować, musisz mieć rolę menedżera grupy w grupie.
  6. Na karcie Członkowie kliknij pozycję Dodaj członków.
  7. W oknie dialogowym przeglądaj lub wyszukaj użytkowników, jednostki usługi i grupy, które chcesz dodać i wybrać.
  8. Kliknij przycisk Potwierdź.

Zarządzanie rolami w grupie kont przy użyciu strony ustawień administratora obszaru roboczego

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Rolę menedżera grupy można przypisać do użytkowników, grup kont i jednostek usługi. Menedżerowie grup mogą zarządzać członkostwem w grupach. Mogą również przypisać rolę menedżera grup do innych użytkowników.

Aby zarządzać rolami grupy przy użyciu strony ustawień administratora obszaru roboczego, musisz być administratorem obszaru roboczego. Menedżerowie grup, którzy nie są administratorami obszarów roboczych, mogą zarządzać rolami grup przy użyciu interfejsu API kontroli dostępu do konta.

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.

  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.

  3. Kliknij kartę Tożsamość i dostęp .

  4. Obok pozycji Grupy kliknij pozycję Zarządzaj.

  5. Wybierz grupę, którą chcesz zaktualizować. Aby ją zaktualizować, musisz mieć rolę menedżera grupy w grupie.

  6. Kliknij kartę Uprawnienia .

  7. Kliknij pozycję Udziel dostępu.

  8. Wyszukaj i wybierz użytkownika, jednostkę usługi lub grupę , a następnie wybierz rolę Grupa: Menedżer .

    Uwaga

    Nie można przypisać grup lokalnych obszaru roboczego lub ról grup systemowych w grupach kont.

  9. Kliknij przycisk Zapisz.

Wyświetlanie grup nadrzędnych

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Grupy kliknij pozycję Zarządzaj.
  5. Wybierz grupę, którą chcesz wyświetlić.
  6. Na karcie Grupa nadrzędna wyświetl grupy nadrzędne dla grupy.

Usuwanie grupy z obszaru roboczego przy użyciu strony ustawień administratora obszaru roboczego

Usunięcie grupy z obszaru roboczego nie powoduje usunięcia grupy na koncie. Gdy grupa zostanie usunięta z obszaru roboczego, członkowie grupy nie będą już mogli uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane w grupie. Jeśli grupa zostanie później dodana z powrotem do obszaru roboczego, grupa odzyska poprzednie uprawnienia.

  1. Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
  2. Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
  3. Kliknij kartę Tożsamość i dostęp .
  4. Obok pozycji Grupy kliknij pozycję Zarządzaj.
  5. Wybierz grupę i kliknij pozycję x Usuń
  6. Kliknij przycisk Usuń , aby potwierdzić.

Zarządzanie grupami kont przy użyciu interfejsu API

Administratorzy kont i administratorzy obszarów roboczych oraz menedżerowie grup mogą dodawać, usuwać grupy i zarządzać nimi na koncie usługi Azure Databricks przy użyciu interfejsu API grup kont. Administratorzy kont i administratorzy obszaru roboczego oraz menedżerowie grup muszą wywołać interfejs API przy użyciu innego adresu URL punktu końcowego:

  • Administratorzy konta używają polecenia {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Administratorzy obszaru roboczego i menedżerowie grup używają polecenia {workspace-domain}/api/2.0/account/scim/v2/.

Aby uzyskać szczegółowe informacje, zobacz interfejs API grup kont.

Przypisywanie grupy do obszaru roboczego przy użyciu interfejsu API

Administratorzy kont i obszarów roboczych mogą używać interfejsu API przypisywania obszaru roboczego do przypisywania grup do obszarów roboczych z włączoną federacją tożsamości. Interfejs API przypisania obszaru roboczego jest obsługiwany za pośrednictwem konta i obszarów roboczych usługi Azure Databricks.

  • Administratorzy konta używają polecenia {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Administratorzy obszaru roboczego używają polecenia {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Zobacz Interfejs API przypisania obszaru roboczego.

Zarządzanie rolami dla grupy przy użyciu interfejsu API

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Menedżerowie grup mogą zarządzać rolami grup przy użyciu interfejsu API kontroli dostępu kont. Administratorzy kont i administratorzy obszaru roboczego oraz menedżerowie grup muszą wywołać interfejs API przy użyciu innego adresu URL punktu końcowego:

  • Administratorzy konta używają polecenia {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Administratorzy obszaru roboczego i menedżerowie grup używają polecenia {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Zobacz Interfejs API kontroli dostępu do konta i interfejs API serwera proxy kontroli dostępu kont.