Gerenciar grupos
Este artigo explica como os administradores criam e gerenciam grupos do Azure Databricks. Para obter uma visão geral do modelo de identidade do Azure Databricks, confira Identidades do Azure Databricks.
Para gerenciar o acesso dos grupos, confira Autenticação e controle de acesso.
Visão geral do gerenciamento de grupo
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Diferença entre os grupos de conta e os grupos locais de workspace
Em vez disso, o Azure Databricks tem o conceito de grupos de contas e grupos locais do workspace herdados:
- Os Grupos de contas podem receber acesso aos dados em um metastore do Catálogo do Unity, funções concedidas em entidades de serviço e grupos, e permissões para workspaces federados por identidade.
- Os grupos locais de workspace são grupos herdados. Esses grupos são identificados como workspace-local na página de configurações do administrador do workspace. Grupos locais de workspace não podem ser atribuídos a workspaces adicionais ou receber acesso a dados em um metastore do Catálogo do Unity. Os grupos locais de workspace não podem receber funções no nível da conta. Para obter mais informações sobre grupos locais de workspace, consulte Gerenciar grupos locais de workspace (herdado).
Há dois grupos de sistema em cada workspace: users
e admins
. Todos os usuários do workspace são membros do grupo users
e todos os administradores do workspace são membros do grupo admins
. Os grupos do sistema são grupos locais de workspace. Os grupos do sistema não podem ser excluídos.
A Databricks recomenda transformar os grupos locais de workspace existentes em grupos de contas para aproveitar a atribuição centralizada de workspace e o gerenciamento de acesso a dados usando o Catálogo do Unity. Confira Migrar grupos locais de workspace para grupos de contas.
Observação
Os usuários com função interna de colaborador, proprietário ou personalizada com a permissão Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
no recurso de espaço de trabalho no Azure são atribuídos automaticamente ao grupo admins
do espaço de trabalho. Para saber mais, confira Gerenciar sua assinatura.
Quem pode gerenciar os grupos de contas?
Para criar grupos de contas no Azure Databricks, você deve ser um administrador de conta ou um administrador de workspace. Os administradores do workspace devem estar em um workspace federado por identidade para criar um grupo de contas.
Para gerenciar grupos de contas no Azure Databricks, você deve ter a função gerente de grupo (Visualização Pública) em um grupo. Os gerentes de grupo podem gerenciar a associação ao grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta podem gerenciar funções de grupo usando o console da conta e os administradores do workspace podem gerenciar funções de grupo usando a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API Controle de Acesso contas.
Os administradores de conta têm a função de gerente de grupo no nível da conta, o que significa que eles têm a função de gerente de grupo em todos os grupos na conta. Os administradores do workspace têm a função de gerente de grupo em grupos de contas que eles criam.
Os administradores do workspace também podem criar e gerenciar grupos locais de workspace.
Sincronizar grupos com sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID
Você pode podem sincronizar grupos do seu locatário do Microsoft Entra ID para a sua conta do Azure Databricks usando um conector de provisionamento do SCIM. Para obter instruções, consulte Provisionar identidades para a sua conta do Azure Databricks usando o Microsoft Entra ID.
Importante
Se você tiver conectores SCIM que sincronizam identidades diretamente com seus workspaces e esses workspaces estiverem habilitados para a federação de identidades , recomendamos desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Se você tiver workspaces que não estejam usando federação de identidade, deverá continuar usando qualquer conector SCIM configurado para esses workspaces, funcionando em paralelo com o conector SCIM no nível da conta.
Gerenciar grupos de conta usando o console da conta
Os administradores da conta podem adicionar e gerenciar grupos na conta do Azure Databricks usando o console da conta. Os administradores de workspace e gerentes de grupo podem gerenciar grupos usando a página de configurações do workspace e as APIs do Databricks. Confira Gerenciar grupos de contas usando a página de configurações de administrador do workspace e Gerenciar grupos de contas usando a API.
Adicionar grupos à sua conta usando o console da conta
Para adicionar um grupo à conta usando o console da conta, faça o seguinte:
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Grupos, clique em Adicionar grupo.
- Insira um nome para o grupo.
- Clique em Confirmar.
- Quando solicitado, adicione usuários, entidades de serviço e grupos ao grupo.
Adicionar membros a um grupo usando o console da conta
Para adicionar usuários, entidades de serviço e grupos a um grupo usando o console da conta, faça o seguinte:
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Grupos, selecione o grupo que você deseja atualizar.
- Clique em Adicionar membros.
- Pesquise pelo usuário, grupo ou entidade de serviço que você deseja adicionar e selecione-a.
- Clique em Adicionar.
Observação
Existe um atraso de alguns minutos entre a atualização de um grupo de uma conta e a atualização do grupo nos espaços de trabalho.
Gerenciar funções em um grupo usando o console da conta
Importante
Esse recurso está em uma versão prévia.
Os administradores de contas podem conceder funções em grupos de contas no console da conta.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Grupos, encontre e clique no nome do grupo.
- Clique na guia Permissões.
- Clique em Conceder acesso.
- Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.
- Clique em Save (Salvar).
Alterar o nome de um grupo
Os administradores de contas podem atualizar o nome dos grupos de contas usando o console de contas:
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Grupos, selecione o grupo que você deseja atualizar.
- Clique em Informações do grupo.
- Em Nome, atualize o nome.
- Clique em Save (Salvar).
Os gerentes de grupo não podem alterar o nome de um grupo usando o console de contas. Em vez disso, use a API de Grupos de Contas. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Para obter informações sobre como autenticar na API de grupos de contas, consulte Autenticar o acesso a recursos do Azure Databricks.
Atribuir um grupo a um workspace usando o console da conta
Para adicionar grupos a um workspace usando o console da conta, o workspace deve ser habilitado para federação de identidade. Somente grupos de contas podem ser atribuíveis a workspaces.
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Workspaces.
- Clique no nome do seu workspace.
- Na guia Permissões, clique em Adicionar permissões.
- Pesquise e selecione o grupo, atribua o nível de permissão (usuário do workspace ou Administrador) e, em seguida, clique em Salvar.
Remover um grupo de um workspace usando o console da conta
Para remover grupos para um workspace usando o console da conta, o workspace deve ser habilitado para federação de identidade. Somente grupos de contas são removíveis de workspaces usando o console da conta.
Quando um grupo de contas é removido de um workspace, os membros do grupo não podem mais acessar o workspace; no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente a um workspace, o grupo recuperará suas permissões anteriores.
- Como administrador de conta, faça logon no console da conta.
- Na barra lateral, clique em Workspaces.
- Clique no nome do seu workspace.
- Na guia Permissões, localize o grupo.
- Clique no menu kebab à direita da linha do grupo e selecione Remover.
- No diálogo de confirmação, clique em Remover.
Atribuir funções de administrador de conta a um grupo
Não é possível atribuir a função de administrador da conta ou administrador de marketplace a um grupo por meio do console da conta, mas é possível atribuí-la a grupos por meio da API Grupos de Contas. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Para obter informações sobre como autenticar na API de grupos de contas, consulte Autenticar o acesso a recursos do Azure Databricks.
Remover grupos da conta do Azure Databricks
Os administradores da conta podem remover grupos de uma conta do Azure Databricks. Os gerentes de grupo também podem remover grupos da conta usando a API de Grupos de Contas, consulte Gerenciar grupos de contas usando a API.
Importante
Quando um grupo é removido, todos os usuários desse grupo são excluídos da conta e perdem o acesso a quaisquer workspaces aos quais tinham acesso, a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace. O Databricks recomenda que você se abstenha de excluir grupos no nível da conta, a menos que queira que eles percam acesso a todos os workspaces da conta. Esteja ciente das seguintes consequências da exclusão de usuários:
- Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar as APIs do Databricks
- Os trabalhos pertencentes ao usuário falharão
- Os clusters pertencentes ao usuário serão interrompidos
- Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário terão que ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe
Para remover um grupo usando o console da conta, faça o seguinte:
- Como administrador da conta, faça logon no console da conta.
- Na barra lateral, clique em Gerenciamento de usuários .
- Na guia Grupos, localize o grupo que você deseja remover.
- Clique no menu kebab no canto direito da linha da usuário e selecione Excluir.
- Na caixa de diálogo de confirmação, clique em Confirmar exclusão.
Se você remover um grupo usando o console da conta, lembre-se de também remover o grupo usando quaisquer conectores de provisionamento do SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros novamente na próxima vez que ele for sincronizado. Confira Sincronizar usuários e grupos do Microsoft Entra ID.
Para remover um grupo de uma conta do Azure Databricks usando a API, consulte Sincronizar usuários e grupos à sua conta do Azure Databricks e a API de Grupos de Contas.
Gerenciar grupos de conta usando a página de configurações de administrador do workspace
Os administradores do workspace podem criar e gerenciar grupos de contas em workspaces federados por identidade usando a página de configurações de administrador do workspace.
Observação
Existe um atraso de alguns minutos entre a atualização de um grupo de contas de um espaço de trabalho e a atualização do grupo na conta.
Para obter informações sobre como criar grupos locais de workspace em workspaces, consulte Gerenciar grupos locais de workspace (herdado).
Criar ou atribuir um grupo a um workspace usando a página de configurações da administração do workspace
Para atribuir ou criar um grupo de contas em um workspace usando a página de configurações de administrador do workspace, faça o seguinte:
Como administrador do workspace, faça logon no workspace do Azure Databricks.
Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
Clique na guia Identidade e acesso.
Ao lado de Grupos, clique em Gerenciar.
Clique em Adicionar Grupo.
Selecione um grupo existente para atribuir ao workspace ou clique em Adicionar novo para criar um novo grupo de contas.
Observação
Se o workspace não estiver habilitado para federação de identidade, você não poderá atribuir grupos de contas existentes ou adicionar grupos de contas de criação em seu workspace. Em vez disso, você deve usar grupos locais de workspace, consulte Gerenciar grupos locais de workspace (herdado).
Adicionar membros a um grupo usando a página de configurações de administrador do workspace
Você deve ser um administrador de workspace para adicionar usuários, entidades de serviço e grupos a um grupo de contas usando a página de configurações de administrador do workspace. Você só pode gerenciar membros de um grupo no qual você tem a função de gerente de grupo.
Observação
Não é possível adicionar um grupo filho ao grupo admins
. Você não pode adicionar grupos locais de workspace ou grupos de sistema como membros de grupos de contas.
Os gerentes de grupo que não são administradores de workspace devem gerenciar a associação de grupo usando a API de Grupos de Contas.
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso.
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
- Na guia Membros, clique em Adicionar membro.
- Na caixa de diálogo, procure ou pesquise os usuários, as entidades de serviço e os grupos que você deseja adicionar e selecione-os.
- Clique em Confirmar.
Gerenciar funções em um grupo de contas usando a página de configurações do administrador do workspace
Importante
Esse recurso está em uma versão prévia.
Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.
Você deve ser um administrador de workspace para gerenciar funções de grupo usando a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso a Contas.
Como administrador do workspace, faça logon no workspace do Azure Databricks.
Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
Clique na guia Identidade e acesso.
Ao lado de Grupos, clique em Gerenciar.
Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
Clique na guia Permissões.
Clique em Conceder acesso.
Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.
Observação
Você não pode atribuir grupos locais de workspace ou funções de grupos de sistema em grupos de contas.
Clique em Save (Salvar).
Visualizar grupos pai
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso.
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja exibir.
- Na guia Grupo pai, veja os grupos pais do seu grupo.
Remover um grupo de um workspace usando a página de configurações do administrador do workspace
A remoção de um grupo de um workspace não exclui o grupo na conta. Quando um grupo é removido de um workspace, os membros do grupo não podem mais acessar o workspace; no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente ao workspace, o grupo recuperará suas permissões anteriores.
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
- Clique na guia Identidade e acesso.
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo e clique em x Excluir
- Clique em Excluir para confirmar.
Gerenciar grupos de conta usando a API
Os administradores de conta e os administradores do workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Azure Databricks usando a API de Grupos de Contas. Administradores de conta e administradores de workspace e gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores da conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Administradores de workspace e gerentes de grupo usam
{workspace-domain}/api/2.0/account/scim/v2/
.
Para detalhes, consulte a API de Grupos de Contas.
Atribuir um grupo a um workspace usando a API
Os administradores de conta e workspace podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidade. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.
- Os administradores da conta usam
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Os administradores do workspace usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
.
Consulte API de Atribuição do Espaço de Trabalho.
Gerenciar funções para um grupo usando a API
Importante
Esse recurso está em uma versão prévia.
Os gerentes de grupos podem gerenciar funções de grupo usando a API de Controle de Acesso contas. Administradores de conta e administradores de workspace e gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores da conta usam
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
. - Administradores de workspace e gerentes de grupo usam
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
.
Consulte API Controle de Acesso a Contas e API de Proxy do Workspace de Controle de Acesso a Contas.