Gerir grupos
Este artigo explica como os administradores criam e gerenciam grupos do Azure Databricks. Para obter uma visão geral do modelo de identidade do Azure Databricks, consulte Identidades do Azure Databricks.
Para gerenciar o acesso de grupos, consulte Autenticação e controle de acesso.
Visão geral do gerenciamento de grupo
Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a espaços de trabalho, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Tipos de grupos no Azure Databricks
O Azure Databricks tem quatro tipos de grupos, categorizados com base em sua origem:
Os grupos de contas podem ter acesso aos dados em um metastore do Catálogo Unity , funções concedidas em entidades e grupos de serviço e permissões para espaços de trabalho federados de identidade.
Grupos locais de espaço de trabalho são grupos herdados que só podem ser usados no contexto do espaço de trabalho em que foram criados. Esses grupos não podem ser atribuídos a espaços de trabalho adicionais, ter acesso aos dados em um metastore do Catálogo Unity nem receber funções ao nível da conta. O Databricks recomenda transformar grupos locais de espaço de trabalho existentes em grupos de contas. Para obter mais informações sobre grupos locais de espaço de trabalho, consulte Gerenciar grupos locais de espaço de trabalho (legado).
Grupos externos são grupos criados no Azure Databricks a partir da ID do Microsoft Entra. Esses grupos são criados usando um conector de provisionamento SCIM e permanecem sincronizados com o Microsoft Entra ID. Por padrão, a associação a grupos externos não pode ser atualizada no console da conta do Azure Databricks ou na página de configurações de administração do espaço de trabalho. Os grupos externos correspondem a grupos de contas.
Nota
Para atualizar a associação a grupos externos a partir da interface do utilizador do Azure Databricks, um administrador de conta pode desativar a pré-visualização de grupos externos imutáveis na página de pré-visualização da consola da conta.
Grupos de sistema são criados e mantidos pelo Azure Databricks. Cada conta tem um grupo de sistema de contas chamado
account users
, que inclui todos os usuários. Há dois grupos de sistema no nível do espaço de trabalho em cada espaço de trabalho:users
eadmins
. Todos os membros do espaço de trabalho pertencem ao grupousers
e os administradores do espaço de trabalho também são membros do grupoadmins
. Os grupos de sistema não podem ser excluídos.
Nota
Os utilizadores com uma função incorporada de Colaborador ou Proprietário no Azure são atribuídos automaticamente ao grupo do espaço de trabalho admins
. Para obter mais informações, consulte Gerenciar sua assinatura.
Quem pode gerir grupos de contas?
Para criar grupos de contas no Azure Databricks, você deve ser um administrador de conta ou um administrador de espaço de trabalho. Os administradores de espaço de trabalho devem estar em um espaço de trabalho federado por identidade para criar um grupo de contas.
Para gerenciar grupos de contas no Azure Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Os gerentes de grupo podem gerenciar a associação ao grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta podem gerenciar funções de grupo usando o console de conta e os administradores de espaço de trabalho podem gerenciar funções de grupo usando a página Configurações de administrador de espaço de trabalho. Os gerentes de grupo que não são administradores de espaço de trabalho podem gerenciar funções de grupo usando a API de Controle de Acesso de Contas.
Os administradores de conta têm a função de gestor de grupo ao nível da conta, o que significa que têm a função de gestor de grupo em todos os grupos da conta. Os administradores de espaço de trabalho têm a função de gerente de grupo nos grupos de contas que criam.
Os administradores de espaço de trabalho também podem criar e gerenciar grupos locais de espaço de trabalho.
Sincronizar grupos com a sua conta do Azure Databricks a partir do seu inquilino do Microsoft Entra ID
Você pode sincronizar grupos do locatário do Microsoft Entra ID com sua conta do Azure Databricks usando um conector de provisionamento SCIM. Para obter instruções, consulte Provisionar identidades para sua conta do Azure Databricks usando a ID do Microsoft Entra.
Importante
Se você já tiver conectores SCIM que sincronizam identidades diretamente com seus espaços de trabalho, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Consulte , migre o provisionamento SCIM do nível do espaço de trabalho para o nível da conta.
Gerenciar grupos de contas usando o console de contas
Os administradores de conta podem adicionar e gerenciar grupos na conta do Azure Databricks usando o console de conta. Os administradores e gerentes de grupo do espaço de trabalho podem gerenciar grupos usando a página de configurações do espaço de trabalho e as APIs do Databricks. Consulte Gerenciar grupos de contas usando a página de configurações de administração do espaço de trabalho e Gerenciar grupos de contas usando a API.
Adicionar grupos à sua conta usando o console da conta
Para adicionar um grupo à conta usando o console de conta, faça o seguinte:
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Na guia Grupos, clique em Adicionar grupo.
- Introduza um nome para o grupo.
- Clique em Confirmar.
- Quando solicitado, adicione usuários, entidades de serviço e grupos ao grupo.
Adicionar membros a um grupo usando o console da conta
Para manter os grupos externos sincronizados com o Microsoft Entra ID, você não pode gerenciar a associação de grupos externos no console da conta por padrão. Para adicionar usuários, entidades de serviço e grupos a um grupo usando o console de conta, faça o seguinte:
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos, selecione o grupo que pretende atualizar.
- Clique em Adicionar membros.
- Procure o usuário, grupo ou entidade de serviço que deseja adicionar e selecione-o.
- Clique em Adicionar.
Há um atraso de alguns minutos entre a atualização de um grupo de uma conta e a atualização do grupo em espaços de trabalho.
Gerenciar funções em um grupo usando o console de conta
Importante
Esta funcionalidade está em Pré-visualização Pública.
Os administradores de conta podem conceder funções em grupos de contas no console de contas.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- Na guia Grupos, localize e clique no nome do grupo.
- Clique no separador Permissões .
- Clique em Conceder acesso.
- Procure e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente .
- Clique em Guardar.
Alterar o nome de um grupo
Para manter os grupos externos sincronizados com o Microsoft Entra ID, não é possível atualizar o nome de um grupo externo no console da conta por padrão. Os administradores de conta podem atualizar o nome dos grupos de contas usando o console de conta:
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos, selecione o grupo que pretende atualizar.
- Clique em Informações do grupo.
- Em Nome, atualize o nome.
- Clique em Guardar.
Os gerentes de grupo não podem alterar o nome de um grupo usando o console de conta. Em vez disso, use a API de Grupos de Conta. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autenticar o acesso aos recursos do Azure Databricks.
Atribuir um grupo a um espaço de trabalho usando o console da conta
Para adicionar grupos a um espaço de trabalho usando o console de conta, o espaço de trabalho deve estar habilitado para federação de identidades. Apenas grupos de contas são atribuíveis a espaços de trabalho.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Espaços de trabalho.
- Clique no nome do espaço de trabalho.
- No separador Permissões, clique em Adicionar permissões.
- Procure e selecione o grupo, atribua o nível de permissão (Usuário ou Administrador do espaço de trabalho) e clique em Salvar.
Remover um grupo de um espaço de trabalho usando o console de conta
Para remover grupos para um espaço de trabalho usando o console de conta, o espaço de trabalho deve estar habilitado para federação de identidades. Somente os grupos de contas são removíveis dos espaços de trabalho usando o console de conta.
Quando um grupo de contas é removido de um espaço de trabalho, os membros do grupo não podem mais acessar o espaço de trabalho, no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente de volta a um espaço de trabalho, o grupo recuperará suas permissões anteriores.
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Espaços de trabalho.
- Clique no nome do espaço de trabalho.
- Na guia Permissões, localize o grupo.
- Clique no menu kebab na extremidade direita da linha do grupo e selecione Remover.
- Na caixa de diálogo de confirmação, clique em Remover.
Atribuir funções de administrador de conta a um grupo
Não é possível atribuir a função de administrador de conta ou administrador do marketplace a um grupo usando o console de conta, mas é possível atribuí-la a grupos usando a API de Grupos de Conta. Por exemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autenticar o acesso aos recursos do Azure Databricks.
Remover grupos da sua conta do Azure Databricks
Os administradores de conta podem remover grupos de uma conta do Azure Databricks. Os gerentes de grupo também podem remover grupos da conta usando a API de Grupos de Conta, consulte Gerenciar grupos de contas usando a API.
Importante
Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso a quaisquer espaços de trabalho aos quais tiveram acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a quaisquer espaços de trabalho). O Databricks recomenda que você se abstenha de excluir grupos no nível da conta, a menos que você queira que eles percam o acesso a todos os espaços de trabalho na conta. Esteja ciente das seguintes consequências da exclusão de usuários:
- Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar APIs do Databricks
- Trabalhos pertencentes ao usuário falham
- Clusters de propriedade do usuário param
- Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário precisam ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe
Para remover um grupo usando o console da conta, faça o seguinte:
- Como administrador da conta, inicie sessão na consola da conta.
- Na barra lateral, clique em Gerenciamento de usuários.
- No separador Grupos, localize o grupo que pretende remover.
- Clique no menu kebab na extremidade direita da linha do usuário e selecione Excluir.
- Na caixa de diálogo de confirmação, clique em Confirmar exclusão.
Se você remover um grupo usando o console de conta, deverá garantir que também remova o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez que sincronizar. Consulte Sincronizar usuários e grupos do Microsoft Entra ID.
Para remover um grupo de uma conta do Azure Databricks usando a API, consulte Sincronizar usuários e grupos com sua conta do Azure Databricks e a API de Grupos de Conta.
Gerenciar grupos de contas usando a página de configurações de administração do espaço de trabalho
Os administradores de espaço de trabalho podem criar e gerenciar grupos de contas em espaços de trabalho federados por identidade usando a página de configurações de administração do espaço de trabalho.
Nota
Há um atraso de alguns minutos entre a atualização de um grupo de contas de um espaço de trabalho e a atualização do grupo na conta.
Para obter informações sobre como criar grupos locais de espaço de trabalho em espaços de trabalho, consulte Gerenciar grupos locais de espaço de trabalho (legado).
Criar ou atribuir um grupo a um espaço de trabalho usando a página de configurações de administração do espaço de trabalho
Para atribuir ou criar um grupo de contas em um espaço de trabalho usando a página de configurações de administração do espaço de trabalho, faça o seguinte:
Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
Clique na guia Identidade e acesso .
Ao lado de Grupos, clique em Gerenciar.
Clique em Adicionar grupo.
Selecione um grupo existente para atribuir ao espaço de trabalho ou clique em Adicionar novo para criar um novo grupo de contas.
Nota
Se o espaço de trabalho não estiver habilitado para federação de identidades, você não poderá atribuir grupos de contas existentes ou adicionar grupos de contas de criação no espaço de trabalho. Em vez disso, você deve usar grupos locais de espaço de trabalho, consulte Gerenciar grupos locais de espaço de trabalho (legado).
Adicionar membros a um grupo usando a página de configurações de administração do espaço de trabalho
Você deve ser um administrador de espaço de trabalho para adicionar usuários, entidades de serviço e grupos a um grupo de contas usando a página de configurações de administrador do espaço de trabalho. Só pode gerir membros de um grupo no qual tenha a função de gestor de grupo. Para manter os grupos externos sincronizados com a ID do Microsoft Entra, não é possível gerenciar a associação de grupos externos na página de configurações de administração do espaço de trabalho por padrão.
Nota
Não é possível adicionar um grupo filho ao admins
grupo. Não é possível adicionar grupos locais de espaço de trabalho ou grupos de sistema como membros de grupos de contas.
Os gerentes de grupo que não são administradores de espaço de trabalho devem gerenciar a associação ao grupo usando a API de Grupos de Contas.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-lo.
- Na guia Membros, clique em Adicionar membros.
- Na caixa de diálogo, procure ou pesquise os usuários, entidades de serviço e grupos que deseja adicionar e selecione-os.
- Clique em Confirmar.
Gerenciar funções em um grupo de contas usando a página de configurações de administrador do espaço de trabalho
Importante
Esta funcionalidade está em Pré-visualização Pública.
Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.
Você deve ser um administrador de espaço de trabalho para gerenciar funções de grupo usando a página de configurações de administrador de espaço de trabalho. Os gerentes de grupo que não são administradores de espaço de trabalho podem gerenciar funções de grupo usando a API de Controle de Acesso à Conta.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
Clique na guia Identidade e acesso .
Ao lado de Grupos, clique em Gerenciar.
Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-lo.
Clique no separador Permissões .
Clique em Conceder acesso.
Procure e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente .
Nota
Não é possível atribuir funções a grupos locais de espaço de trabalho ou grupos de sistema em grupos de contas.
Clique em Guardar.
Ver grupos pais
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja visualizar.
- Na guia Grupo pai, exiba os grupos pai do seu grupo.
Remover um grupo de um espaço de trabalho usando a página de configurações de administração do espaço de trabalho
Remover um grupo de um espaço de trabalho não exclui o grupo na conta. Quando um grupo é removido de um espaço de trabalho, os membros do grupo não podem mais acessar o espaço de trabalho, no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente de volta ao espaço de trabalho, o grupo recuperará suas permissões anteriores.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo e clique em x Excluir
- Clique em Excluir para confirmar.
Gerenciar grupos de contas usando a API
Administradores de conta e administradores de espaço de trabalho e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Azure Databricks usando a API de Grupos de Conta. Os administradores de conta, os administradores de espaço de trabalho e os gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores de conta usam
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
o . - Os administradores de espaço de trabalho e os gerentes de grupo usam
{workspace-domain}/api/2.0/account/scim/v2/
o .
Para obter detalhes, consulte a API de grupos de contas.
Atribuir um grupo a um espaço de trabalho usando a API
Os administradores de contas e espaços de trabalho podem usar a API de Atribuição de Espaço de Trabalho para atribuir grupos a espaços de trabalho habilitados para federação de identidades. A API de Atribuição de Espaço de Trabalho tem suporte por meio da conta e dos espaços de trabalho do Azure Databricks.
- Os administradores de conta usam
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
o . - Os administradores do espaço de trabalho usam
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
o .
Consulte API de atribuição de espaço de trabalho.
Gerenciar funções para um grupo usando a API
Importante
Esta funcionalidade está em Pré-visualização Pública.
Os gerentes de grupos podem gerenciar funções de grupo usando a API de Controle de Acesso de Contas. Os administradores de conta, os administradores de espaço de trabalho e os gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:
- Os administradores de conta usam
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
o . - Os administradores de espaço de trabalho e os gerentes de grupo usam
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
o .
Consulte API de Controle de Acesso à Conta e API de Proxy do Espaço de Trabalho de Controle de Acesso a Contas.