Управление группами

В этой статье объясняется, как администраторы создают группы Azure Databricks и управляют ими. Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения об управлении доступом для групп см. в разделе "Проверка подлинности и управление доступом".

Общие сведения об управлении группами

Группы упрощают управление удостоверениями, облегчая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все удостоверения Databricks можно назначать как члены групп.

Типы групп в Azure Databricks

Azure Databricks имеет четыре типа групп, классифицированных по их источнику:

• группы учетных записей могут быть предоставлены доступ к данным в каталоге Unity метаданных, предоставленные роли субъектов-служб и групп, а также разрешения на федеративных рабочих областей удостоверения.

• локальные группы рабочей области являются устаревшими группами, которые можно использовать только в контексте созданной рабочей области. Эти группы нельзя назначать для дополнительных рабочих областей, предоставлять доступ к данным в хранилище Unity Catalog или предоставлять роли на уровне учетной записи. Databricks рекомендует превратить существующие локальные группы рабочей области в группы учетных записей. Дополнительные сведения о локальных группах рабочей области см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

• внешние группы — это группы, созданные в Azure Databricks из идентификатора Microsoft Entra. Эти группы создаются с помощью соединителя предоставления SCIM и синхронизируются с Microsoft Entra ID. По умолчанию членство во внешней группе нельзя обновить через консоль учетной записи Azure Databricks или страницу настроек администратора рабочей области. Внешние группы — это группы учетных записей.

  Примечание.

  Чтобы обновить членство во внешней группе из пользовательского интерфейса Azure Databricks, администратор учетной записи может отключить предварительную версию неизменяемых внешних групп на странице предварительной версии консоли учетной записи.

• системные группы создаются и поддерживаются компанией Azure Databricks. У каждой учетной записи есть системная группа учетных записей с именем account users, которая включает всех пользователей. В каждой рабочей области есть две системные группы уровня рабочей области: users и admins. Все члены рабочей области принадлежат группе users, а администраторы рабочей области также являются членами группы admins. Не удается удалить системные группы.

Пользователи со встроенной ролью помощника или владельца в Azure автоматически назначаются группе рабочей области admins. Дополнительные сведения см. в статье Управление подпиской.

Кто может управлять группами учетных записей?

Чтобы создать группы учетных записей в Azure Databricks, необходимо быть администратором учетной записи или администратором рабочей области. Администраторы рабочей области должны находиться в федеративных рабочих областях, чтобы создать группу учетных записей.

Для управления группами учетных записей в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Руководители групп могут управлять членством в группах и удалять группу. Они также могут назначать других пользователей роль диспетчера групп. Администраторы учетных записей могут управлять ролями групп с помощью консоли учетной записи, а администраторы рабочей области могут управлять ролями группы с помощью страницы параметров администратора рабочей области. Диспетчеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API учетных записей контроль доступа.

Администраторы учетных записей имеют роль диспетчера групп на уровне учетной записи, что означает, что у них есть роль диспетчера групп для всех групп в учетной записи. Администраторы рабочей области имеют роль диспетчера групп в группах учетных записей, которые они создают.

Администраторы рабочей области также могут создавать локальные группы рабочей области и управлять ими.

Синхронизация групп с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra

Группы можно синхронизировать с клиентом Идентификатора Microsoft Entra с учетной записью Azure Databricks автоматически или с помощью соединителя подготовки SCIM.

автоматическое управление удостоверениями (общедоступная предварительная версия) позволяет добавлять пользователей, субъектов-служб и группы из идентификатора Microsoft Entra в Azure Databricks без настройки приложения в идентификаторе Microsoft Entra. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Эта предварительная версия поддерживает вложенные группы. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.

.. Примечание: Во время публичной предварительной версии автоматического управления удостоверениями в пользовательском интерфейсе Azure Databricks нет списков вложенных групп. См. ограничения пользовательского интерфейса автоматического управления идентификацией во время общедоступной предварительной версии .

Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Управление группами учетных записей с помощью консоли учетной записи

Администраторы учетных записей могут добавлять группы и управлять ими в учетной записи Azure Databricks с помощью консоли учетной записи. Администраторы рабочей области и руководители групп могут управлять группами с помощью страницы параметров рабочей области и API Databricks. См. статью "Управление группами учетных записей" с помощью страницы параметров администратора рабочей области и управления группами учетных записей с помощью API.

Добавление групп в учетную запись с использованием консоли учетной записи

Чтобы добавить группу в учетную запись с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На странице Группы нажмите кнопку Добавить группу.
4. Ввод наименования для группы.
5. Нажмите кнопку Подтвердить.
6. При появлении запроса добавьте пользователей, субъектов-служб и группы в группу.

Добавление участников в группу с помощью консоли учетной записи

Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя управлять членством во внешних группах в консоли учетной записи по умолчанию. Чтобы добавить пользователей, субъектов-служб и группы в группу с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую вы хотите обновить.
4. Щелкните Добавить участников.
5. Найдите пользователя, группу или учетную запись службы, которую вы хотите добавить, и выберите её.
6. Нажмите кнопку Добавить.

Существует задержка в течение нескольких минут между обновлением группы из учетной записи и обновлением группы в рабочих областях.

Управление ролями в группе с помощью консоли учетной записи

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Администраторы учетных записей могут предоставлять роли в группах учетных записей в консоли учетной записи.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке "Группы" найдите и щелкните имя группы.
4. Выберите вкладку Разрешения .
5. Щелкните Предоставить доступ.
6. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.
7. Нажмите кнопку Сохранить.

Изменение имени группы

Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя обновить имя внешних групп в консоли учетной записи по умолчанию. Администраторы учетных записей могут обновить имя групп учетных записей с помощью консоли учетной записи:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую вы хотите обновить.
4. Щелкните "Сведения о группе".
5. В разделе Имяобновите имя.
6. Нажмите кнопку Сохранить.

Диспетчеры групп не могут изменить имя группы с помощью консоли учетной записи. Вместо этого используйте API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Назначение группы рабочей области с помощью консоли учетной записи

Чтобы добавить группы в рабочую область с помощью консоли учетной записи, рабочая область должна быть включена для федерации удостоверений. Только группы учетных записей можно назначать рабочим областям.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке Permissions (Разрешения) щелкните Add permissions (Добавить разрешения).
5. Найдите и выберите группу, назначьте уровень разрешений (рабочая область пользователь или администратор), а затем нажмите кнопку Сохранить.

Удалить группу из рабочей области с помощью консоли учетной записи

Чтобы удалить группы в рабочей области с помощью консоли учетной записи , рабочая область должна быть активирована для федерации удостоверений . Только группы учетных записей удаляются из рабочих областей с помощью консоли учетной записи.

Если группа учетных записей удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если группа позже добавляется обратно в рабочую область, группа восстанавливает свои предыдущие разрешения.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке "Разрешения" найдите группу.
5. Щелкните меню kebab в крайнем правом углу строки группы и выберите Удалить.
6. В диалоговом окне подтверждения щелкните Удалить.

Назначение ролей администратора учетной записи группе

Вы не можете назначить роль администратора учетной записи или администратора Marketplace группе с помощью консоли учетной записи, но ее можно назначить группам с помощью API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Удаление групп из учетной записи Azure Databricks

Администраторы учетных записей могут удалять группы из учетной записи Azure Databricks. Руководители групп также могут удалять группы из учетной записи с помощью API групп учетных записей, см. Управление группами учетных записей с помощьюAPI.

Внимание

При удалении группы все пользователи в этой группе удаляются из учетной записи и теряют доступ к любым рабочим областям, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к учетной записи или любым рабочим областям). Databricks рекомендует воздержаться от удаления групп на уровне учетной записи, если только вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks
• Задания, принадлежащие пользователю, завершаются сбоем
• Кластеры, принадлежащие пользователю, остановлены
• Запросы или панели мониторинга, созданные пользователем и общими учетными данными владельца запуска от имени, должны быть назначены новому владельцу, чтобы предотвратить сбой общего доступа

Чтобы удалить группу с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке группы найдите группу, которую нужно удалить.
4. Щелкните меню кебаб в правом углу строки пользователя и выберите Удалить.
5. В диалоговом окне подтверждения нажмите кнопку Подтверждение удаления.

При удалении группы с помощью консоли учетной записи необходимо также удалить группу с помощью соединителей подготовки SCIM или приложений API SCIM, настроенных для учетной записи. Если этого не сделать, во время подготовки SCIM просто будет снова добавлена группа и ее участники при следующей ее синхронизации. См. раздел Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Чтобы удалить группу из учетной записи Azure Databricks с помощью API, см. раздел Синхронизация пользователей и групп с вашей учетной записью Azure Databricks и API групп учетных записей .

Управление группами учетных записей с помощью страницы параметров администратора рабочей области

Администраторы рабочей области могут создавать группы учетных записей и управлять ими в федеративных рабочих областях с помощью страницы параметров администратора рабочей области.

Примечание.

Существует задержка в течение нескольких минут между обновлением группы учетных записей из рабочей области и группой, обновляемой в учетной записи.

Сведения о создании локальных групп рабочей области в рабочих областях см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

Создание или назначение группы рабочей области с помощью страницы параметров администратора рабочей области

Чтобы назначить или создать группу учетных записей в рабочей области с помощью страницы параметров администратора рабочей области, сделайте следующее:

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Щелкните Добавить группу.

6. Выберите существующую группу, чтобы назначить для рабочей области, или нажмите Добавить новую, чтобы создать новую группу учетной записи.

   Примечание.

   Если рабочая область не включена для федерации удостоверений, нельзя назначить существующие группы учетных записей или добавить группы учетных записей в рабочую область. Вместо этого необходимо использовать локальные группы рабочей области, см. раздел "Управление локальными группами рабочей области" (устаревшими версиями).

Добавление участников в группу с помощью страницы параметров администратора рабочей области

Администратор рабочей области должен добавлять пользователей, субъектов-служб и группы в группу учетных записей с помощью страницы параметров администратора рабочей области. Вы можете управлять только членами группы, в которую включена роль диспетчера групп. Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя управлять членством во внешних группах на странице параметров администратора рабочей области по умолчанию.

Примечание.

Добавить дочернюю группу в группу admins нельзя. Нельзя добавлять локальные группы рабочей области или системные группы в качестве членов групп учетных записей.

Диспетчеры групп, которые не являются администраторами рабочих областей, должны управлять членством в группах с помощью API групп учетных записей.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.
6. На вкладке "Члены" нажмите кнопку "Добавить участников".
7. В диалоговом окне просмотрите или найдите пользователей, субъектов-служб и группы, которые вы хотите добавить и выбрать.
8. Нажмите кнопку Подтвердить.

Управление ролями в группе учетных записей с помощью страницы параметров администратора рабочей области

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Роль диспетчера групп можно назначить пользователям, группам учетных записей и субъектам-службам. Руководители групп могут управлять членством в группах. Они также могут назначать роль диспетчера групп другим пользователям.

Администратор рабочей области должен управлять ролями группы с помощью страницы параметров администратора рабочей области. Диспетчеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API контроль доступа учетной записи.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.

6. Выберите вкладку Разрешения .

7. Щелкните Предоставить доступ.

8. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.

   Примечание.

   Нельзя назначать роли локальных рабочих областей или системных групп в группах учетных записей.

9. Нажмите кнопку Сохранить.

Просмотр родительских групп

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую вы хотите просмотреть.
6. На вкладке "Родительская группа" просмотрите родительские группы для группы.

Удаление группы из рабочей области с помощью страницы параметров администратора рабочей области

Удаление группы из рабочей области не удаляет группу в учетной записи. Если группа удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если группа будет добавлена обратно в рабочую область, группа восстанавливает свои предыдущие разрешения.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу и щелкните x Удалить
6. Нажмите кнопку Удалить, чтобы подтвердить операцию.

Управление группами учетных записей с помощью API

Администраторы учетных записей и администраторы рабочей области и руководители групп могут добавлять, удалять и управлять группами в учетной записи Azure Databricks с помощью API групп учетных записей. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Используются {workspace-domain}/api/2.0/account/scim/v2/администраторы рабочей области и руководители групп.

Дополнительные сведения см. в API групп учетных записей.

Назначение группы рабочей области с помощью API

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочих областей для назначения групп рабочим областям, включенным для федерации удостоверений. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

• Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

См . API назначения рабочей области.

Управление ролями для группы с помощью API

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Диспетчеры групп могут управлять ролями групп с помощью API учетных записей контроль доступа. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Используются {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-rolesадминистраторы рабочей области и руководители групп.

Ознакомьтесь с API контроль доступа учетной записи и учетными записями, контроль доступа API прокси-сервера рабочей области.