Поделиться через

Управление локальными группами рабочей области (устаревшая версия)

  • Статья

В этой статье объясняется, как администраторы создают локальные группы рабочей области и управляют ими. Общие сведения о группах учетных записей см. в разделе "Управление группами".

Что такое локальные группы рабочей области?

Локальные группы рабочей области — это устаревшие группы. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области. Локальные группы рабочей области не синхронизируются с учетной записью в качестве групп учетных записей. Вы можете использовать локальные группы рабочей области в рабочей области, в которых они определены, но управлять ими нельзя с помощью интерфейсов на уровне учетной записи. Они не могут быть назначены дополнительным рабочим областям или предоставлять доступ к данным в каталоге Unity хранилище метаданных. Локальные группы рабочей области не могут быть предоставлены роли уровня учетной записи. Чтобы воспользоваться преимуществами централизованного удостоверения, Databricks рекомендует использовать группы учетных записей вместо локальных групп рабочей области.

Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью страницы параметров администратора рабочей области, соединителя подготовки для поставщика удостоверений и API групп рабочих областей.

Сведения об управлении доступом для локальных рабочих областей см. в статье "Проверка подлинности и управление доступом".

Примечание.

В федеративных рабочих областях удостоверения локальные группы рабочих областей можно управлять только с помощью API групп рабочих областей. Databricks начал автоматически включать новые рабочие области для федерации удостоверений и каталога Unity 9 ноября 2023 г. с постепенным развертыванием по учетным записям. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в разделе Автоматическое включение каталога Unity.

Перенос локальных групп рабочей области в группы учетных записей

Databricks рекомендует преобразовать локальные группы рабочей области в группы учетных записей для централизованного администрирования удостоверений.

Шаг 1. Перенос подготовки SCIM на уровне рабочей области в учетную запись

Databricks рекомендует настроить SCIM-подготовку на уровне учетной записи, чтобы синхронизировать группы из провайдера удостоверений в Azure Databricks. Если в настоящее время настроена подготовка SCIM на уровне рабочей области для рабочих областей, необходимо отключить средство подготовки SCIM на уровне рабочей области. В противном случае SCIM уровня рабочей области продолжает создавать и обновлять локальные группы рабочей области. Сведения о настройке нового соединителя подготовки SCIM для учетной записи и отключении SCIM на уровне рабочей области см. в статье Миграция подготовки SCIM на уровень учетной записи.

Шаг 2. Изменение имени локальных групп рабочей области

Две группы в рабочей области не могут иметь одинаковое имя. Чтобы добавить новую группу учетных записей в рабочую область с тем же именем, необходимо изменить имя локальных групп рабочей области. Эти действия рекомендуют добавить (workspace) в имя группы.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя на верхней панели рабочей области Azure Databricks и выберите настройки.
  3. Перейдите на вкладку групп и выберите локальную группу рабочей области, которую вы хотите преобразовать в группу учетных записей.
  4. В разделе "Имя" добавьте (workspace) в конец имени группы.
  5. Нажмите кнопку Сохранить.

Шаг 3. Предоставление разрешений группам учетных записей

Предоставьте недавно подготовленным группам учетных записей доступ к тем же функциям, что и их соответствующим группам в локальных рабочих областях. Для каждой новой группы учетных записей:

  1. Предоставьте группе доступ к рабочей области. См. статью "Назначение группы рабочей области с помощью консоли учетной записи".
  2. Назначьте права рабочей области в новых группах учетных записей, следуя инструкциям в разделе "Управление правами на группы".
  3. Используйте рабочий процесс миграции служебных программ UCX для переноса разрешений групп уровня рабочей области на объекты уровня рабочей области в новые группы учетных записей. См . шаг 2. Запустите рабочий процесс миграции группы. Вы также можете перенести разрешения вручную с помощью API разрешений.

Шаг 4. Удаление локальных групп рабочей области

Теперь, когда вы перенесли локальную группу рабочей области в учетную запись и можете удалить локальные группы рабочей области.

  1. На вкладке группы выберите группу рабочей области, которую вы преобразовали в группу учетных записей.
  2. Нажмите кнопку "Удалить" и нажмите кнопку "Удалить", чтобы подтвердить.

Управление локальными группами рабочей области с помощью API

Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью API SCIM на уровне рабочей области. В федеративных рабочих областях удостоверений локальные группы рабочей области можно управлять только с помощью API. Инструкции см. в разделе API групп рабочих областей.

Управление локальными группами рабочей области с помощью страницы параметров администратора

Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью страницы параметров администратора рабочей области в федеративных рабочих областях, не являющихся удостоверениями.

Создание локальной группы рабочей области с помощью страницы параметров администратора

Чтобы добавить локальную группу рабочей области в рабочую область с помощью параметров администратора, сделайте следующее:

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

  2. Щелкните имя пользователя в верхней панели рабочей области Azure Databricks и выберите вкладку Параметры.

  3. Щелкните вкладку "Удостоверение" и "Доступ ".

  4. Рядом с группами нажмите кнопку "Управление".

  5. Нажмите кнопку "Создать группу".

  6. Введите имя группы и нажмите кнопку "Создать".

    Имена групп должны быть уникальными. Имя группы изменить нельзя. Если вы хотите изменить имя группы, необходимо удалить группу и создать ее заново с новым именем.

Добавление участников в локальную группу рабочей области с помощью страницы параметров администратора

Примечание.

Добавить дочернюю группу в группу admins нельзя.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

  2. Щелкните на ваше имя пользователя на верхней панели рабочей области Azure Databricks и выберите Настройки.

  3. Щелкните вкладку "Удостоверение" и "Доступ ".

  4. Рядом с группами нажмите кнопку "Управление".

  5. Выберите группу, которую нужно обновить.

  6. На вкладке Участники нажмите Добавление пользователей, групп или субъектов-служб.

  7. В диалоговом окне просмотрите или найдите пользователей, субъектов-служб и группы, которые вы хотите добавить и выбрать.

  8. Нажмите кнопку Подтвердить.

    Может потребоваться щелкнуть стрелку вниз в селекторе, чтобы скрыть раскрывающийся список и отобразить кнопку Подтвердить.

Удалить пользователя, группу или учетную запись службы из локальной группы в рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Нажмите на свое имя пользователя на верхней панели рабочей области Azure Databricks и выберите пункт Параметры.
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую нужно обновить.
  6. На вкладке "Члены" найдите пользователя, группу или субъект-службу, которого хотите удалить, и щелкните X в столбце "Действия ".
  7. Щелкните Удалить участника, чтобы подтвердить.

Примечание.

Вы также можете удалить дочернюю локальную группу рабочей области из родительской группы рабочей области, перейдя на вкладку Родители для группы, которую вы хотите удалить. Найдите родительскую группу, из которой нужно удалить дочернюю локальную группу рабочей области, и щелкните X в столбце Действия.

Просмотр родительских локальных групп рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую вы хотите просмотреть.
  6. На вкладке "Родительские группы" просмотрите родительские группы для группы.

Изменение имени группы

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Щелкните имя пользователя в верхней панели рабочей области Azure Databricks и выберите Параметры.
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую вы хотите просмотреть.
  6. В разделе Имяизмените имя.
  7. Нажмите кнопку Сохранить.

Синхронизация локальных групп рабочей области из клиента Идентификатора Microsoft Entra

Группы можно синхронизировать из арендатора Microsoft Entra ID с рабочей областью Azure Databricks с использованием коннектора предоставления SCIM на уровне рабочей области. Подготовка SCIM на уровне рабочей области создает локальные группы рабочей области, которые можно использовать только в рабочей области. Databricks рекомендует использовать подготовку SCIM на уровне учетной записи.