Dela via


Hantera grupper

Den här artikeln beskriver hur administratörer skapar och hanterar Azure Databricks-grupper. En översikt över Azure Databricks-identitetsmodellen finns i Azure Databricks-identiteter.

Information om hur du hanterar åtkomst för grupper finns i Autentisering och åtkomstkontroll.

Översikt över grupphantering

Grupper förenklar identitetshanteringen genom att göra det enklare att tilldela åtkomst till arbetsytor, data och andra skyddsbara objekt. Alla Databricks-identiteter kan tilldelas som medlemmar i grupper.

typer av grupper i Azure Databricks

Azure Databricks har fyra typer av grupper, kategoriserade baserat på källan:

  • Kontogrupper kan beviljas åtkomst till data i en Unity Catalog metakatalog, beviljas roller för tjänsteprincipaler och grupper samt behörigheter för att identitetsfedererade arbetsytor.

  • arbetsytelokala grupper är äldre grupper som bara kan användas i kontexten för arbetsytan som de skapades i. Dessa grupper kan inte tilldelas till ytterligare arbetsytor, beviljas åtkomst till data i ett Unity Catalog-metaarkiv eller beviljas roller på kontonivå. Databricks rekommenderar att du omvandlar befintliga arbetsytelokala grupper till kontogrupper. Mer information om lokala arbetsytegrupper finns i Hantera arbetsytelokala grupper (äldre).

  • Externa grupper är grupper som skapas i Azure Databricks från Microsoft Entra-ID. Dessa grupper skapas med en SCIM-etableringsanslutning och är synkroniserade med Microsoft Entra-ID. Som standard kan inte externa gruppmedlemskap uppdateras från Azure Databricks-kontokonsolen eller sidan för administratörsinställningar för arbetsytan. Externa grupper är kontogrupper.

    Kommentar

    Om du vill uppdatera externt gruppmedlemskap från Azure Databricks-användargränssnittet kan en kontoadministratör inaktivera Oföränderliga externa grupper på förhandsgranskningssidan för kontokonsolen.

  • Systemgrupper skapas och underhålls av Azure Databricks. Varje konto har en kontosystemgrupp som heter account users, som omfattar alla användare. Det finns två systemgrupper på arbetsytenivå i varje arbetsyta: users och admins. Alla medlemmar i arbetsytan tillhör gruppen users, och arbetsyteadministratörer är också medlemmar i gruppen admins. Det går inte att ta bort systemgrupper.

Användare med en inbyggd deltagar- eller ägarroll i Azure tilldelas automatiskt i arbetsytan admins-gruppen. Mer information finns i Hantera din prenumeration.

Vem kan hantera kontogrupper?

Om du vill skapa kontogrupper i Azure Databricks måste du vara kontoadministratör eller arbetsyteadministratör. Arbetsyteadministratörer måste finnas i en identitetsansluten arbetsyta för att skapa en kontogrupp.

Om du vill hantera kontogrupper i Azure Databricks måste du ha rollen grupphanterare (offentlig förhandsversion) i en grupp. Gruppchefer kan hantera gruppmedlemskap och ta bort gruppen. De kan också tilldela andra användare rollen gruppchef. Kontoadministratörer kan hantera grupproller med kontokonsolen, och arbetsyteadministratörer kan hantera grupproller med hjälp av sidan administratörsinställningar för arbetsytan. Gruppchefer som inte är arbetsyteadministratörer kan hantera grupproller med hjälp av API:et för åtkomstkontroll för konton.

Kontoadministratörer har rollen gruppchef på kontonivå, vilket innebär att de har rollen gruppchef för alla grupper i kontot. Arbetsyteadministratörer har rollen gruppchef för kontogrupper som de skapar.

Arbetsyteadministratörer kan också skapa och hantera arbetsytelokala grupper.

Synkronisera grupper till ditt Azure Databricks-konto från din Microsoft Entra ID-klientorganisation

Du kan synkronisera grupper från din Microsoft Entra ID-klientorganisation till ditt Azure Databricks-konto automatiskt eller använda en SCIM-etableringsanslutning.

automatisk identitetshantering (offentlig förhandsversion) kan du lägga till användare, tjänstens huvudnamn och grupper från Microsoft Entra-ID i Azure Databricks utan att konfigurera ett program i Microsoft Entra-ID. Databricks använder Microsoft Entra ID som informationskälla, därför tillämpas alla ändringar av användare eller gruppmedlemskap i Azure Databricks. Den här förhandsversionen stöder kapslade grupper. Mer information finns i Synkronisera användare och grupper automatiskt från Microsoft Entra ID.

.. obs!: Under den automatiska identitetshanteringen i den offentliga förhandsversionen visas inte kapslade grupper i Azure Databricks-användargränssnittet. Se Begränsningar i användargränssnittet för automatisk identitetshantering under offentlig förhandsversion.

SCIM-etablering gör att du kan konfigurera ett företagsprogram i Microsoft Entra-ID för att hålla användare och grupper synkroniserade med Microsoft Entra-ID. SCIM-etablering stöder inte kapslade grupper. För anvisningar, se Synkronisera användare och grupper från Microsoft Entra ID med SCIM.

Hantera kontogrupper med kontokonsolen

Kontoadministratörer kan lägga till och hantera grupper i Azure Databricks-kontot med hjälp av kontokonsolen. Arbetsyteadministratörer och grupphanterare kan hantera grupper med hjälp av arbetsytans inställningssida och Databricks-API:er. Se Hantera kontogrupper med hjälp av sidan för administratörsinställningar för arbetsytan och Hantera kontogrupper med hjälp av API:et.

Lägga till grupper i ditt konto med kontokonsolen

Gör följande för att lägga till en grupp i kontot med hjälp av kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper klickar du på Lägg till grupp.
  4. Ange ett namn på gruppen.
  5. Klicka på Bekräfta.
  6. När du uppmanas till det lägger du till användare, tjänstens huvudnamn och grupper i gruppen.

Lägga till medlemmar i en grupp med kontokonsolen

Om du vill hålla externa grupper synkroniserade med Microsoft Entra-ID kan du inte hantera medlemskap i externa grupper i kontokonsolen som standard. Gör följande för att lägga till användare, tjänstens huvudnamn och grupper i en grupp med hjälp av kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper väljer du den grupp som du vill uppdatera.
  4. Klicka på Lägg till medlemmar.
  5. Sök efter användaren, gruppen eller tjänstens huvudnamn som du vill lägga till och välj det.
  6. Klicka på Lägg till.

Det finns en fördröjning på några minuter mellan uppdateringen av en grupp från ett konto och den grupp som uppdateras på arbetsytor.

Hantera roller i en grupp med hjälp av kontokonsolen

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Kontoadministratörer kan bevilja roller för kontogrupper i kontokonsolen.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper letar du upp och klickar på gruppnamnet.
  4. Klicka på fliken Behörigheter .
  5. Klicka på Bevilja åtkomst.
  6. Sök efter och välj användaren, tjänstens huvudnamn eller grupp och välj Grupp: Chef roll.
  7. Klicka på Spara.

Ändra namnet på en grupp

Om du vill hålla externa grupper synkroniserade med Microsoft Entra-ID kan du inte uppdatera namnet på externa grupper i kontokonsolen som standard. Kontoadministratörer kan uppdatera namnet på kontogrupper i med kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper väljer du den grupp som du vill uppdatera.
  4. Klicka på Gruppinformation.
  5. Under Namnuppdaterar du namnet.
  6. Klicka på Spara.

Gruppansvariga kan inte ändra namnet på en grupp med hjälp av kontokonsolen. Använd i stället API:et för kontogrupper. Till exempel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Information om hur du autentiserar till API för kontogrupper finns i Auktorisera åtkomst till Azure Databricks-resurser.

Tilldela en grupp till en arbetsyta med kontokonsolen

Om du vill lägga till grupper i en arbetsyta med kontokonsolen måste arbetsytan vara aktiverad för identitetsfederation. Endast kontogrupper kan tilldelas till arbetsytor.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Klicka på Permissions (Behörigheter) på fliken Add permissions (Lägg till behörigheter).
  5. Sök efter och välj gruppen, tilldela behörighetsnivån (arbetsytan Användare eller Admin) och klicka sedan på Spara.

Ta bort en grupp från en arbetsyta med kontokonsolen

För att ta bort grupper från en arbetsyta med hjälp av -kontokonsolenmåste arbetsytan vara aktiverad för identitetsfederation . Endast kontogrupper är flyttbara från arbetsytor med hjälp av kontokonsolen.

När en kontogrupp tas bort från en arbetsyta kan gruppmedlemmar inte längre komma åt arbetsytan, men behörigheter underhålls i gruppen. Om gruppen senare läggs tillbaka till en arbetsyta återfår gruppen sina tidigare behörigheter.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Leta reda på gruppen på fliken Behörigheter .
  5. Klicka på menyn Kebab kebab längst till höger på gruppraden och välj Ta bort.
  6. I bekräftelsedialogrutan klickar du på Ta bort.

Tilldela kontoadministratörsroller till en grupp

Du kan inte tilldela rollen kontoadministratör eller Marketplace-administratör till en grupp med kontokonsolen, men du kan tilldela den till grupper med hjälp av API:et Kontogrupper. Till exempel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Information om hur du autentiserar till API för kontogrupper finns i Auktorisera åtkomst till Azure Databricks-resurser.

Ta bort grupper från ditt Azure Databricks-konto

Kontoadministratörer kan ta bort grupper från ett Azure Databricks-konto. Gruppansvariga kan också ta bort grupper från kontot med hjälp av API:et Kontogrupper, se Hantera kontogrupper med hjälp av API:et.

Viktigt!

När du tar bort en grupp tas alla användare i gruppen bort från kontot och förlorar åtkomst till alla arbetsytor som de hade åtkomst till (såvida de inte är medlemmar i en annan grupp eller har beviljats direkt åtkomst till kontot eller arbetsytor). Databricks rekommenderar att du avstår från att ta bort grupper på kontonivå om du inte vill att de ska förlora åtkomsten till alla arbetsytor i kontot. Tänk på följande konsekvenser av att ta bort användare:

  • Program eller skript som använder token som genereras av användaren kan inte längre komma åt Databricks-API:er
  • Jobb som ägs av användaren misslyckas
  • Kluster som ägs av användaren stoppas
  • Frågor eller instrumentpaneler som skapats av användaren och delats med hjälp av autentiseringsuppgifterna Kör som ägare måste tilldelas till en ny ägare för att förhindra att delning misslyckas

Om du vill ta bort en grupp med kontokonsolen gör du följande:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. Leta upp den grupp som du vill ta bort på fliken Grupper.
  4. Klicka på menyn Kebab kebab längst till höger på användarraden och välj Ta bort.
  5. I bekräftelsedialogrutan klickar du på Bekräfta borttagning.

Om du tar bort en grupp med kontokonsolen måste du även ta bort gruppen med hjälp av SCIM-etableringsanslutningsprogram eller SCIM API-program som har konfigurerats för kontot. Om du inte gör det lägger SCIM-etableringen bara till gruppen och dess medlemmar nästa gång den synkroniseras. Se Synkronisera användare och grupper från Microsoft Entra-ID med SCIM.

Information om hur du tar bort en grupp från ett Azure Databricks-konto med hjälp av API:et finns i Synkronisera användare och grupper till ditt Azure Databricks-konto och API:et för -kontogrupper.

Hantera kontogrupper med hjälp av sidan administratörsinställningar för arbetsytan

Arbetsyteadministratörer kan skapa och hantera kontogrupper i identitetsanslutna arbetsytor med hjälp av sidan administratörsinställningar för arbetsytan.

Kommentar

Det finns en fördröjning på några minuter mellan uppdatering av en kontogrupp från en arbetsyta och den grupp som uppdateras i kontot.

Information om hur du skapar arbetsytelokala grupper på arbetsytor finns i Hantera arbetsytelokala grupper (äldre).

Skapa eller tilldela en grupp till en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

Om du vill tilldela eller skapa en kontogrupp på en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan gör du följande:

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.

  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.

  3. Klicka på fliken Identitet och åtkomst .

  4. Bredvid Grupper klickar du på Hantera.

  5. Klicka på Lägg till grupp.

  6. Välj en befintlig grupp som ska tilldelas till arbetsytan eller klicka på Lägg till ny för att skapa en ny kontogrupp.

    Kommentar

    Om din arbetsyta inte är aktiverad för identitetsfederation kan du inte tilldela befintliga kontogrupper eller lägga till skapa kontogrupper på arbetsytan. Du måste använda arbetsytelokala grupper i stället, se Hantera arbetsytelokala grupper (äldre).

Lägga till medlemmar i en grupp med hjälp av sidan administratörsinställningar för arbetsytan

Du måste vara administratör för arbetsytan för att kunna lägga till användare, tjänstens huvudnamn och grupper i en kontogrupp med hjälp av sidan administratörsinställningar för arbetsytan. Du kan bara hantera medlemmar i en grupp som du har gruppchefsrollen på. Om du vill hålla externa grupper synkroniserade med Microsoft Entra-ID kan du inte hantera medlemskap i externa grupper på sidan administratörsinställningar för arbetsytan som standard.

Kommentar

Du kan inte lägga till en underordnad grupp i admins gruppen. Du kan inte lägga till lokala arbetsytegrupper eller systemgrupper som medlemmar i kontogrupper.

Gruppchefer som inte är arbetsyteadministratörer måste hantera gruppmedlemskap med hjälp av API:et Kontogrupper.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj den grupp som du vill uppdatera. Du måste ha gruppchefsrollen i gruppen för att kunna uppdatera den.
  6. På fliken Medlemmar klickar du på Lägg till medlemmar.
  7. I dialogrutan bläddrar eller söker du efter de användare, tjänsthuvudnamn och grupper som du vill lägga till och väljer dem.
  8. Klicka på Bekräfta.

Hantera roller i en kontogrupp med hjälp av sidan administratörsinställningar för arbetsytan

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Du kan tilldela gruppchefsrollen till användare, kontogrupper och tjänstens huvudnamn. Gruppchefer kan hantera gruppmedlemskap. De kan också tilldela gruppchefsrollen till andra användare.

Du måste vara administratör för arbetsytan för att kunna hantera grupproller med hjälp av sidan administratörsinställningar för arbetsytan. Gruppchefer som inte är arbetsyteadministratörer kan hantera grupproller med hjälp av API:et för kontoåtkomstkontroll.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.

  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.

  3. Klicka på fliken Identitet och åtkomst .

  4. Bredvid Grupper klickar du på Hantera.

  5. Välj den grupp som du vill uppdatera. Du måste ha gruppchefsrollen i gruppen för att kunna uppdatera den.

  6. Klicka på fliken Behörigheter .

  7. Klicka på Bevilja åtkomst.

  8. Sök efter och välj användaren, tjänstens huvudnamn eller grupp och välj Grupp: Chef roll.

    Kommentar

    Du kan inte tilldela arbetsytelokala grupper eller systemgrupper roller för kontogrupper.

  9. Klicka på Spara.

Visa överordnade grupper

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj den grupp som du vill visa.
  6. På fliken Överordnad grupp visar du de överordnade grupperna för din grupp.

Ta bort en grupp från en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

Om du tar bort en grupp från en arbetsyta tas inte gruppen i kontot bort. När en grupp tas bort från en arbetsyta kan gruppmedlemmar inte längre komma åt arbetsytan, men behörigheter underhålls för gruppen. Om gruppen senare läggs tillbaka till arbetsytan återfår gruppen sina tidigare behörigheter.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj gruppen och klicka på x Ta bort
  6. Bekräfta genom att klicka på Ta bort .

Hantera kontogrupper med hjälp av API:et

Kontoadministratörer och arbetsyteadministratörer och gruppansvariga kan lägga till, ta bort och hantera grupper i Azure Databricks-kontot med hjälp av API:et kontogrupper. Kontoadministratörer och arbetsyteadministratörer och grupphanterare måste anropa API:et med en annan slutpunkts-URL:

  • Kontoadministratörer använder {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Arbetsyteadministratörer och gruppchefer använder {workspace-domain}/api/2.0/account/scim/v2/.

Mer information finns i API:et för kontogrupper.

Tilldela en grupp till en arbetsyta med hjälp av API:et

Konto- och arbetsyteadministratörer kan använda API:et för tilldelning av arbetsytor för att tilldela grupper till arbetsytor som är aktiverade för identitetsfederation. API:et för tilldelning av arbetsytor stöds via Azure Databricks-kontot och arbetsytorna.

  • Kontoadministratörer använder {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Arbetsyteadministratörer använder {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Se API för arbetsytetilldelning.

Hantera roller för en grupp med hjälp av API:et

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Grupphanterare kan hantera grupproller med hjälp av API:et för åtkomstkontroll för konton. Kontoadministratörer och arbetsyteadministratörer och grupphanterare måste anropa API:et med en annan slutpunkts-URL:

  • Kontoadministratörer använder {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Arbetsyteadministratörer och gruppchefer använder {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Se API för kontoåtkomstkontroll och API för åtkomstkontroll för arbetsyteproxy för konton.