إدارة مجموعات
توضح هذه المقالة كيفية إنشاء المسؤولين لمجموعات Azure Databricks وإدارتها. للحصول على نظرة عامة على نموذج هوية Azure Databricks، راجع هويات Azure Databricks.
لإدارة الوصول للمجموعات، راجع المصادقة والتحكم في الوصول.
نظرة عامة على إدارة المجموعة
تبسط المجموعات إدارة الهوية من خلال تسهيل تعيين الوصول إلى مساحات العمل والبيانات والكائنات الأخرى القابلة للتأمين. يمكن تعيين جميع هويات Databricks كأعضاء في المجموعات.
الفرق بين مجموعات الحسابات والمجموعات المحلية لمساحة العمل
يحتوي Azure Databricks على مفهوم مجموعات الحسابات والمجموعات القديمة لمساحة العمل المحلية:
- يمكن منح مجموعات الحسابات حق الوصول إلى البيانات في مخزن بيانات تعريف كتالوج Unity، والأدوار الممنوحة على كيانات الخدمة ومجموعاتها، وأذونات لمساحات العمل الموحدة للهوية.
- مجموعات مساحة العمل المحلية هي مجموعات قديمة. يتم تعريف هذه المجموعات على أنها مساحة عمل محلية في صفحة إعدادات مسؤول مساحة العمل. لا يمكن تعيين مجموعات مساحة العمل المحلية إلى مساحات عمل إضافية أو منح حق الوصول إلى البيانات في مخزن بيانات تعريف كتالوج Unity. لا يمكن منح مجموعات مساحة العمل المحلية أدوارا على مستوى الحساب. لمزيد من المعلومات حول مجموعات مساحة العمل المحلية، راجع إدارة مجموعات مساحة العمل المحلية (القديمة).
هناك مجموعتا نظام في كل مساحة عمل: users
و admins
. جميع مستخدمي مساحة العمل هم أعضاء في users
المجموعة وجميع مسؤولي مساحة العمل أعضاء في admins
المجموعة. مجموعات النظام هي مجموعات مساحة عمل محلية. لا يمكن حذف مجموعات النظام.
توصي Databricks بتحويل المجموعات المحلية لمساحة العمل الحالية إلى مجموعات حسابات للاستفادة من تعيين مساحة العمل المركزية وإدارة الوصول إلى البيانات باستخدام كتالوج Unity. راجع ترحيل مجموعات مساحة العمل المحلية إلى مجموعات الحسابات.
إشعار
يتم تعيين المستخدمين الذين لديهم مساهم مضمن أو مالك أو دور مخصص مع Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
إذن على مورد مساحة العمل في Azure تلقائيا إلى مجموعة مساحة admins
العمل. لمزيد من المعلومات، راجع إدارة اشتراكك.
من يمكنه إدارة مجموعات الحسابات؟
لإنشاء مجموعات حسابات في Azure Databricks، يجب أن تكون مسؤول حساب أو مسؤول مساحة عمل. يجب أن يكون مسؤولو مساحة العمل في مساحات عمل موحدة الهوية لإنشاء مجموعة حسابات.
لإدارة مجموعات الحسابات في Azure Databricks، يجب أن يكون لديك دور مدير المجموعة (المعاينة العامة) في مجموعة. يمكن لمديري المجموعة إدارة عضوية المجموعة وحذف المجموعة. يمكنهم أيضا تعيين دور مدير المجموعة للمستخدمين الآخرين. يمكن لمسؤولي الحساب إدارة أدوار المجموعة باستخدام وحدة تحكم الحساب، ويمكن لمسؤولي مساحة العمل إدارة أدوار المجموعة باستخدام صفحة إعدادات مسؤول مساحة العمل. يمكن لمديري المجموعات الذين ليسوا مسؤولين في مساحة العمل إدارة أدوار المجموعة باستخدام واجهة برمجة تطبيقات التحكم في الوصول إلى الحسابات.
يتمتع مسؤولو الحساب بدور مدير المجموعة على مستوى الحساب، ما يعني أن لديهم دور مدير المجموعة على جميع المجموعات في الحساب. يتمتع مسؤولو مساحة العمل بدور مدير المجموعة في مجموعات الحسابات التي يقومون بإنشائها.
يمكن لمسؤولي مساحة العمل أيضا إنشاء مجموعات مساحة العمل المحلية وإدارتها.
مزامنة المجموعات إلى حساب Azure Databricks الخاص بك من مستأجر معرف Microsoft Entra
يمكنك مزامنة المجموعات من مستأجر Microsoft Entra ID إلى حساب Azure Databricks الخاص بك باستخدام موصل تزويد SCIM. للحصول على الإرشادات، راجع توفير الهويات لحساب Azure Databricks الخاص بك باستخدام معرف Microsoft Entra.
هام
إذا كان لديك موصلات SCIM تقوم بمزامنة الهويات مباشرة إلى مساحات العمل الخاصة بك ويتم تمكين مساحات العمل هذه لاتحاد الهوية، نوصي بتعطيل موصلات SCIM هذه عند تمكين موصل SCIM على مستوى الحساب. إذا كانت لديك مساحات عمل لا تستخدم اتحاد الهوية، يجب الاستمرار في استخدام أي موصلات SCIM قمت بتكوينها لمساحات العمل هذه، والتي تعمل بالتوازي مع موصل SCIM على مستوى الحساب.
إدارة مجموعات الحسابات باستخدام وحدة تحكم الحساب
يمكن لمسؤولي الحساب إضافة مجموعات وإدارتها في حساب Azure Databricks باستخدام وحدة تحكم الحساب. يمكن لمسؤولي مساحة العمل ومديري المجموعات إدارة المجموعات باستخدام صفحة إعدادات مساحة العمل وواجهات برمجة تطبيقات Databricks. راجع إدارة مجموعات الحسابات باستخدام صفحة إعدادات مسؤول مساحة العمل وإدارة مجموعات الحسابات باستخدام واجهة برمجة التطبيقات.
إضافة مجموعات إلى حسابك باستخدام وحدة تحكم الحساب
لإضافة مجموعة إلى الحساب باستخدام وحدة تحكم الحساب، قم بما يلي:
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق إدارة المستخدم.
- على علامة التبويب مجموعات ، انقر فوق إضافة مجموعة.
- أدخل اسمًا للمجموعة.
- انقر فوق تأكيد.
- عند المطالبة، أضف المستخدمين وكيانات الخدمة والمجموعات إلى المجموعة.
إضافة أعضاء إلى مجموعة باستخدام وحدة تحكم الحساب
لإضافة المستخدمين وكيانات الخدمة والمجموعات إلى مجموعة باستخدام وحدة تحكم الحساب، قم بما يلي:
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق إدارة المستخدم.
- في علامة التبويب مجموعات ، حدد المجموعة التي تريد تحديثها.
- انقر فوق إضافة أعضاء.
- ابحث عن المستخدم أو المجموعة أو كيان الخدمة الذي تريد إضافته وحدده.
- انقر فوق إضافة.
إشعار
هناك تأخير لبضع دقائق بين تحديث مجموعة من حساب والمجموعة التي يتم تحديثها في مساحات العمل.
إدارة الأدوار على مجموعة باستخدام وحدة تحكم الحساب
يمكن لمسؤولي الحساب منح أدوار على مجموعات الحسابات في وحدة تحكم الحساب.
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق إدارة المستخدم.
- على علامة التبويب مجموعات ، ابحث عن اسم المجموعة وانقر فوقه.
- انقر فوق علامة التبويب أذونات.
- انقر فوق منح الوصول.
- ابحث عن المستخدم أو كيان الخدمة أو المجموعة وحددها واختر دور Group: Manager .
- انقر فوق حفظ.
تغيير اسم مجموعة
يمكن لمسؤولي الحساب تحديث اسم مجموعات الحسابات باستخدام وحدة تحكم الحساب:
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق إدارة المستخدم.
- في علامة التبويب مجموعات ، حدد المجموعة التي تريد تحديثها.
- انقر فوق معلومات المجموعة.
- ضمن الاسم، قم بتحديث الاسم.
- انقر فوق حفظ.
لا يمكن لمديري المجموعة تغيير اسم مجموعة باستخدام وحدة تحكم الحساب. بدلا من ذلك، استخدم واجهة برمجة تطبيقات مجموعات الحسابات. على سبيل المثال:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
للحصول على معلومات حول كيفية المصادقة على واجهة برمجة تطبيقات مجموعات الحسابات، راجع مصادقة الوصول إلى موارد Azure Databricks.
تعيين مجموعة إلى مساحة عمل باستخدام وحدة تحكم الحساب
لإضافة مجموعات إلى مساحة عمل باستخدام وحدة تحكم الحساب، يجب تمكين مساحة العمل لاتحاد الهوية. يمكن تعيين مجموعات الحسابات فقط إلى مساحات العمل.
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق مساحات العمل.
- انقر فوق اسم مساحة العمل.
- على علامة التبويب أذونات ، انقر فوق إضافة أذونات.
- ابحث عن المجموعة وحددها، وقم بتعيين مستوى الأذونات (مستخدم مساحة العمل أو المسؤول)، ثم انقر فوق حفظ.
إزالة مجموعة من مساحة عمل باستخدام وحدة تحكم الحساب
لإزالة المجموعات إلى مساحة عمل باستخدام وحدة تحكم الحساب، يجب تمكين مساحة العمل لاتحاد الهوية. يمكن إزالة مجموعات الحسابات فقط من مساحات العمل باستخدام وحدة تحكم الحساب.
عند إزالة مجموعة حسابات من مساحة عمل، لن يتمكن أعضاء المجموعة من الوصول إلى مساحة العمل، ولكن يتم الاحتفاظ بالأذونات على المجموعة. إذا تمت إضافة المجموعة لاحقا مرة أخرى إلى مساحة عمل، تستعيد المجموعة أذوناتها السابقة.
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق مساحات العمل.
- انقر فوق اسم مساحة العمل.
- في علامة التبويب أذونات ، ابحث عن المجموعة.
- انقر فوق قائمة الكباب في أقصى يسار صف المجموعة وحدد إزالة.
- في مربع حوار التأكيد، انقر فوق إزالة.
تعيين أدوار مسؤول الحساب إلى مجموعة
لا يمكنك تعيين دور مسؤول الحساب أو مسؤول السوق لمجموعة باستخدام وحدة تحكم الحساب، ولكن يمكنك تعيينه للمجموعات باستخدام واجهة برمجة تطبيقات مجموعات الحسابات. على سبيل المثال:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
للحصول على معلومات حول كيفية المصادقة على واجهة برمجة تطبيقات مجموعات الحسابات، راجع مصادقة الوصول إلى موارد Azure Databricks.
إزالة المجموعات من حساب Azure Databricks
يمكن لمسؤولي الحساب إزالة المجموعات من حساب Azure Databricks. يمكن لمديري المجموعات أيضا إزالة المجموعات من الحساب باستخدام واجهة برمجة تطبيقات مجموعات الحسابات، راجع إدارة مجموعات الحسابات باستخدام واجهة برمجة التطبيقات.
هام
عند إزالة مجموعة، يتم حذف جميع المستخدمين في تلك المجموعة من الحساب وفقدان الوصول إلى أي مساحات عمل لديهم حق الوصول إليها (إلا إذا كانوا أعضاء في مجموعة أخرى أو تم منحهم حق الوصول مباشرة إلى الحساب أو أي مساحات عمل). توصي Databricks بالامتناع عن حذف المجموعات على مستوى الحساب إلا إذا كنت تريد أن تفقد الوصول إلى جميع مساحات العمل في الحساب. كن على دراية بالنتائج التالية لحذف المستخدمين:
- لم يعد بإمكان التطبيقات أو البرامج النصية التي تستخدم الرموز المميزة التي أنشأها المستخدم الوصول إلى واجهات برمجة تطبيقات Databricks
- تفشل المهام المملوكة للمستخدم
- المجموعات المملوكة من قبل توقف المستخدم
- يجب تعيين الاستعلامات أو لوحات المعلومات التي أنشأها المستخدم والمشتركة باستخدام بيانات اعتماد "تشغيل كمالك" إلى مالك جديد لمنع فشل المشاركة
لإزالة مجموعة باستخدام وحدة تحكم الحساب، قم بما يلي:
- بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
- في الشريط الجانبي، انقر فوق إدارة المستخدم.
- في علامة التبويب مجموعات ، ابحث عن المجموعة التي تريد إزالتها.
- انقر فوق قائمة kebab في أقصى يسار صف المستخدم وحدد Delete.
- في مربع حوار التأكيد، انقر فوق تأكيد الحذف.
إذا قمت بإزالة مجموعة باستخدام وحدة تحكم الحساب، يجب عليك التأكد من إزالة المجموعة أيضا باستخدام أي موصلات تزويد SCIM أو تطبيقات واجهة برمجة تطبيقات SCIM التي تم إعدادها للحساب. إذا لم تقم بذلك، فإن تزويد SCIM سيضيف ببساطة المجموعة وأعضائها مرة أخرى في المرة التالية التي تتم فيها المزامنة. راجع مزامنة المستخدمين والمجموعات من معرف Microsoft Entra.
لإزالة مجموعة من حساب Azure Databricks باستخدام واجهة برمجة التطبيقات، راجع مزامنة المستخدمين والمجموعات إلى حساب Azure Databricks وواجهة برمجة تطبيقات مجموعات الحسابات.
إدارة مجموعات الحسابات باستخدام صفحة إعدادات مسؤول مساحة العمل
يمكن لمسؤولي مساحة العمل إنشاء مجموعات الحسابات وإدارتها في مساحات العمل الموحدة للهوية باستخدام صفحة إعدادات مسؤول مساحة العمل.
إشعار
هناك تأخير لبضع دقائق بين تحديث مجموعة حساب من مساحة عمل والمجموعة التي يتم تحديثها في الحساب.
للحصول على معلومات حول كيفية إنشاء مجموعات مساحة عمل محلية في مساحات العمل، راجع إدارة مجموعات مساحة العمل المحلية (القديمة).
إنشاء مجموعة أو تعيينها إلى مساحة عمل باستخدام صفحة إعدادات مسؤول مساحة العمل
لتعيين مجموعة حسابات أو إنشائها في مساحة عمل باستخدام صفحة إعدادات مسؤول مساحة العمل، قم بما يلي:
كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
انقر فوق علامة التبويب الهوية والوصول .
إلى جانب المجموعات، انقر فوق إدارة.
انقر فوق إضافة مجموعة.
حدد مجموعة موجودة لتعيينها إلى مساحة العمل أو انقر فوق إضافة جديد لإنشاء مجموعة حسابات جديدة.
إشعار
إذا لم يتم تمكين مساحة العمل الخاصة بك لاتحاد الهوية، فلا يمكنك تعيين مجموعات حسابات موجودة أو إضافة إنشاء مجموعات حسابات في مساحة العمل الخاصة بك. يجب استخدام مجموعات مساحة العمل المحلية بدلا من ذلك، راجع إدارة مجموعات مساحة العمل المحلية (القديمة).
إضافة أعضاء إلى مجموعة باستخدام صفحة إعدادات مسؤول مساحة العمل
يجب أن تكون مسؤول مساحة عمل لإضافة مستخدمين وكيانات خدمة ومجموعات إلى مجموعة حسابات باستخدام صفحة إعدادات مسؤول مساحة العمل. يمكنك فقط إدارة أعضاء مجموعة لديك دور مدير المجموعة عليها.
إشعار
لا يمكنك إضافة مجموعة تابعة إلى admins
المجموعة. لا يمكنك إضافة مجموعات محلية لمساحة العمل أو مجموعات النظام كأعضاء في مجموعات الحسابات.
يجب على مديري المجموعات الذين ليسوا مسؤولين في مساحة العمل إدارة عضوية المجموعة باستخدام واجهة برمجة تطبيقات مجموعات الحسابات.
- كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
- انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
- انقر فوق علامة التبويب الهوية والوصول .
- إلى جانب المجموعات، انقر فوق إدارة.
- حدد المجموعة التي تريد تحديثها. يجب أن يكون لديك دور مدير المجموعة على المجموعة لتحديثها.
- على علامة التبويب الأعضاء ، انقر فوق إضافة أعضاء.
- في مربع الحوار، استعرض أو ابحث عن المستخدمين وكيانات الخدمة والمجموعات التي تريد إضافتها وحددها.
- انقر فوق تأكيد.
إدارة الأدوار في مجموعة حسابات باستخدام صفحة إعدادات مسؤول مساحة العمل
يمكنك تعيين دور مدير المجموعة للمستخدمين ومجموعات الحسابات وكيانات الخدمة. يمكن لمديري المجموعة إدارة عضوية المجموعة. يمكنهم أيضا تعيين دور مدير المجموعة للمستخدمين الآخرين.
يجب أن تكون مسؤول مساحة عمل لإدارة أدوار المجموعة باستخدام صفحة إعدادات مسؤول مساحة العمل. يمكن لمديري المجموعات الذين ليسوا مسؤولين في مساحة العمل إدارة أدوار المجموعة باستخدام واجهة برمجة تطبيقات التحكم في الوصول إلى الحساب.
كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
انقر فوق علامة التبويب الهوية والوصول .
إلى جانب المجموعات، انقر فوق إدارة.
حدد المجموعة التي تريد تحديثها. يجب أن يكون لديك دور مدير المجموعة على المجموعة لتحديثها.
انقر فوق علامة التبويب أذونات.
انقر فوق منح الوصول.
ابحث عن المستخدم أو كيان الخدمة أو المجموعة وحددها واختر دور Group: Manager .
إشعار
لا يمكنك تعيين أدوار مجموعات مساحة العمل المحلية أو مجموعات النظام على مجموعات الحسابات.
انقر فوق حفظ.
عرض المجموعات الأصلية
- كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
- انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
- انقر فوق علامة التبويب الهوية والوصول .
- إلى جانب المجموعات، انقر فوق إدارة.
- حدد المجموعة التي تريد عرضها.
- في علامة التبويب المجموعة الأصل، اعرض المجموعات الأصل لمجموعتك.
إزالة مجموعة من مساحة عمل باستخدام صفحة إعدادات مسؤول مساحة العمل
لا تؤدي إزالة مجموعة من مساحة عمل إلى حذف المجموعة في الحساب. عند إزالة مجموعة من مساحة عمل، لن يتمكن أعضاء المجموعة من الوصول إلى مساحة العمل، ولكن يتم الاحتفاظ بالأذونات على المجموعة. إذا تمت إضافة المجموعة لاحقا مرة أخرى إلى مساحة العمل، تستعيد المجموعة أذوناتها السابقة.
- كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
- انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
- انقر فوق علامة التبويب الهوية والوصول .
- إلى جانب المجموعات، انقر فوق إدارة.
- حدد المجموعة وانقر فوق x Delete
- انقر فوق حذف للتأكيد.
إدارة مجموعات الحسابات باستخدام واجهة برمجة التطبيقات
يمكن لمسؤولي الحسابات ومسؤولي مساحة العمل ومديري المجموعات إضافة المجموعات وحذفها وإدارتها في حساب Azure Databricks باستخدام واجهة برمجة تطبيقات مجموعات الحسابات. يجب على مسؤولي الحساب ومسؤولي مساحة العمل ومديري المجموعات استدعاء واجهة برمجة التطبيقات باستخدام عنوان URL مختلف لنقطة النهاية:
- يستخدم
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
مسؤولو الحساب . - يستخدم
{workspace-domain}/api/2.0/account/scim/v2/
مسؤولو مساحة العمل ومديرو المجموعات .
للحصول على التفاصيل، راجع واجهة برمجة تطبيقات مجموعات الحسابات.
تعيين مجموعة إلى مساحة عمل باستخدام واجهة برمجة التطبيقات
يمكن لمسؤولي الحساب ومساحة العمل استخدام واجهة برمجة تطبيقات تعيين مساحة العمل لتعيين مجموعات لمساحات العمل الممكنة لاتحاد الهوية. يتم دعم واجهة برمجة تطبيقات تعيين مساحة العمل من خلال حساب Azure Databricks ومساحات العمل.
- يستخدم
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
مسؤولو الحساب . - يستخدم
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
مسؤولو مساحة العمل .
راجع واجهة برمجة تطبيقات تعيين مساحة العمل.
إدارة الأدوار لمجموعة باستخدام واجهة برمجة التطبيقات
يمكن لمديري المجموعات إدارة أدوار المجموعة باستخدام واجهة برمجة تطبيقات التحكم في الوصول إلى الحسابات. يجب على مسؤولي الحساب ومسؤولي مساحة العمل ومديري المجموعات استدعاء واجهة برمجة التطبيقات باستخدام عنوان URL مختلف لنقطة النهاية:
- يستخدم
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
مسؤولو الحساب . - يستخدم
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
مسؤولو مساحة العمل ومديرو المجموعات .
راجع واجهة برمجة تطبيقات التحكم في الوصول إلى الحساب وواجهة برمجة تطبيقات وكيل التحكم في الوصول إلى الحسابات.