Sdílet prostřednictvím


Správa skupin

Tento článek vysvětluje, jak správci vytvářejí a spravují skupiny Azure Databricks. Přehled modelu identit Azure Databricks najdete v tématu Identity Azure Databricks.

Pokud chcete spravovat přístup pro skupiny, přečtěte si téma Ověřování a řízení přístupu.

Přehled správy skupin

Skupiny zjednodušují správu identit tím, že usnadňují přiřazování přístupu k pracovním prostorům, datům a dalším zabezpečitelným objektům. Všechny identity Databricks je možné přiřadit jako členy skupin.

Rozdíl mezi skupinami účtů a místními skupinami pracovního prostoru

Azure Databricks má koncept skupin účtů a starších skupin pracovních prostorů:

  • Skupiny účtů můžou mít udělený přístup k datům v metastoru katalogu Unity, udělené role instančních objektů a skupin a oprávnění k federovaným pracovním prostorům identit.
  • Místní skupiny pracovního prostoru jsou staršími skupinami. Tyto skupiny jsou na stránce nastavení správce pracovního prostoru identifikovány jako místní pracovní prostor. Místní skupiny pracovního prostoru nelze přiřadit k dalším pracovním prostorům ani udělit přístup k datům v metastoru katalogu Unity. Místní skupiny pracovního prostoru nelze udělit role na úrovni účtu. Další informace o místních skupinách pracovního prostoru najdete v tématu Správa místních skupin pracovních prostorů (starší verze).

V každém pracovním prostoru jsou dvě systémové skupiny: users a admins. Všichni uživatelé pracovního prostoru jsou členy users skupiny a všichni správci pracovního prostoru jsou členy admins skupiny. Systémové skupiny jsou místní skupiny pracovního prostoru. Systémové skupiny nelze odstranit.

Databricks doporučuje převést existující místní skupiny pracovních prostorů na skupiny účtů, aby využívaly centralizované přiřazení pracovního prostoru a správu přístupu k datům pomocí katalogu Unity. Viz Migrace místních skupin pracovního prostoru do skupin účtů.

Poznámka:

Uživatelům s integrovanou rolí Přispěvatel, Vlastník nebo Vlastní role s Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action oprávněním k prostředku pracovního prostoru v Azure se automaticky přiřadí ke skupině pracovních prostorů admins . Další informace najdete v tématu Správa předplatného.

Kdo může spravovat skupiny účtů?

Pokud chcete vytvořit skupiny účtů v Azure Databricks, musíte být správcem účtu nebo správcem pracovního prostoru. Správci pracovního prostoru musí být v pracovních prostorech federovaných identit, aby mohli vytvořit skupinu účtů.

Pokud chcete spravovat skupiny účtů v Azure Databricks, musíte mít ve skupině roli správce skupiny (Public Preview). Správci skupin můžou spravovat členství ve skupinách a skupinu odstranit. Můžou také přiřadit další uživatele roli správce skupiny. Správci účtů můžou spravovat role skupiny pomocí konzoly účtu a správci pracovního prostoru můžou spravovat role skupiny pomocí stránky nastavení pracovního prostoru. Správci skupin, kteří nejsou správci pracovního prostoru, můžou spravovat role skupin pomocí rozhraní API řízení přístupu k účtům.

Správci účtů mají roli správce skupiny na úrovni účtu, což znamená, že mají roli správce skupiny ve všech skupinách v účtu. Správci pracovního prostoru mají roli správce skupin u skupin účtů, které vytvoří.

Správci pracovního prostoru mohou také vytvářet a spravovat místní skupiny pracovního prostoru.

Synchronizace skupin s účtem Azure Databricks z tenanta Microsoft Entra ID

Skupiny z tenanta Microsoft Entra ID můžete synchronizovat s účtem Azure Databricks pomocí zřizovacího konektoru SCIM. Pokyny najdete v tématu Zřizování identit pro váš účet Azure Databricks pomocí ID Microsoft Entra.

Důležité

Pokud máte konektory SCIM, které synchronizují identity přímo s vašimi pracovními prostory a tyto pracovní prostory jsou povolené pro federaci identit, doporučujeme tyto konektory SCIM zakázat, když je povolený konektor SCIM na úrovni účtu. Pokud máte pracovní prostory, které nepoužívají federaci identit, musíte dál používat všechny konektory SCIM, které jste pro tyto pracovní prostory nakonfigurovali, a to paralelně s konektorem SCIM na úrovni účtu.

Správa skupin účtů pomocí konzoly účtu

Správci účtů můžou přidávat a spravovat skupiny v účtu Azure Databricks pomocí konzoly účtu. Správci pracovních prostorů a správci skupin můžou spravovat skupiny pomocí stránky nastavení pracovního prostoru a rozhraní API Databricks. Viz Správa skupin účtů pomocí stránky nastavení pracovního prostoru a Správa skupin účtů pomocí rozhraní API.

Přidání skupin do účtu pomocí konzoly účtu

Pokud chcete do účtu přidat skupinu pomocí konzoly účtu, postupujte takto:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny klikněte na Přidat skupinu.
  4. Zadejte název skupiny.
  5. Klikněte na tlačítko Potvrdit.
  6. Po zobrazení výzvy přidejte do skupiny uživatele, instanční objekty a skupiny.

Přidání členů do skupiny pomocí konzoly účtu

Pokud chcete do skupiny přidat uživatele, instanční objekty a skupiny pomocí konzoly účtu, postupujte takto:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyberte skupinu, kterou chcete aktualizovat.
  4. Klikněte na Přidat členy.
  5. Vyhledejte uživatele, skupinu nebo instanční objekt, který chcete přidat, a vyberte ho.
  6. Klikněte na tlačítko Přidat.

Poznámka:

Mezi aktualizací skupiny z účtu a aktualizací skupiny v pracovních prostorech dochází ke zpoždění několika minut.

Správa rolí ve skupině pomocí konzoly účtu

Důležité

Tato funkce je ve verzi Public Preview.

Správci účtů můžou u skupin účtů v konzole účtu udělovat role.

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyhledejte a klikněte na název skupiny.
  4. Klikněte na kartu Oprávnění .
  5. Klikněte na Udělit přístup.
  6. Vyhledejte a vyberte uživatele, instanční objekt nebo skupinu a zvolte roli Skupina: Správce .
  7. Klikněte na Uložit.

Změna názvu skupiny

Správci účtů můžou aktualizovat název skupin účtů pomocí konzoly účtu:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyberte skupinu, kterou chcete aktualizovat.
  4. Klikněte na Informace o skupině.
  5. V části Název aktualizujte název.
  6. Klikněte na Uložit.

Správci skupin nemůžou změnit název skupiny pomocí konzoly účtu. Místo toho použijte rozhraní API pro skupiny účtů. Příklad:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Informace o ověřování v rozhraní API skupin účtů najdete v tématu Ověřování přístupu k prostředkům Azure Databricks.

Přiřazení skupiny k pracovnímu prostoru pomocí konzoly účtu

Pokud chcete přidat skupiny do pracovního prostoru pomocí konzoly účtu, musí být tento pracovní prostor povolený pro federaci identit. Pracovní prostory se dají přiřadit jenom skupinám účtů.

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Permissions (Oprávnění) klikněte na Add permissions (Přidat oprávnění).
  5. Vyhledejte a vyberte skupinu, přiřaďte úroveň oprávnění (uživatel nebo správce pracovního prostoru) a potom klikněte na uložit.

Odebrání skupiny z pracovního prostoru pomocí konzoly účtu

Pokud chcete odebrat skupiny do pracovního prostoru pomocí konzoly účtu, musí být pracovní prostor povolený pro federaci identit. Pomocí konzoly účtu se z pracovních prostorů dají vyměnit jenom skupiny účtů.

Když je skupina účtů odebrána z pracovního prostoru, členové skupiny už nemají přístup k pracovnímu prostoru, ale oprávnění jsou v této skupině zachována. Pokud se skupina později přidá zpět do pracovního prostoru, skupina znovu získá předchozí oprávnění.

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Oprávnění najděte skupinu.
  5. Klikněte na Nabídka Kebab nabídku kebabu úplně vpravo od řádku skupiny a vyberte Odebrat.
  6. V potvrzovací dialogovém okně klikněte na Odebrat.

Přiřazení rolí správce účtu ke skupině

Roli správce účtu ani správce marketplace nemůžete přiřadit ke skupině pomocí konzoly účtu, ale můžete ji přiřadit ke skupinám pomocí rozhraní API pro skupiny účtů. Příklad:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Informace o ověřování v rozhraní API skupin účtů najdete v tématu Ověřování přístupu k prostředkům Azure Databricks.

Odebrání skupin z účtu Azure Databricks

Správci účtů můžou skupiny z účtu Azure Databricks odebrat. Správci skupin můžou skupiny z účtu odebrat také pomocí rozhraní API pro skupiny účtů. Viz Správa skupin účtů pomocí rozhraní API.

Důležité

Když odeberete skupinu, odstraní se všichni uživatelé v této skupině z účtu a ztratí přístup ke všem pracovním prostorům, ke kterým měli přístup (pokud nejsou členy jiné skupiny nebo jim nebyl přímo udělen přístup k účtu nebo jakýmkoli pracovním prostorům). Databricks doporučuje, abyste se vyhnuli odstranění skupin na úrovni účtu, pokud nechcete, aby ztratili přístup ke všem pracovním prostorům v účtu. Mějte na paměti následující důsledky odstranění uživatelů:

  • Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraním API Databricks
  • Selhání úloh vlastněných uživatelem
  • Clustery vlastněné zastavením uživatele
  • Dotazy nebo řídicí panely vytvořené uživatelem a sdílené pomocí přihlašovacích údajů Spustit jako vlastníka musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání sdílení.

Pokud chcete odebrat skupinu pomocí konzoly účtu, postupujte takto:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyhledejte skupinu, kterou chcete odebrat.
  4. Klikněte na Nabídka Kebab nabídku kebabu úplně vpravo od řádku uživatele a vyberte Odstranit.
  5. V potvrzovací dialogovém okně klepněte na tlačítko Potvrdit odstranění.

Pokud odeberete skupinu pomocí konzoly účtu, musíte zajistit, abyste skupinu odebrali také pomocí všech konektorů pro zřizování SCIM nebo aplikací rozhraní API SCIM, které jsou pro tento účet nastavené. Pokud ne, zřizování SCIM jednoduše přidá skupinu a její členy zpět při příští synchronizaci. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID.

Pokud chcete odebrat skupinu z účtu Azure Databricks pomocí rozhraní API, přečtěte si téma Synchronizace uživatelů a skupin s vaším účtem Azure Databricks a rozhraním API pro skupiny účtů.

Správa skupin účtů pomocí stránky nastavení správce pracovního prostoru

Správci pracovního prostoru můžou vytvářet a spravovat skupiny účtů v pracovních prostorech federovaných identit pomocí stránky nastavení pracovního prostoru.

Poznámka:

Mezi aktualizací skupiny účtů z pracovního prostoru a aktualizovanými skupinami v účtu je zpoždění několik minut.

Informace o vytváření místních skupin pracovních prostorů v pracovních prostorech najdete v tématu Správa místních skupin pracovních prostorů (starší verze).

Vytvoření nebo přiřazení skupiny k pracovnímu prostoru pomocí stránky nastavení správce pracovního prostoru

Pokud chcete přiřadit nebo vytvořit skupinu účtů v pracovním prostoru pomocí stránky nastavení pracovního prostoru, postupujte takto:

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.

  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.

  3. Klikněte na kartu Identita a přístup .

  4. Vedle skupin klikněte na Spravovat.

  5. Klikněte na Přidat skupinu.

  6. Vyberte existující skupinu, která se má přiřadit k pracovnímu prostoru, nebo klikněte na Přidat novou a vytvořte novou skupinu účtů.

    Poznámka:

    Pokud váš pracovní prostor není povolený pro federaci identit, nemůžete přiřadit existující skupiny účtů ani do pracovního prostoru přidat skupiny účtů. Místo toho musíte použít místní skupiny pracovního prostoru, viz Správa místních skupin pracovního prostoru (starší verze).

Přidání členů do skupiny pomocí stránky nastavení správce pracovního prostoru

Abyste mohli přidávat uživatele, instanční objekty a skupiny do skupiny účtů pomocí stránky nastavení pracovního prostoru, musíte být správcem pracovního prostoru. Můžete spravovat jenom členy skupiny, u kterých máte roli správce skupiny.

Poznámka:

Do skupiny nelze přidat podřízenou skupinu admins . Nemůžete přidat místní skupiny pracovního prostoru ani systémové skupiny jako členy skupin účtů.

Správci skupin, kteří nejsou správci pracovního prostoru, musí spravovat členství ve skupinách pomocí rozhraní API skupin účtů.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu, kterou chcete aktualizovat. Abyste ji mohli aktualizovat, musíte mít ve skupině roli správce skupiny.
  6. Na kartě Členové klikněte na Přidat členy.
  7. V dialogovém okně vyhledejte uživatele, instanční objekty a skupiny, které chcete přidat a vybrat.
  8. Klikněte na tlačítko Potvrdit.

Správa rolí ve skupině účtů pomocí stránky nastavení správce pracovního prostoru

Důležité

Tato funkce je ve verzi Public Preview.

Roli správce skupin můžete přiřadit uživatelům, skupinám účtů a instančním objektům. Správci skupin můžou spravovat členství ve skupinách. Můžou také přiřadit roli správce skupiny jiným uživatelům.

Abyste mohli spravovat role skupin pomocí stránky nastavení pracovního prostoru, musíte být správcem pracovního prostoru. Správci skupin, kteří nejsou správci pracovního prostoru, můžou spravovat role skupin pomocí rozhraní API řízení přístupu k účtům.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.

  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.

  3. Klikněte na kartu Identita a přístup .

  4. Vedle skupin klikněte na Spravovat.

  5. Vyberte skupinu, kterou chcete aktualizovat. Abyste ji mohli aktualizovat, musíte mít ve skupině roli správce skupiny.

  6. Klikněte na kartu Oprávnění .

  7. Klikněte na Udělit přístup.

  8. Vyhledejte a vyberte uživatele, instanční objekt nebo skupinu a zvolte roli Skupina: Správce .

    Poznámka:

    U skupin účtů nelze přiřadit role místních skupin pracovního prostoru ani systémových skupin.

  9. Klikněte na Uložit.

Zobrazení nadřazených skupin

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu, kterou chcete zobrazit.
  6. Na kartě Nadřazená skupina zobrazte nadřazené skupiny pro vaši skupinu.

Odebrání skupiny z pracovního prostoru pomocí stránky nastavení správce pracovního prostoru

Odebráním skupiny z pracovního prostoru se skupina v účtu neodstraní. Když je skupina odebrána z pracovního prostoru, členové skupiny už nemají přístup k pracovnímu prostoru, ale oprávnění jsou v této skupině zachována. Pokud se skupina později přidá zpět do pracovního prostoru, skupina znovu získá předchozí oprávnění.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu a klikněte na x Odstranit.
  6. Kliknutím na Odstranit potvrďte.

Správa skupin účtů pomocí rozhraní API

Správci účtů a správci pracovních prostorů a správci skupin můžou přidávat, odstraňovat a spravovat skupiny v účtu Azure Databricks pomocí rozhraní API skupin účtů. Správci účtů a správci pracovních prostorů a správci skupin musí rozhraní API vyvolat pomocí jiné adresy URL koncového bodu:

  • Správci účtu používají {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Správci pracovních prostorů a správci skupin používají {workspace-domain}/api/2.0/account/scim/v2/.

Podrobnosti najdete v rozhraní API pro skupiny účtů.

Přiřazení skupiny k pracovnímu prostoru pomocí rozhraní API

Správci účtů a pracovních prostorů můžou pomocí rozhraní API přiřazení pracovního prostoru přiřadit skupiny k pracovním prostorům povoleným pro federaci identit. Rozhraní API pro přiřazení pracovního prostoru se podporuje prostřednictvím účtu a pracovních prostorů Azure Databricks.

  • Správci účtu používají {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Správci pracovního prostoru používají {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Viz rozhraní API pro přiřazení pracovního prostoru.

Správa rolí pro skupinu pomocí rozhraní API

Důležité

Tato funkce je ve verzi Public Preview.

Správci skupin můžou spravovat role skupin pomocí rozhraní API pro řízení přístupu k účtům. Správci účtů a správci pracovních prostorů a správci skupin musí rozhraní API vyvolat pomocí jiné adresy URL koncového bodu:

  • Správci účtu používají {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Správci pracovních prostorů a správci skupin používají {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Viz Rozhraní API pro řízení přístupu k účtům a rozhraní API pro řízení přístupu k pracovnímu prostoru.