Sdílet prostřednictvím

Správa skupin

Tato stránka vysvětluje, jak spravovat skupiny pro váš účet a pracovní prostory Azure Databricks.

Přehled skupin najdete v tématu Skupiny.

Note

Na této stránce se předpokládá, že váš pracovní prostor má povolenou federaci identit, což je výchozí nastavení pro většinu pracovních prostorů. Pro informace o starších pracovních prostorech bez identitní federace viz Starší pracovní prostory bez identitní federace.

Synchronizujte skupiny s vaším účtem Azure Databricks z tenanta Microsoft Entra ID

Skupiny z tenanta Microsoft Entra ID můžete synchronizovat s vaším účtem Azure Databricks automaticky nebo pomocí zřizovacího konektoru SCIM.

Automatická správa identit umožňuje přidávat uživatele, instanční objekty a skupiny z Microsoft Entra ID do Azure Databricks bez konfigurace aplikace v Microsoft Entra ID. Databricks používá jako zdroj záznamu ID Microsoft Entra, takže všechny změny členství uživatelů nebo skupin se v Azure Databricks respektují. Automatická správa identit podporuje vnořené skupiny. Automatická správa identit je ve výchozím nastavení povolená pro účty vytvořené po 1. srpnu 2025. Podrobnosti najdete v tématu Automatické synchronizace uživatelů a skupin z ID Microsoft Entra.

Zřizování SCIM umožňuje nakonfigurovat podnikovou aplikaci v Microsoft Entra ID, aby uživatelé a skupiny zůstali synchronizovaní s Microsoft Entra ID. Zprovozňování SCIM nepodporuje vnořené skupiny. Pokyny najdete v tématu Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Přidání skupin do účtu

Správci účtů a správci pracovního prostoru můžou do účtu Azure Databricks přidávat skupiny pomocí konzoly účtu nebo stránky nastavení správce pracovního prostoru.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny klikněte na Přidat skupinu.
  4. Zadejte název skupiny.
  5. Klikněte na tlačítko Potvrdit.
  6. Po zobrazení výzvy přidejte do skupiny uživatele, zásadní služby a další skupiny.

Nastavení správce pracovního prostoru

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Klikněte na Přidat skupinu.
  6. Klikněte na Přidat nový.
  7. Zadejte název skupiny.
  8. Klikněte na tlačítko Přidat.

Přidání členů do skupiny

Správci účtů a správci pracovního prostoru můžou do účtu Azure Databricks přidávat skupiny pomocí konzoly účtu nebo stránky nastavení správce pracovního prostoru. Správci skupin, kteří nejsou administrátory pracovního prostoru, musí spravovat členství ve skupinách pomocí API pro skupiny účtů.

Note

Pokud chcete zachovat synchronizaci externích skupin s ID Microsoft Entra, nemůžete ve výchozím nastavení spravovat členství externích skupin v konzole účtu. Pokud chcete aktualizovat členství v externích skupinách z uživatelského rozhraní Azure Databricks, může správce účtu zakázat immutable externí skupiny ve verzi Preview na stránce preview konzoly účtu. Externí skupiny spravované pomocí automatické správy identit nejde v Azure Databricks aktualizovat ani v případě, že je zakázaná neměnná verze Preview externích skupin.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyberte skupinu, kterou chcete aktualizovat.
  4. Klikněte na Přidat členy.
  5. Vyhledejte uživatele, skupinu nebo instanční objekt, který chcete přidat, a vyberte ho.
  6. Klikněte na tlačítko Přidat.

Mezi aktualizací skupiny a úplným rozšířením členství ve skupině do všech systémů dochází ke zpoždění několika minut.

Nastavení správce pracovního prostoru

Note

Nelze přidat podřízenou skupinu do skupiny admins. Nemůžete přidat místní skupiny pracovního prostoru ani systémové skupiny jako členy skupin účtů.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu, kterou chcete aktualizovat. Abyste ji mohli aktualizovat, musíte mít ve skupině roli správce skupiny.
  6. Na kartě Členové klikněte na Přidat členy.
  7. V dialogovém okně vyhledejte uživatele, instanční objekty a skupiny, které chcete přidat, a vyberte je.
  8. Klikněte na tlačítko Potvrdit.

Změna názvu skupiny

Správci účtů můžou aktualizovat názvy skupin pomocí konzoly účtu a správci skupin můžou aktualizovat názvy skupin pomocí rozhraní API pro skupiny účtů. Chcete-li zachovat synchronizaci externích skupin s ID Microsoft Entra, nemůžete ve výchozím nastavení aktualizovat název externích skupin v konzole účtu.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyberte skupinu, kterou chcete aktualizovat.
  4. Klikněte na Informace o skupině.
  5. V části Název aktualizujte název.
  6. Klikněte na Uložit.

Rozhraní API pro skupiny účtů

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Informace o ověřování v rozhraní API skupin účtů najdete v tématu Autorizace přístupu k prostředkům Azure Databricks.

Přiřazení skupiny k pracovnímu prostoru

Správci účtů a správci pracovního prostoru můžou přiřadit skupiny k pracovnímu prostoru Azure Databricks pomocí konzoly účtu nebo stránky nastavení správce pracovního prostoru.

Konzola účtu

Místní skupiny pracovního prostoru nelze přiřadit k pracovním prostorům pomocí konzoly účtu.

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Oprávnění klikněte na Přidat oprávnění.
  5. Vyhledejte a vyberte skupinu, přiřaďte úroveň oprávnění ( uživatel nebo správce pracovního prostoru) a potom klikněte na uložit.

Nastavení správce pracovního prostoru

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Klikněte na Přidat skupinu.
  6. Vyberte existující skupinu, která se má přiřadit k pracovnímu prostoru.
  7. Klikněte na tlačítko Přidat.

Odebrání skupiny z pracovního prostoru

Když je skupina účtů odebrána z pracovního prostoru, členové skupiny už nemají přístup k pracovnímu prostoru, ale oprávnění jsou v této skupině zachována. Pokud se skupina později přidá zpět do pracovního prostoru, skupina znovu získá předchozí oprávnění.

Správci účtů a správci pracovního prostoru můžou odebrat skupinu z pracovního prostoru Azure Databricks pomocí konzoly účtu nebo stránky nastavení správce pracovního prostoru.

Konzola účtu

Místní skupiny pracovního prostoru nelze z pracovních prostorů odebrat pomocí konzoly účtu.

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Pracovní prostory.
  3. Klikněte na název pracovního prostoru.
  4. Na kartě Oprávnění najděte skupinu.
  5. Klikněte na ikonu nabídky Kebab úplně vpravo od řádku skupiny a vyberte Odebrat.
  6. V potvrzovací dialogovém okně klikněte na Odebrat.

Nastavení správce pracovního prostoru

Note

Skupiny, které jsou nepřímo přiřazené k pracovnímu prostoru, nelze odebrat prostřednictvím členství v jiné skupině. Pokud chcete tyto skupiny odebrat, musíte je buď odebrat z nadřazené skupiny, nebo je odebrat na úrovni účtu.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu a klikněte na x Odstranit.
  6. Kliknutím na Odstranit potvrďte.

Správa rolí ve skupině

Important

Tato funkce je ve verzi Public Preview.

Správci účtu můžou u skupin v konzole účtu udělit role a správce pracovního prostoru můžou spravovat role skupiny pomocí stránky nastavení pracovního prostoru. Správci skupin, kteří nejsou správci pracovního prostoru, můžou spravovat role skupin pomocí rozhraní API řízení přístupu k účtům.

Konzola účtu

  1. Jako správce účtu se přihlaste ke konzole účtu .
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyhledejte a klikněte na název skupiny.
  4. Klikněte na kartu Oprávnění .
  5. Klikněte na Udělit přístup.
  6. Vyhledejte a vyberte uživatele, instanční objekt nebo skupinu a zvolte roli Skupina: Správce .
  7. Klikněte na Uložit.

Nastavení správce pracovního prostoru

Nelze přiřadit skupinám účtů role místních skupin pracovního prostoru ani systémových skupin.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu, kterou chcete aktualizovat. Abyste ji mohli aktualizovat, musíte mít ve skupině roli správce skupiny.
  6. Klikněte na kartu Oprávnění .
  7. Klikněte na Udělit přístup.
  8. Vyhledejte a vyberte uživatele, instanční objekt nebo skupinu a zvolte roli Skupina: Správce .
  9. Klikněte na Uložit.

Přiřazení rolí správce účtu ke skupině

Pomocí konzoly účtu nemůžete přiřadit role správce účtu ke skupině, ale můžete ji přiřadit ke skupinám pomocí rozhraní API pro skupiny účtů. Například:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Informace o ověřování v rozhraní API skupin účtů najdete v tématu Autorizace přístupu k prostředkům Azure Databricks.

Zobrazení nadřazených skupin

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Vyberte skupinu, kterou chcete zobrazit.
  6. Na kartě Nadřazená skupina zobrazte nadřazené skupiny pro vaši skupinu.

Odebrání skupin z účtu Azure Databricks

Správci účtů můžou skupiny z účtu Azure Databricks odebrat. Správci skupin můžou skupiny z účtu také odebrat pomocí rozhraní API skupin účtů. Viz Správa skupin pomocí rozhraní API. Pokud odeberete skupinu pomocí konzoly účtu, musíte zajistit, abyste skupinu odebrali také pomocí všech konektorů pro zřizování SCIM nebo aplikací rozhraní API SCIM, které jsou pro tento účet nastavené. Pokud to neuděláte, zřizování SCIM při příštím synchronizování jednoduše opět přidá skupinu a její členy. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Important

Když odeberete skupinu, odstraní se všichni uživatelé v této skupině z účtu a ztratí přístup ke všem pracovním prostorům, ke kterým měli přístup (pokud nejsou členy jiné skupiny nebo jim nebyl přímo udělen přístup k účtu nebo jakýmkoli pracovním prostorům). Databricks doporučuje, abyste se vyhnuli odstranění skupin na úrovni účtu, pokud nechcete, aby ztratili přístup ke všem pracovním prostorům v účtu. Mějte na paměti následující důsledky odstranění uživatelů:

  • Aplikace nebo skripty, které používají tokeny vygenerované uživatelem, už nemají přístup k rozhraním API Databricks.
  • Úlohy, které vlastní uživatel, selhávají.
  • Clustery vlastněné uživatelem se zastaví.
  • Knihovny nainstalované tímto uživatelem jsou neplatné a musí se přeinstalovat.
  • Dotazy nebo řídicí panely vytvořené uživatelem a sdílené pomocí přihlašovacích údajů Spustit jako vlastníka musí být přiřazeny novému vlastníkovi, aby se zabránilo selhání sdílení.

Pokud chcete odebrat skupinu pomocí konzoly účtu, postupujte takto:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Na bočním panelu klikněte na Správa uživatelů.
  3. Na kartě Skupiny vyhledejte skupinu, kterou chcete odebrat.
  4. Klikněte na ikonu nabídky Kebab úplně vpravo od řádku uživatele a zvolte Odstranit.
  5. V potvrzovací dialogovém okně klepněte na tlačítko Potvrdit odstranění.

Note

Pokud je povolená automatická správa identit, zobrazí se v konzole účtu skupiny, které jsou v Microsoft Entra ID. Skupina se zobrazí jako Neaktivní: Pokud nebyla přidána do pracovního prostoru, není k dispozici žádné využití. Tyto skupiny nelze ze seznamu skupin odebrat. Nezapočítávají se do limitů skupin.

Správa skupin pomocí rozhraní API

Správci účtů a správci pracovních prostorů a správci skupin můžou přidávat, odstraňovat a spravovat skupiny v účtu Azure Databricks pomocí rozhraní API skupin účtů. Správci účtů a správci pracovních prostorů a správci skupin musí rozhraní API vyvolat pomocí jiné adresy URL koncového bodu:

  • Správci účtu používají {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Správci pracovních prostorů a správci skupin používají {workspace-domain}/api/2.0/account/scim/v2/.

Podrobnosti najdete v rozhraní API pro skupiny účtů.

Správci účtů a pracovních prostorů můžou k přiřazení skupin k pracovním prostorům použít rozhraní API pro přiřazení pracovního prostoru. API pro přiřazení pracovního prostoru je podporováno prostřednictvím Azure Databricks účtu a pracovních prostorů.

  • Správci účtu používají {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Správci pracovního prostoru používají {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Podívejte se na API pro přiřazení pracovního prostoru.

Správa rolí pro skupinu pomocí rozhraní API

Important

Tato funkce je ve verzi Public Preview.

Správci skupin můžou spravovat role skupin pomocí rozhraní API pro řízení přístupu k účtům. Správci účtů a správci pracovních prostorů a správci skupin musí rozhraní API vyvolat pomocí jiné adresy URL koncového bodu:

  • Správci účtu používají {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Správci pracovních prostorů a správci skupin používají {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Viz Account Access Control API a Accounts Access Control Workspace Proxy API.

Příklady rozhraní API pro správu skupin

Následující příklady ukazují, jak můžou správci pracovního prostoru ke správě skupin používat rozhraní API skupin účtů a rozhraní API pro přiřazení pracovního prostoru . Správci pracovního prostoru se ověřují ve svém pracovním prostoru pomocí tokenu rozhraní API.

Vytvoření skupiny účtů

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

Tím se vrátí ID skupiny pro novou skupinu účtů. Uložte ho pro referenci v následujících příkladech rozhraní API.

Přidání skupiny do pracovního prostoru

Následující příklad přidá do pracovního prostoru skupinu s uživatelskými oprávněními pracovního prostoru. Můžete také nastavit permissions možnost ["ADMIN"] a udělit skupině roli správce pracovního prostoru.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

Odstraňte skupinu z pracovního prostoru

Následující příklad odebere skupinu z pracovního prostoru. Odebráním skupiny z pracovního prostoru se skupina z účtu neodstraní.

Note

Skupiny, které jsou nepřímo přiřazené k pracovnímu prostoru, nelze odebrat prostřednictvím členství v jiné skupině. Pokud chcete tyto skupiny odebrat, musíte je buď odebrat z nadřazené skupiny, nebo je odebrat na úrovni účtu.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

Přidání člena do skupiny

curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
  • Last updated on