Sdílet prostřednictvím

Změna výchozího přístupu k pracovnímu prostoru pro přístup uživatelů

Důležité

Tato funkce je ve verzi Public Preview.

Tato stránka vysvětluje, jak můžou správci pracovního prostoru změnit výchozí přístup k pracovnímu prostoru pro nové uživatele na přístup uživatelů pomocí klonování skupin. Tato funkce pomáhá zjednodušit onboarding uživatelů ve velkém měřítku a současně udržovat odpovídající úrovně přístupu pro uživatele, kteří potřebují oprávnění k vytváření.

Přehled

Ve výchozím nastavení se každý uživatel přidaný do pracovního prostoru stane členem systémové users skupiny. Tato skupina má obvykle přístup k pracovnímu prostoru nebo oprávnění k přístupu do Databricks SQL, což jsou autorské oprávnění umožňující uživatelům vytvářet a upravovat objekty pracovního prostoru.

Aby bylo uživatelům k dispozici pouze pro zobrazení uživatelské prostředí, users skupina musí mít pouze oprávnění pro spotřebitele. Oprávnění jsou doplňková, takže uživatelský přístup nabízí zjednodušený režim pouze pro prohlížení, pouze pokud se jedná o jediné oprávnění přiřazené uživateli. Klonování skupin vám umožní provést tuto změnu bez narušení stávajících uživatelů, kteří potřebují oprávnění k vytváření. Vytvoří novou skupinu pro stávající uživatele a aktualizuje výchozí users skupinu pro nové uživatele.

Další informace o přístupu uživatelů a jeho možnostech najdete v tématu Co je přístup uživatelů?. Další informace o oprávněních najdete v tématu Správa nároků.

Kdy použít tuto funkci

Tuto funkci použijte v těchto případech:

  • Chcete, aby uživatelé nového pracovního prostoru ve výchozím nastavení měli přístup pouze pro uživatele.
  • Je potřeba oddělit uživatele, kteří potřebují oprávnění k vytváření (přístup k pracovnímu prostoru nebo Databricks SQL) od uživatelů, kteří potřebují oprávnění jen pro zobrazení.
  • Chcete zjednodušit onboarding uživatelů ve velkém měřítku.

Jak funguje klonování skupin

Systémová users skupina je automaticky spravována službou Azure Databricks a zahrnuje všechny uživatele pracovního prostoru. Tuto skupinu nelze odstranit. Další informace o systémových skupinách najdete v tématu Zdroje skupin.

Při klonování users skupiny:

  1. Vytvoří se nová skupina se stejnými nároky, které users skupina aktuálně obsahuje.
  2. Všichni stávající uživatelé pracovního prostoru se automaticky přesunou do naklonované skupiny a zajistí, že si zachovají aktuální úrovně přístupu.
  3. Skupina users se aktualizuje tak, aby měla pouze spotřebitelské oprávnění.
  4. Budoucí uživatelé, kteří jsou přidáni do pracovního prostoru, se automaticky stanou členy users skupiny a dostanou pouze oprávnění spotřebitele.

users Pokud skupina obsahuje vnořené skupiny, které jsou příliš hluboko vnořené (skupiny, které jsou členy jiných skupin), můžete zvolit, jak je zpracovat:

  • Přidat všechny členy skupiny přímo (doporučeno):: Přidá všechny členy vnořené skupiny přímo do klonované skupiny. To zjednodušuje strukturu skupin.
  • Vyloučení: Přeskočí vnořenou skupinu úplně. Členové vyloučené vnořené skupiny se do klonované skupiny nepřidají.

Požadavky

Pokud chcete změnit výchozí přístup k pracovnímu prostoru, musíte být správcem pracovního prostoru.

Změna výchozího přístupu k pracovnímu prostoru pomocí uživatelského rozhraní

Postup, který vidíte, závisí na konfiguraci pracovního prostoru:

  • users Pokud má skupina oprávnění k vytváření (přístup k pracovnímu prostoru nebo přístup k Sql Databricks), zobrazí se pracovní postup klonování skupin popsaný níže.
  • users Pokud skupina nemá oprávnění k vytváření, zobrazí se jednodušší modál, který umožňuje přístup uživatelů bez klonování. K tomu dochází v případě, že všichni uživatelé už mají přístup k pracovnímu prostoru prostřednictvím jiných prostředků (například skupin na úrovni účtu).

Změna výchozího přístupu k pracovnímu prostoru pro přístup uživatelů:

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.

  2. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a vyberte Nastavení.

  3. Klikněte na záložku Upřesnit.

  4. V části Řízení přístupu vedle položky Změnit výchozí přístup k pracovnímu prostoru pro přístup uživatelů klikněte na Otevřít.

  5. V závislosti na konfiguraci pracovního prostoru se zobrazí jeden ze dvou pracovních postupů:

    Pokud má users skupina oprávnění k vytváření:

    1. V dialogovém okně zadejte název klonované skupiny. Tato skupina bude obsahovat všechny stávající uživatele, kteří potřebují zachovat svá aktuální oprávnění.

    Umožňuje změnit výchozí přístup k dialogovému oknem pro přístup uživatelů.

    1. Klikněte na Vytvořit a klonovat skupinu.

    Systém vytvoří novou skupinu a zahájí proces klonování. Při klonování nezavírejte modální režim.

    1. users Pokud skupina obsahuje vnořené skupiny, které jsou příliš hluboko vnořené, zobrazí se výzva k jejich zpracování.
    • Výběrem možnosti Přidat všechny členy skupiny přímo (doporučeno) zploštěte skupinu přidáním všech členů vnořené skupiny přímo do klonované skupiny.
    • Tuto vnořenou skupinu přeskočíte výběrem možnosti Vyloučit tuto skupinu.
    • Volitelně můžete toto rozhodnutí použít u všech budoucích skupin, které překročí limit hloubky vnoření , a použít tak vaši volbu pro všechny budoucí vnořené skupiny během této operace.
    1. V posledním kroku: Přesuňte oprávnění pro vytváření a změňte výchozí přístup, klikněte na Tlačítko Dokončit.

    Systém aktualizuje users skupinu tak, aby měla pouze uživatelský nárok a přiřazuje původní nároky ke klonované skupině.

    1. Zkontrolujte souhrn a klikněte na Hotovo.

    Výchozí změna přístupu byla dokončena.

    users Pokud skupina nemá autorská práva:

    1. V dialogovém okně si projděte zprávu s vysvětlením, že noví uživatelé pracovního prostoru momentálně nemají výchozí přístup.

    Povolte výchozí přístup uživatele.

    1. Kliknutím na Povolit udělíte skupině users oprávnění pro přístup uživatelů.

    Ve výchozím nastavení mají noví uživatelé přístup pro spotřebitele.

Ověření změn

Po dokončení procesu ověřte, že se změny správně použily:

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. Vedle skupin klikněte na Spravovat.
  5. Ověřte následující:
    • Klonovaná skupina existuje a má stejný počet uživatelů jako původní users skupina.
    • Skupina users teď má pouze spotřebitelské oprávnění.

Důležité informace a osvědčené postupy

Při změně výchozího přístupu k pracovnímu prostoru zvažte následující skutečnosti:

  • Dopad na nové uživatele: Po změně výchozího přístupu dostanou všichni noví uživatelé přidaní do pracovního prostoru pouze oprávnění spotřebitele. Mohou zobrazit a pracovat s řídicími panely, prostory Genie a aplikacemi Databricks, které jsou s nimi sdílené, ale nemohou vytvářet nové objekty pracovního prostoru. Výchozí cílovou stránkou Databricks je stránka Databricks One. Další informace najdete v tématu Co je přístup uživatelů? a Co je Databricks One?

  • Udělení oprávnění pro vytváření: Pokud potřebujete novým uživatelům udělit vyšší oprávnění, musíte je ručně přidat do naklonované skupiny nebo přiřadit další oprávnění jednotlivě. Pokyny ke správě členství ve skupinách najdete v tématu Správa skupin.

  • ** Vrácení změn: Pokud potřebujete tuto konfiguraci vrátit, udělte oprávnění k přístupu k pracovnímu prostoru a oprávnění k přístupu pro Databricks SQL zpět do skupiny users. Noví uživatelé poté tato oprávnění dostanou ve výchozím nastavení. Naklonovanou skupinu můžete zachovat nebo odstranit podle toho, jestli ji pořád potřebujete pro uspořádání uživatelů.

  • Koordinace se zprostředkovateli identit: Pokud k synchronizaci uživatelů a skupin používáte zřizování SCIM nebo automatickou správu identit, koordinujete tuto změnu s procesy správy identit. Viz Synchronizace uživatelů a skupin z Microsoft Entra ID pomocí SCIM.

Automatizace klonování skupin pomocí sady SDK

Pro hromadné operace nebo automatizaci napříč několika pracovními prostory můžete pomocí sady Databricks SDK pro Python automatizovat proces klonování skupin. Tato metoda je užitečná, když potřebujete použít stejnou konfiguraci napříč více pracovními prostory nebo integrovat klonování skupin do pracovních postupů infrastruktury jako kódu.

Následující skript Pythonu automatizuje duplikování users skupiny a přiřadí příslušná oprávnění. Používá sadu Databricks SDK pro Python a vyžaduje instanční objekt s oprávněními správce pro účet i pracovní prostor ověřený pomocí OAuth. Viz Autorizace přístupu uživatelů k Azure Databricks pomocí OAuth.

Požadavky

  • Service Principal s právy správce
  • Proměnné prostředí nastaveny:
    • DATABRICKS_ACCOUNT_ID (UUID z adresy URL konzoly účtu)
    • DATABRICKS_WORKSPACE_ID (číselné ID z adresy URL pracovního prostoru)
    • DATABRICKS_CLIENT_ID (ID klienta principálu služby)
    • DATABRICKS_CLIENT_SECRET (tajný klíč klienta hlavní služby)

Ukázkový skript


import os
import databricks.sdk as dbx
from databricks.sdk.service import iam

# Set the Databricks account host URL for your account's cloud
DATABRICKS_HOST = "https://accounts.azuredatabricks.net"

# Fetch credentials from environment variables
DATABRICKS_ACCOUNT_ID = os.getenv("DATABRICKS_ACCOUNT_ID")
DATABRICKS_WORKSPACE_ID = os.getenv("DATABRICKS_WORKSPACE_ID")
DATABRICKS_CLIENT_ID = os.getenv("DATABRICKS_CLIENT_ID")
DATABRICKS_CLIENT_SECRET = os.getenv("DATABRICKS_CLIENT_SECRET")

# Initialize Databricks account client
account_client = dbx.AccountClient(
    host=DATABRICKS_HOST,
    account_id=DATABRICKS_ACCOUNT_ID,
    client_id=DATABRICKS_CLIENT_ID,
    client_secret=DATABRICKS_CLIENT_SECRET,
)

print(f"Authenticated to Databricks account {DATABRICKS_ACCOUNT_ID}")

# Get workspace and initialize workspace client
workspace = account_client.workspaces.get(workspace_id=DATABRICKS_WORKSPACE_ID)
workspace_name = workspace.workspace_name
workspace_client = account_client.get_workspace_client(workspace)

print(f"Authenticated to Databricks workspace {DATABRICKS_WORKSPACE_ID}, '{workspace_name}'")

def get_workspace_group(group_name):
    """
    Fetches the workspace group with the given name.
    """
    group = list(workspace_client.groups.list(filter=f"displayName eq '{group_name}'"))[0]
    print(f"Found workspace group: {group.display_name}")
    print(f"Workspace {group.display_name} has {len(group.members)} members")
    return group

def clone_workspace_group_to_account(workspace_group_name, new_account_group_name):
    workspace_group = get_workspace_group(workspace_group_name)
    group = account_client.groups.create(
        display_name=new_account_group_name, members=workspace_group.members
    )
    print(f"Created account group: {new_account_group_name}")
    print(f"Cloned workspace group {workspace_group.display_name} to account group {group.display_name}")
    print(f"Account {group.display_name} has {len(group.members)} members")
    return group

def add_account_group_to_workspace(account_group, workspace):
    permissions = account_client.workspace_assignment.update(
        workspace_id=workspace.workspace_id,
        principal_id=account_group.id,
        permissions=[iam.WorkspacePermission.USER],
    )
    print(f"Added account group {account_group.display_name} to workspace {workspace.workspace_id}, {workspace.workspace_name}")
    return permissions

# Clone workspace 'users' group to new account group '{workspace_name}-contributors'
account_group = clone_workspace_group_to_account(
    "users", f"{workspace_name}-contributors"
)

# Add account group '{workspace_name}-contributors' to the workspace
permissions = add_account_group_to_workspace(account_group, workspace)

Po spuštění skriptu, který duplikuje existující skupiny a znovu přiřazuje oprávnění, udělte přístup pro spotřebitele ke skupině users tak, aby noví uživatelé automaticky získali tento přístup.

Poznámka:

Upravte názvy skupin a oprávnění podle zásad a názvových konvencí vaší organizace. Než je použijete široce, vždy otestujte změny v neprodukčním prostředí.

Co dál

Po změně výchozího přístupu k pracovnímu prostoru můžete chtít:

  • Last updated on