Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite erläutert eine Übersicht über Gruppen in Azure Databricks. Informationen zum Verwalten von Gruppen finden Sie unter "Verwalten von Gruppen".
Gruppen vereinfachen die Identitätsverwaltung durch Erleichtern der Zuweisung des Zugriffs auf Arbeitsbereiche, Daten und andere sicherungsfähige Objekte. Alle Databricks-Identitäten können als Mitglieder von Gruppen zugewiesen werden.
Gruppieren von Quellen
Azure Databricks-Gruppen werden basierend auf ihrer Quelle in vier Kategorien klassifiziert, die in der Spalte "Quelle " der Gruppenliste angezeigt werden.
| Quelle | BESCHREIBUNG |
|---|---|
| Konto | Sie können Zugriff auf Daten in einem Unity Catalog-Metastore, Rollen für Dienstprinzipale und Gruppen sowie Berechtigungen für Arbeitsbereiche mit Identitätsverbund erhalten. Dies sind die primären Gruppen für die Verwaltung des Zugriffs über das Azure Databricks-Konto. |
| Äußerlich | Erstellt in Azure Databricks von Ihrem Identitätsanbieter. Diese Gruppen bleiben mit Ihrem IdP synchronisiert (z. B. Microsoft Entra-ID). Externe Gruppen werden auch als Kontogruppen erfasst. |
| System | Erstellt und verwaltet von Azure Databricks. Jedes Konto enthält eine account users Gruppe mit allen Benutzern. Jeder Arbeitsbereich verfügt über zwei Systemgruppen: users (alle Arbeitsbereichsmitglieder) und admins (Arbeitsbereichsadministratoren). Systemgruppen können nicht gelöscht werden. |
| Arbeitsbereich | Als arbeitsbereichslokale Gruppen bezeichnet, handelt es sich um Legacygruppen, die nur innerhalb des Arbeitsbereichs verwendet werden, in dem sie erstellt wurden. Sie können anderen Arbeitsbereichen nicht zugewiesen werden und keinen Zugriff auf Unity Catalog-Daten oder Rollen auf Kontoebene erhalten. Databricks empfiehlt die Konvertierung von arbeitsbereichlokalen Gruppen in Kontogruppen für eine breitere Funktionalität. |
Wer kann Gruppen verwalten?
Um Gruppen in Azure Databricks zu erstellen, müssen Sie eine der folgenden Sein:
- Ein Kontoadministrator
- Ein Arbeitsbereichsadministrator in einem Identitätsverbundarbeitsbereich
Um Gruppen in Azure Databricks zu verwalten, müssen Sie über die Gruppen-Managerrolle (Öffentliche Vorschau) einer Gruppe verfügen. Diese Rolle ermöglicht Folgendes:
- Verwalten der Gruppenmitgliedschaft
- Löschen von Gruppen
- Weisen Sie die Gruppenmanager-Rolle anderen Benutzern zu.
Standardmäßig:
- Kontoadministratoren verfügen automatisch über die Gruppen-Manager-Rolle für alle Gruppen.
- Arbeitsbereichsadministratoren verfügen automatisch über die Gruppen-Manager-Rolle für Gruppen, die sie erstellen.
Gruppen-Managerrollen können konfiguriert werden durch:
- Kontoadministratoren, die die Kontokonsole verwenden
- Arbeitsbereichsadministratoren, die die Seite für Arbeitsbereichsadministratoreinstellungen verwenden
- Gruppenmanager, die keine Administratoren sind, verwenden die Zugriffssteuerungs-API für Konten
Arbeitsbereichsadministratoren können auch ältere Arbeitsbereichs-lokale Gruppen erstellen und verwalten.
Synchronisieren von Gruppen mit Ihrem Azure Databricks-Konto aus der Microsoft Entra-ID
Databricks empfiehlt, Gruppen von Microsoft Entra ID mit Ihrem Azure Databricks-Konto zu synchronisieren.
Sie können Gruppen von Ihrer Microsoft Entra ID-Instanz automatisch synchronisieren oder einen SCIM-Bereitstellungsconnector verwenden.
automatische Identitätsverwaltung (Public Preview) ermöglicht es Ihnen, Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID in Azure Databricks hinzuzufügen, ohne eine Anwendung in Microsoft Entra ID zu konfigurieren. Databricks verwendet Microsoft Entra-ID als Datensatzquelle, sodass änderungen an Benutzern oder Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden. Diese Vorschau unterstützt geschachtelte Gruppen. Ausführliche Informationen finden Sie unter Automatisches Synchronisieren von Benutzern und Gruppen aus microsoft Entra ID.
SCIM-Bereitstellung ermöglicht es Ihnen, eine Unternehmensanwendung in Microsoft Entra ID zu konfigurieren, um Benutzer und Gruppen synchronisiert zu halten mit Microsoft Entra ID. Die Bereitstellung über SCIM unterstützt keine verschachtelten Gruppen. Anweisungen finden Sie unter Synchronisieren von Benutzern und Gruppen von Microsoft Entra ID mithilfe von SCIM-.