Administrar grupos
En este artículo se explica cómo los administradores crean y administran grupos de Azure Databricks. Para obtener información general sobre el modelo de identidad de Azure Databricks, consulte Identidades de Azure Databricks.
Para administrar el acceso de los grupos, consulte Autenticación y control de acceso.
Introducción a la administración de grupos
Los grupos simplifican la administración de identidades facilitando la asignación del acceso a áreas de trabajo, datos y otros objetos protegibles. Todas las identidades de Databricks se pueden asignar como miembros de grupos.
La diferencia entre grupos de cuenta y grupos de área de trabajo local
Azure Databricks tiene el concepto de grupos de cuenta y grupos de área de trabajo local heredados:
- A los grupos de cuentas se les puede conceder acceso a los datos de un metastore de Unity Catalog, conceder roles sobre entidades de servicio y grupos, y permisos para áreas de trabajo de identidad federada.
- Los grupos locales del área de trabajo son grupos heredados. Estos grupos se identifican como área de trabajo local en la página de configuración del administrador de áreas de trabajo. Los grupos de área de trabajo local no se pueden asignar a áreas de trabajo adicionales ni tener acceso a los datos de un metastore de Catálogo de Unity. No se pueden conceder roles de nivel de cuenta a grupos locales del área de trabajo. Para más información sobre los grupos locales del área de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).
Hay dos grupos de sistemas en cada área de trabajo: users
y admins
. Todos los usuarios del área de trabajo son miembros del grupo users
y todos los administradores de áreas de trabajo son miembros del grupo admins
. Los grupos de sistemas son grupos locales del área de trabajo. Los grupos de sistemas no se pueden eliminar.
Databricks recomienda convertir los grupos locales de áreas de trabajo existentes en grupos de cuentas para aprovechar la asignación centralizada de áreas de trabajo y la administración del acceso a los datos usando Unity Catalog. Consulta Migración de grupos de área de trabajo local a grupos de cuenta.
Nota:
Los usuarios con un rol de colaborador o propietario o un rol personalizado con el permiso Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
en el recurso del área de trabajo en Azure se asignan automáticamente al grupo del área de trabajo admins
. Para más información, consulte Administración de suscripciones.
¿Quién puede administrar grupos de cuentas?
Para crear grupos de cuentas en Azure Databricks, debe ser administrador de cuentas o administrador de áreas de trabajo. Los administradores de áreas de trabajo deben estar en áreas de trabajo federadas por identidades para crear un grupo de cuentas.
Para administrar grupos de cuentas en Azure Databricks, debe tener el rol de administrador de grupo (versión preliminar pública) en un grupo. Los administradores de grupo pueden administrar la pertenencia a grupos y eliminar el grupo. También pueden asignar a otros usuarios el rol de administrador de grupo. Los administradores de cuentas pueden administrar roles de grupo mediante la consola de la cuenta y los administradores del área de trabajo pueden administrar roles de grupo mediante la página de configuración de administración del área de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo pueden administrar roles de grupo mediante la API de Control de acceso a cuentas.
Los administradores de cuentas tienen el rol de administrador de grupos en el nivel de cuenta, lo que significa que tienen el rol de administrador de grupos en todos los grupos de la cuenta. Los administradores de áreas de trabajo tienen el rol de administrador de grupos en los grupos de cuentas que crean.
Los administradores de áreas de trabajo también pueden crear y administrar grupos locales del área de trabajo.
Sincronización de grupos con la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID
Puede sincronizar grupos del inquilino de Microsoft Entra ID con su cuenta de Azure Databricks mediante un conector de aprovisionamiento SCIM. Para obtener instrucciones completas, consulte Aprovisionar identidades en la cuenta de Azure Databricks mediante Microsoft Entra ID.
Importante
Si tiene conectores SCIM que sincronizan identidades directamente con las áreas de trabajo y esas áreas de trabajo están habilitadas para la federación de identidades, se recomienda que deshabilite esos conectores SCIM cuando el conector SCIM a nivel de cuenta esté habilitado. Si tienes áreas de trabajo que no usan la federación de identidades, debes seguir usando los conectores SCIM que hayas configurado para esas áreas de trabajo, ejecutándose en paralelo con el conector SCIM de nivel de cuenta.
Administración de grupos de cuentas usando la consola de cuenta
Los administradores de cuentas pueden agregar y administrar grupos en la cuenta de Azure Databricks usando la consola de cuenta. Los administradores del área de trabajo y los administradores de grupos pueden administrar grupos mediante la página de configuración del área de trabajo y las API de Databricks. Consulte Administración de grupos de cuentas mediante la página de configuración del administrador del área de trabajo y Administración de grupos de cuentas mediante la API.
Agregar grupos a la cuenta mediante la consola de la cuenta
Para agregar un grupo a la cuenta mediante la consola de la cuenta, haga lo siguiente:
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, haga clic en Agregar grupo.
- Escribe un nombre para el grupo.
- Haga clic en Confirmar.
- Cuando se le solicite, agregue al grupo usuarios, entidades de servicio y grupos.
Adición de miembros a un grupo usando la consola de cuenta
Para agregar usuarios, entidades de servicio y grupos a un grupo mediante la consola de cuenta, haga lo siguiente:
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, seleccione el grupo que desea actualizar.
- Haga clic en Agregar miembros.
- Busque el usuario, grupo o entidad de servicio que quiere agregar y selecciónelo.
- Haga clic en Agregar.
Nota:
Hay un retraso de unos minutos entre actualizar un grupo de una cuenta y el grupo que se actualiza en áreas de trabajo.
Administración de roles en un grupo usando la consola de cuentas
Importante
Esta característica está en versión preliminar pública.
Los administradores de cuentas pueden conceder roles en grupos de cuentas en la consola de la cuenta.
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, busque y haga clic en el nombre del grupo.
- Haga clic en la pestaña Permisos.
- Haga clic en Conceder acceso.
- Busque y seleccione el usuario, la entidad de seguridad o el grupo y elija el rol Grupo: Administrador.
- Haga clic en Save(Guardar).
Cambio del nombre de un grupo
Los administradores de cuentas pueden actualizar el nombre de los grupos de cuentas en mediante la consola de la cuenta:
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, seleccione el grupo que desea actualizar.
- Haga clic en Información de grupo.
- En Nombre, actualice el nombre.
- Haga clic en Save(Guardar).
Los administradores de grupo no pueden cambiar el nombre de un grupo mediante la consola de la cuenta. En su lugar, use la API de grupos de cuentas. Por ejemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Para más información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autenticación del acceso a los recursos de Azure Databricks.
Asignación de un grupo a un área de trabajo mediante la consola de cuenta
Para agregar grupos a un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitado para la federación de identidades. Solo se pueden asignar grupos de cuentas a áreas de trabajo.
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permissions (Permisos), haga clic en Add permissions (Agregar permisos).
- Busque y seleccione el grupo, asigne el nivel de permiso (Usuario o Administrador del área de trabajo) y haga clic en Guardar.
Quitar un grupo de un área de trabajo mediante la consola de la cuenta
Para quitar grupos de un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitado para la federación de identidades. Solo los grupos de cuentas se pueden quitar de áreas de trabajo mediante la consola de la cuenta.
Cuando se quita un grupo de cuentas de un área de trabajo, los miembros del grupo ya no pueden acceder él, pero los permisos se mantienen en el grupo. Si el grupo se vuelve a agregar más adelante a un área de trabajo, el grupo recupera sus permisos anteriores.
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permisos, busca el grupo.
- Haga clic en el menú kebab situado en el extremo derecho de la fila de grupo y seleccione Quitar.
- En el cuadro de diálogo de confirmación, haga clic en Remove (Quitar).
Asignación de roles de administrador de cuentas a un grupo
No puede asignar el rol de administrador de cuentas o de administrador de marketplace a un grupo usando la consola de cuenta, pero puede asignarlo a grupos usando la API de Grupos de cuentas. Por ejemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Para más información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autenticación del acceso a los recursos de Azure Databricks.
Eliminación de grupos de su cuenta de Azure Databricks
Los administradores de cuentas pueden quitar grupos de una cuenta de Azure Databricks. Los administradores de grupos también pueden quitar grupos de la cuenta mediante la API de grupos de cuentas, consulte Administración de grupos de cuentas mediante la API.
Importante
Al quitar un grupo, todos los usuarios de ese grupo se eliminan de la cuenta y pierden el acceso a las áreas de trabajo a las que tenían acceso, (a menos que sean miembros de otro grupo o se les haya concedido acceso directamente a la cuenta o a cualquier área de trabajo). Databricks recomienda abstenerse de eliminar grupos de nivel de cuenta a menos que quiera que pierdan acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:
- Las aplicaciones o scripts que utilizan los tokens generados por el usuario ya no pueden acceder a las API de Databricks.
- Ha ocurrido un error en los trabajos del usuario.
- Los clústeres propiedad del usuario se detienen.
- Las consultas o los cuadros de mando creados por el usuario y compartidos mediante la credencial Ejecutar como propietario deben asignarse a un nuevo propietario para evitar que el uso compartido falle.
Para quitar un grupo mediante la consola de la cuenta, haga lo siguiente:
- Como administrador de la cuenta, inicia sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, encuentre el grupo que desea quitar.
- Haga clic en el menú de tres puntos verticales en el extremo derecho de la fila de usuario y seleccione Eliminar.
- En el cuadro de diálogo de confirmación, haga clic en Confirmar eliminación.
Si quita un grupo mediante la consola de la cuenta, debe asegurarse de quitar también el grupo mediante los conectores de aprovisionamiento SCIM o las aplicaciones de API de SCIM que se han configurado para la cuenta. Si no lo hace, el aprovisionamiento SCIM simplemente volverá a agregar el grupo y sus miembros la próxima vez que se sincronice. Consulte Sincronización de usuarios y grupos desde Microsoft Entra ID.
Para quitar un grupo de una cuenta de Azure Databricks mediante la API, consulte Sincronización de usuarios y grupos en la cuenta de Azure Databricks y API de grupos de cuenta.
Administración de grupos de cuentas mediante la página de configuración del administrador de áreas de trabajo
Los administradores de áreas de trabajo pueden crear y administrar grupos de cuentas en áreas de trabajo federadas con identidades mediante la página de configuración del administrador de áreas de trabajo.
Nota:
Hay un retraso de unos minutos entre actualizar un grupo de cuenta de un área de trabajo y el grupo que se actualiza en la cuenta.
Para obtener información sobre cómo crear grupos locales del área de trabajo en áreas de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).
Creación o asignación de un grupo a un área de trabajo usando la página de configuración del administrador de áreas de trabajo
Para asignar o crear un grupo de cuentas en un área de trabajo usando la página de configuración del administrador de áreas de trabajo, haga lo siguiente:
Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
Haga clic en la pestaña Identidad y acceso.
Junto a Grupos, haga clic en Administrar.
Haga clic en el botón Agregar grupo.
Seleccione un grupo existente para asignarlo al área de trabajo, o bien haga clic en Agregar nuevo para crear un grupo de cuentas.
Nota:
Si su área de trabajo no está habilitada para federación de identidades, no podrá asignar grupos de cuentas existentes ni agregar grupos de cuentas creados en su área de trabajo. En su lugar, debe usar grupos locales del área de trabajo, consulte Administración de grupos locales del área de trabajo (heredados).
Adición de miembros a un grupo mediante la página de configuración del administrador de áreas de trabajo
Debe ser administrador de áreas de trabajo para agregar usuarios, entidades de servicio y grupos a un grupo de cuentas mediante la página de configuración del administrador de áreas de trabajo. Solo puede administrar los miembros de un grupo en el que tenga el rol de administrador de grupos.
Nota:
No se puede agregar un grupo secundario al grupo admins
. No se pueden agregar grupos locales del área de trabajo ni grupos de sistemas como miembros de grupos de cuentas.
Los administradores de grupos que no son administradores de áreas de trabajo deben administrar la pertenencia a grupos mediante la API de grupos de cuenta.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
- En la pestaña Miembros, haga clic en Agregar miembros.
- Navegue o busque los usuarios, entidades de servicio y grupos que desea agregar y selecciónelos en el cuadro de diálogo.
- Haga clic en Confirmar.
Administración de roles en un grupo de cuentas mediante la página de configuración del administrador de áreas de trabajo
Importante
Esta característica está en versión preliminar pública.
Puede asignar el rol de administrador de grupos a usuarios, grupos de cuentas y entidades de servicio. Los administradores de grupos pueden administrar la pertenencia a grupos. También pueden asignar el rol de administrador de grupos a otros usuarios.
Debe ser administrador de áreas de trabajo para administrar roles de grupo mediante la página de configuración del administrador de áreas de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo pueden administrar roles de grupo mediante la API de la cuenta de Access Control.
Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
Haga clic en la pestaña Identidad y acceso.
Junto a Grupos, haga clic en Administrar.
Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
Haga clic en la pestaña Permisos.
Haga clic en Conceder acceso.
Busque y seleccione el usuario, la entidad de seguridad o el grupo y elija el rol Grupo: Administrador.
Nota:
No se pueden asignar grupos locales del área de trabajo ni roles de grupos de sistemas en grupos de cuentas.
Haga clic en Save(Guardar).
Visualización de grupos primarios
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere ver.
- En la pestaña Grupo primario, vea los grupos primarios del grupo.
Eliminación de un grupo de un área de trabajo usando la página de configuración del administrador de áreas de trabajo
Eliminar un grupo de un área de trabajo no elimina el grupo en la cuenta. Cuando se quita un grupo de un área de trabajo, los miembros del grupo ya no pueden acceder él, pero los permisos se mantienen en el grupo. Si el grupo se vuelve a agregar más adelante al área de trabajo, el grupo recupera sus permisos anteriores.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo y haga clic en x Eliminar
- Haga clic en Delete (Eliminar) para confirmar.
Administración de grupos de cuentas usando la API
Los administradores de cuentas, los administradores de áreas de trabajo y los administradores de grupos pueden agregar, eliminar y administrar grupos en la cuenta de Azure Databricks mediante la API de grupos de cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:
- Los administradores de cuenta usan
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - Los administradores de áreas de trabajo y los administradores de grupos usan
{workspace-domain}/api/2.0/account/scim/v2/
.
Para más información, consulte API de grupos de cuentas.
Asignación de un grupo a un área de trabajo usando la API
Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar grupos a las áreas de trabajo habilitadas para la federación de identidades. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.
- Los administradores de cuenta usan
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - Los administradores de área de trabajo usan
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
.
Consulta API de asignación de áreas de trabajo.
Administración de roles para un grupo mediante la API
Importante
Esta característica está en versión preliminar pública.
Los administradores de grupos pueden administrar los roles de grupo usando la API de Control de acceso a cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:
- Los administradores de cuenta usan
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
. - Los administradores de áreas de trabajo y los administradores de grupos usan
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
.
Consulte API de la cuenta de Access Control y API de proxy del área de trabajo de las cuentas de Access Control.