Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se explica cómo administrar grupos para las áreas de trabajo y la cuenta de Azure Databricks.
Para obtener información general sobre los grupos, consulte Grupos.
Sincronización de grupos con la cuenta de Azure Databricks desde el inquilino de Microsoft Entra ID
Puede sincronizar grupos desde el inquilino de Microsoft Entra ID a su cuenta de Azure Databricks automáticamente o mediante un conector de aprovisionamiento SCIM.
La administración automática de identidades (versión preliminar pública) permite agregar usuarios, entidades de servicio y grupos de Microsoft Entra ID a Azure Databricks sin configurar una aplicación en Microsoft Entra ID. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. Esta versión preliminar admite grupos anidados. Para obtener más información, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.
El aprovisionamiento de SCIM le permite configurar una aplicación empresarial en el identificador de Microsoft Entra para mantener a los usuarios y grupos sincronizados con el identificador de Microsoft Entra. El aprovisionamiento SCIM no admite grupos anidados. Para obtener instrucciones, consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM).
Adición de grupos a la cuenta
Los administradores de cuentas y los administradores del área de trabajo pueden agregar grupos a la cuenta de Azure Databricks mediante la consola de la cuenta o la página de configuración del administrador del área de trabajo.
Consola de gestión de cuentas
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, haga clic en Agregar grupo.
- Escribe un nombre para el grupo.
- Haga clic en Confirmar.
- Cuando se le solicite, agregue al grupo usuarios, entidades de servicio y grupos.
Configuración del administrador del área de trabajo
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Haga clic en el botón Agregar grupo.
- Haga clic en Agregar nuevo.
- Escribe un nombre para el grupo.
- Haga clic en Agregar.
Agregar miembros a un grupo
Los administradores de cuentas y los administradores del área de trabajo pueden agregar grupos a la cuenta de Azure Databricks mediante la consola de la cuenta o la página de configuración del administrador del área de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo deben administrar la pertenencia a grupos mediante la API de grupos de cuenta.
Consola de gestión de cuentas
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, seleccione el grupo que desea actualizar.
- Haga clic en Agregar miembros.
- Busque el usuario, grupo o entidad de servicio que quiere agregar y selecciónelo.
- Haga clic en Agregar.
Hay un retraso de unos minutos entre actualizar un grupo de una cuenta y el grupo que se actualiza en áreas de trabajo.
Configuración del administrador del área de trabajo
Nota:
No se puede agregar un grupo secundario al grupo admins. No se pueden agregar grupos locales del área de trabajo ni grupos de sistemas como miembros de grupos de cuentas.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
- En la pestaña Miembros, haga clic en Agregar miembros.
- En el cuadro de diálogo, explore o busque a los usuarios, entidades de servicio y grupos que desea agregar y selecciónelos.
- Haga clic en Confirmar.
Cambio del nombre de un grupo
Los administradores de cuentas pueden actualizar el nombre de los grupos mediante la consola de cuentas, y los administradores de grupos pueden actualizar el nombre de los grupos mediante la API de grupos de cuentas. Para mantener los grupos externos sincronizados con el identificador de Entra de Microsoft, no puede actualizar el nombre de un grupo externo en la consola de la cuenta de forma predeterminada.
Consola de gestión de cuentas
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, seleccione el grupo que desea actualizar.
- Haga clic en Información de grupo.
- En Nombre, actualice el nombre.
- Haz clic en Guardar.
API de grupos de cuentas
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Para obtener información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autorización del acceso a recursos de Azure Databricks.
Asignación de un grupo a un área de trabajo
Los administradores de cuentas y los administradores del área de trabajo pueden asignar grupos a un área de trabajo de Azure Databricks mediante la consola de la cuenta o la página de configuración del administrador del área de trabajo.
Consola de gestión de cuentas
Para agregar grupos a un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitado para la federación de identidades. Los grupos locales del área de trabajo no se pueden asignar a las áreas de trabajo.
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permisos , haga clic en Agregar permisos.
- Busque y seleccione el grupo, asigne el nivel de permiso (Usuario o Administrador del área de trabajo) y haga clic en Guardar.
Configuración del administrador del área de trabajo
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Haga clic en el botón Agregar grupo.
- Seleccione un grupo existente para asignarlo al área de trabajo.
- Haga clic en Agregar.
Quitar un grupo de un área de trabajo
Cuando se quita un grupo de cuentas de un área de trabajo, los miembros del grupo no pueden seguir accediendo a él, pero los permisos se mantienen en el grupo. Si el grupo se vuelve a agregar más adelante a un área de trabajo, el grupo recupera sus permisos anteriores.
Los administradores de cuentas y los administradores del área de trabajo pueden quitar un grupo de un área de trabajo de Azure Databricks mediante la consola de la cuenta o la página de configuración del administrador del área de trabajo.
Consola de gestión de cuentas
Para remover grupos de un área de trabajo mediante la consola de cuentas, el área de trabajo debe estar habilitada para la federación de identidades. Los grupos locales del espacio de trabajo no pueden ser eliminados de los espacios de trabajo mediante la consola de gestión.
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Área de trabajo.
- Haga clic en el nombre del área de trabajo.
- En la pestaña Permisos, busca el grupo.
- Haga clic en el
situado en el extremo derecho de la fila de grupo y seleccione Quitar. - En el cuadro de diálogo de confirmación, haga clic en Quitar.
Configuración del administrador del área de trabajo
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo y haga clic en x Eliminar
- Haga clic en Eliminar para confirmar.
Administración de roles en un grupo
Importante
Esta característica está en versión preliminar pública.
Los administradores de cuentas pueden conceder roles en grupos en la consola de la cuenta y el administrador del área de trabajo pueden administrar roles de grupo mediante la página de configuración del administrador del área de trabajo. Los administradores de grupos que no son administradores de áreas de trabajo pueden administrar roles de grupo mediante la API de la cuenta de Access Control.
Consola de gestión de cuentas
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, busque y haga clic en el nombre del grupo.
- Haga clic en la pestaña Permissions (Permisos).
- Haga clic en Conceder acceso.
- Busque y seleccione el usuario, la entidad de servicio o el grupo y elija el rol Group: Manager.
- Haz clic en Guardar.
Configuración del administrador del área de trabajo
No se pueden asignar grupos locales del área de trabajo ni roles de grupos de sistemas en grupos de cuentas.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
- Haga clic en la pestaña Permissions (Permisos).
- Haga clic en Conceder acceso.
- Busque y seleccione el usuario, la entidad de servicio o el grupo y elija el rol Group: Manager.
- Haz clic en Guardar.
Asignación de roles de administrador de cuentas a un grupo
No puede asignar los roles de administrador de cuenta a un grupo mediante la consola de la cuenta, pero puede asignarlo a grupos mediante la API de grupos de cuentas. Por ejemplo:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Para obtener información sobre cómo autenticarse en la API de grupos de cuentas, consulte Autorización del acceso a recursos de Azure Databricks.
Visualización de grupos primarios
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere ver.
- En la pestaña Grupo primario, vea los grupos primarios del grupo.
Eliminación de grupos de su cuenta de Azure Databricks
Los administradores de cuentas pueden quitar grupos de una cuenta de Azure Databricks. Los administradores de grupos también pueden quitar grupos de la cuenta mediante la API de grupos de cuentas. Consulte Administración de grupos mediante la API. Si quita un grupo mediante la consola de la cuenta, debe asegurarse de quitar también el grupo mediante los conectores de aprovisionamiento SCIM o las aplicaciones de API de SCIM que se han configurado para la cuenta. Si no lo hace, el aprovisionamiento de SCIM simplemente agregará el grupo y sus miembros la próxima vez que se sincronice. Consulte Sync users and groups from Microsoft Entra ID using SCIM (Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM).
Importante
Al quitar un grupo, todos los usuarios de ese grupo se eliminan de la cuenta y pierden el acceso a las áreas de trabajo a las que tenían acceso, (a menos que sean miembros de otro grupo o se les haya concedido acceso directamente a la cuenta o a cualquier área de trabajo). Databricks recomienda abstenerse de eliminar grupos de nivel de cuenta a menos que quiera que pierdan acceso a todas las áreas de trabajo de la cuenta. Tenga en cuenta las siguientes consecuencias que acarrea la eliminación de usuarios:
- Las aplicaciones o scripts que usan los tokens generados por el usuario ya no pueden acceder a las API de Databricks.
- Ha ocurrido un error en los trabajos del usuario.
- Los clústeres propiedad del usuario se detienen.
- Las bibliotecas instaladas por ese usuario no son válidas y deben volver a instalarse.
- Las consultas o paneles creados por el usuario y compartidos mediante la credencial Ejecutar como propietario deben asignarse a un nuevo propietario para evitar que se produzca un error en el uso compartido.
Para quitar un grupo mediante la consola de la cuenta, haga lo siguiente:
- Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
- En la barra lateral, haz clic en Administración de usuarios.
- En la pestaña Grupos, encuentre el grupo que desea quitar.
- Haga clic en el situado a la derecha de la fila de usuario y seleccione Eliminar.
- En el cuadro de diálogo de confirmación, haz clic en Confirmar eliminación.
Nota:
Cuando la administración automática de identidades está habilitada, los grupos que se encuentran en el identificador de Entra de Microsoft están visibles en la consola de la cuenta. Su estado se muestra como Inactivo: no se usan y no se pueden quitar de la lista de grupos. No están activos en la cuenta y no cuentan con los límites.
Administración de grupos mediante la API
Los administradores de cuentas, los administradores de áreas de trabajo y los administradores de grupos pueden agregar, eliminar y administrar grupos en la cuenta de Azure Databricks mediante la API de grupos de cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:
- Los administradores de cuenta usan
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Los administradores de áreas de trabajo y los administradores de grupos usan
{workspace-domain}/api/2.0/account/scim/v2/.
Para más información, consulte API de grupos de cuentas.
Los administradores de cuentas y áreas de trabajo pueden usar la API de asignación de áreas de trabajo para asignar grupos a las áreas de trabajo habilitadas para la federación de identidades. La API de asignación de áreas de trabajo se admite a través de las áreas de trabajo y la cuenta de Azure Databricks.
- Los administradores de cuenta usan
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Los administradores de área de trabajo usan
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.
Consulta API de asignación de áreas de trabajo.
Administración de roles para un grupo mediante la API
Importante
Esta característica está en versión preliminar pública.
Los administradores de grupos pueden administrar los roles de grupo usando la API de Control de Acceso a las Cuentas. Los administradores de cuentas, de áreas de trabajo y de grupos deben invocar la API usando una URL de punto de conexión diferente:
- Los administradores de cuenta usan
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles. - Los administradores de áreas de trabajo y los administradores de grupos usan
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.
Consulte API de la cuenta de Access Control y API de proxy del área de trabajo de las cuentas de Access Control.
Ejemplos de API para administrar grupos
En los ejemplos siguientes se muestra cómo los administradores del área de trabajo pueden usar la API de grupos de cuentas y la API de asignación de áreas de trabajo para administrar grupos. Los administradores del área de trabajo se autentican en su área de trabajo mediante un token de API.
Creación de un grupo de cuentas
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
Esto devuelve un identificador de grupo para el nuevo grupo de cuentas. Guárdelo como referencia en los siguientes ejemplos de API.
Agregar un grupo al área de trabajo
En el ejemplo siguiente se agrega un grupo al área de trabajo con permisos de usuario del área de trabajo. También puede establecer permissions en ["ADMIN"] para conceder al grupo el rol de administrador de área de trabajo.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
Quitar un grupo del área de trabajo
En el ejemplo siguiente se quita un grupo del área de trabajo. Quitar un grupo del área de trabajo no elimina el grupo de la cuenta.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
Agregar un miembro a un grupo
curl --location --request PATCH '{workspace-domain}/api/2.0/accounts/{account_id}/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'