Compartir a través de

Administrar grupos locales del área de trabajo (heredado)

  • Artículo

Este artículo explica cómo los administradores crean y gestionan los grupos locales del área de trabajo. Para obtener información general sobre los grupos de cuentas, consulte Administrar grupos.

¿Qué son los grupos locales del área de trabajo?

Los grupos locales del área de trabajo son grupos heredados. Estos grupos se identifican como área de trabajo local en la página de configuración del administrador de áreas de trabajo. Los grupos locales del área de trabajo no se sincronizan con la cuenta como grupos de cuentas. Puede utilizar grupos locales del área de trabajo en el espacio de trabajo en el que están definidos, pero no puede gestionarlos utilizando interfaces a nivel de cuenta. No se les puede asignar áreas de trabajo adicionales ni conceder acceso a los datos de un metastore del Catálogo Unity. No se pueden conceder roles de nivel de cuenta a grupos locales del área de trabajo. Databricks recomienda usar grupos de cuentas en lugar de grupos locales del área de trabajo para aprovechar las ventajas de la identidad centralizada.

Los administradores del espacio de trabajo pueden añadir y gestionar grupos locales del espacio de trabajo utilizando la página de configuración del administrador del espacio de trabajo, un conector de aprovisionamiento para su proveedor de identidades y la API de grupos del área de trabajo.

Para administrar el acceso de los grupos locales del área de trabajo, consulte Autenticación y control de acceso.

Nota:

En los espacios de trabajo federados por identidades, los grupos locales del espacio de trabajo sólo pueden gestionarse mediante la API de grupos del área de trabajo. Databricks comenzó a habilitar nuevas áreas de trabajo para la federación de identidades y Unity Catalog automáticamente el 9 de noviembre de 2023, mediante un proceso de implementación gradual entre cuentas. Si el área de trabajo está habilitada para la federación de identidades de manera predeterminada, no se puede deshabilitar. Para más información, consulte Habilitación automática de Unity Catalog.

Migrar grupos de área de trabajo local a grupos de cuenta

Databricks recomienda convertir los grupos locales del área de trabajo en grupos de cuentas para la administración centralizada de identidades.

Paso 1: Migración del aprovisionamiento SCIM de nivel de área de trabajo a la cuenta

Databricks recomienda configurar el aprovisionamiento SCIM de nivel de cuenta para sincronizar grupos del proveedor de identidades con Azure Databricks. Si actualmente tiene el aprovisionamiento SCIM de nivel de área de trabajo configurado para las áreas de trabajo, debe deshabilitar el aprovisionamiento SCIM de nivel de área de trabajo. De lo contrario, SCIM de nivel de área de trabajo sigue creando y actualizando grupos locales del área de trabajo. Para configurar un nuevo conector de aprovisionamiento SCIM para su cuenta y deshabilitar SCIM de nivel de área de trabajo, consulte Migración del aprovisionamiento SCIM de nivel de área de trabajo al nivel de cuenta.

Paso 2: Cambio del nombre de los grupos locales del área de trabajo

Dos grupos de un área de trabajo no pueden tener el mismo nombre. Debe cambiar el nombre de los grupos locales del área de trabajo para agregar un nuevo grupo de cuentas al área de trabajo con el mismo nombre. En estos pasos se recomienda agregar (workspace) al nombre del grupo.

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Grupos y seleccione el grupo local del área de trabajo que quiera convertir en un grupo de cuentas.
  4. En Nombre, agregue (workspace) al final del nombre del grupo.
  5. Haga clic en Save(Guardar).

Paso 3: Concesión de permisos a los grupos de cuentas

Conceda a los grupos de cuentas recién aprovisionados acceso a las mismas funcionalidades que tenían sus homólogos locales del área de trabajo. A cada nuevo grupo de cuentas:

  1. Conceda al grupo acceso al área de trabajo. Consulte Asignación de un grupo a un área de trabajo mediante la consola de cuenta.
  2. Asigne derechos de área de trabajo en los nuevos grupos de cuentas siguiendo las instrucciones de Administrar derechos en grupos.
  3. Use el flujo de trabajo de migración de grupos de utilidades UCX para migrar los permisos de los grupos a nivel de área de trabajo a los objetos a nivel de área de trabajo a los nuevos grupos de cuentas. Consulte Paso 2. Ejecución del flujo de trabajo de migración de grupos. También puede migrar los permisos manualmente mediante la API de permisos.

Paso 4: Eliminación de los grupos locales del área de trabajo

Ahora ya ha migrado el grupo local del área de trabajo a la cuenta y puede eliminar los grupos locales del área de trabajo.

  1. En la pestaña Grupos, seleccione el grupo local del área de trabajo que ha convertido en un grupo de cuentas.
  2. Haga clic en x Eliminar y después en Eliminar para confirmar.

Administración de grupos locales del área de trabajo mediante la API

Los administradores del área de trabajo pueden agregar y administrar grupos locales del área de trabajo mediante la API de SCIM de nivel de área de trabajo. En las áreas de trabajo federadas de identidad, los grupos locales del área de trabajo solo se pueden administrar mediante la API. Para obtener instrucciones, consulte API de grupos de áreas de trabajo.

Administrar grupos locales del área de trabajo mediante la página de configuración del administrador

Los administradores del área de trabajo pueden agregar y administrar grupos locales del área de trabajo mediante la página de configuración del administrador del área de trabajo en áreas de trabajo federadas sin identidad.

Administrar grupos locales del área de trabajo mediante la página de configuración del administrador

Para agregar un grupo local del área de trabajo a un área de trabajo mediante la configuración de administrador, haga lo siguiente:

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

  3. Haga clic en la pestaña Identidad y acceso.

  4. Junto a Grupos, haga clic en Administrar.

  5. Haga clic en Crear grupo.

  6. Escribe un nombre de grupo y haz clic en Crear.

    Los nombres de grupo deben ser únicos. No se puede cambiar el nombre de un grupo. Si quiere cambiar un nombre de grupo, debe eliminar el grupo y volver a crearlo con el nuevo nombre.

Añadir miembros a un grupo local del área de trabajo utilizando la página de configuración del administrador

Nota:

No se puede agregar un grupo secundario al grupo admins.

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.

  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.

  3. Haga clic en la pestaña Identidad y acceso.

  4. Junto a Grupos, haga clic en Administrar.

  5. Seleccione el grupo que quiere actualizar.

  6. En la pestaña Miembros, haga clic en Add usuarios, grupos o entidades de servicio.

  7. Navegue o busque los usuarios, entidades de servicio y grupos que desea agregar y selecciónelos en el cuadro de diálogo.

  8. Haga clic en Confirmar.

    Es posible que tenga que hacer clic en la flecha hacia abajo del selector para ocultar la lista desplegable y mostrar el botón Confirmar.

Quitar un usuario, un grupo o una entidad de servicio de un grupo de área de trabajo local

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso.
  4. Junto a Grupos, haga clic en Administrar.
  5. Seleccione el grupo que quiere actualizar.
  6. En la pestaña Miembros, encuentre el usuario, grupo o entidad de servicio que quiere quitar y haga clic en la X en la columna Acciones.
  7. Haga clic en Remove Member (Quitar miembro) para confirmar.

Nota:

También puede quitar un grupo de área de trabajo local secundario de su grupo de área de trabajo local primario; para ello, vaya a la pestaña Elementos primarios del grupo que desea quitar. Busque el grupo primario del que desea quitar el grupo de área de trabajo local secundario y haga clic en la X de la columna Acciones.

Ver grupos de área de trabajo local primarios

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso.
  4. Junto a Grupos, haga clic en Administrar.
  5. Seleccione el grupo que quiere ver.
  6. En la pestaña Grupos primarios, vea los grupos principales del grupo.

Cambio del nombre de un grupo

  1. Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
  2. Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
  3. Haga clic en la pestaña Identidad y acceso.
  4. Junto a Grupos, haga clic en Administrar.
  5. Seleccione el grupo que quiere ver.
  6. En Nombre, actualice el nombre.
  7. Haga clic en Save(Guardar).

Sincronización de grupos locales del área de trabajo desde el inquilino de Microsoft Entra ID

Puede sincronizar grupos desde el inquilino de Microsoft Entra ID al área de trabajo de Azure Databricks mediante un conector de aprovisionamiento SCIM de nivel de área de trabajo. El aprovisionamiento SCIM de nivel de área de trabajo crea grupos locales del área de trabajo que solo se pueden usar en el área de trabajo. En su lugar, Databricks recomienda usar el aprovisionamiento SCIM de nivel de cuenta.