Partager via


Gérer des groupes locaux d’espace de travail (hérité)

Cet article explique comment les administrateurs créent et gèrent des groupes locaux d’espace de travail. Pour obtenir une vue d’ensemble des groupes de comptes, consultez Gérer les groupes.

Que sont les groupes locaux d’espace de travail ?

Les groupes locaux d’espace de travail sont des groupes hérités. Ces groupes sont identifiés comme locaux d’espace de travail dans la page des paramètres d’administration de l’espace de travail. Les groupes locaux d’espace de travail ne sont pas synchronisés avec le compte en tant que groupes de comptes. Vous pouvez utiliser des groupes locaux d’espace de travail dans l’espace de travail dans lequel ils sont définis, mais vous ne pouvez pas les gérer à l’aide d’interfaces au niveau du compte. Ils ne peuvent pas être affectés à des espaces de travail supplémentaires ou se voir accorder l’accès aux données dans un metastore Unity Catalog. Les groupes locaux d’espace de travail ne peuvent pas se voir attribuer des rôles au niveau du compte. Pour tirer parti d’une identité centralisée, Databricks vous recommande d’utiliser des groupes de comptes plutôt que des groupes locaux à l’espace de travail.

Les administrateurs d’espaces de travail peuvent ajouter et gérer des groupes locaux d’espace de travail en tirant parti de la page des paramètres d’administrateur de l’espace de travail, d’un connecteur d’approvisionnement pour votre fournisseur d’identité et de l’API Groupes d’espace de travail.

Pour gérer l’accès des groupes locaux d’espace de travail, consultez Authentification et contrôle d’accès.

Remarque

Dans les espaces de travail fédérés par identité, les groupes locaux d’espace de travail ne peuvent être gérés qu’avec l’API Groupes d’espace de travail. Databricks a commencé à activer automatiquement de nouveaux espaces de travail pour Unity Catalog le 9 novembre 2023, avec une procédure de déploiement progressive entre les comptes. Si la fédération des identités est activée par défaut sur votre espace de travail, elle ne peut pas être désactivée. Pour plus d’informations, consultez Activation automatique d’Unity Catalog.

Migrez des groupes locaux d’espace de travail vers des groupes de comptes

Databricks recommande de convertir des groupes locaux d’espace de travail en groupes de comptes pour l’administration centralisée des identités.

Étape 1 : effectuer une migration de l’approvisionnement SCIM du niveau de l’espace de travail vers le compte

Databricks vous recommande de configurer l’approvisionnement SCIM au niveau du compte pour synchroniser les groupes de votre fournisseur d’identité vers Azure Databricks. Si le provisionnement SCIM au niveau de l’espace de travail est actuellement configuré pour vos espaces de travail, vous devez désactiver le provisionneur SCIM au niveau de l’espace de travail. Autrement, le SCIM au niveau de l’espace de travail continuera de créer et de mettre à jour des groupes locaux d’espace de travail. Pour configurer un nouveau connecteur d’approvisionnement SCIM pour votre compte et désactiver le SCIM au niveau de l’espace de travail, consultez Migrer l’approvisionnement SCIM au niveau de l’espace de travail vers le niveau du compte.

Étape 2 : modifier le nom de vos groupes locaux d'espace de travail

Deux groupes dans un espace de travail ne peuvent pas porter le même nom. Vous devez modifier le nom de vos groupes locaux d'espace de travail afin d'ajouter un nouveau groupe de comptes à l'espace de travail portant le même nom. Ces étapes recommandent d’ajouter (workspace) au nom du groupe.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l'onglet Groupes et sélectionnez le groupe local d'espace de travail que vous souhaitez convertir en groupe de comptes.
  4. Sous Nom, ajoutez (workspace) à la fin du nom du groupe.
  5. Cliquez sur Enregistrer.

Étape 3 : accorder les autorisations des groupes de comptes

Accordez aux groupes de comptes nouvellement provisionnés l’accès aux mêmes fonctionnalités que leurs équivalents locaux de l’espace de travail. Pour chaque nouveau groupe de comptes :

  1. Accordez au groupe l’accès à votre espace de travail. Consultez Affecter un groupe à un espace de travail à l’aide de la console de compte.
  2. Attribuez des droits d’espace de travail sur les nouveaux groupes de comptes, en suivant les instructions fournies dans Gérer les droits sur les groupes.
  3. Utilisez le flux de travail de migration des groupes d’utilitaires UCX pour migrer les autorisations des groupes au niveau de l’espace de travail vers les nouveaux groupes de comptes. Consultez l’étape 2 . Exécutez le flux de travail de migration de groupe. Vous pouvez également migrer manuellement des autorisations à l’aide de l’API Autorisations.

Étape 4 : supprimer les groupes locaux d'espace de travail

Maintenant que vous avez migré votre groupe d'espace de travail local vers le compte et vous pouvez supprimer vos groupes locaux d'espace de travail.

  1. Sous l’onglet Groupes, sélectionnez le groupe local de l'espace de travail que vous avez converti en groupe de comptes.
  2. Cliquez sur x Supprimer et cliquez sur Supprimer pour confirmer.

Gérer les groupes locaux de l’espace de travail à l’aide de l’API

Les administrateurs d’espace de travail peuvent ajouter et gérer des groupes locaux d’espace de travail à l’aide de l’API SCIM au niveau de l’espace de travail. Dans les espaces de travail fédérés par identité, les groupes locaux d’espace de travail ne peuvent être gérés qu’avec l’API. Si vous souhaitez obtenir des instructions, consultez API Groupes d’espace de travail.

Gérer les groupes locaux de l’espace de travail à l’aide de la page des paramètres d’administration

Les administrateurs d’espace de travail peuvent ajouter et gérer des groupes locaux d’espace de travail à l’aide de la page des paramètres d’administration de l’espace de travail dans des espaces de travail non fédérés par identité.

Créer un groupe local d’espace de travail à l’aide de la page des paramètres d’administration

Procédez comme suit pour ajouter un groupe local d’espace de travail à un espace de travail à l’aide des paramètres d’administration :

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

  3. Cliquez sur l’onglet Identité et accès.

  4. À côté de Groupes, cliquez sur Gérer.

  5. Cliquez sur Créer un groupe.

  6. Saisissez un nom de groupe, puis cliquez sur Créer.

    Les noms de groupes doivent être uniques. Vous ne pouvez pas modifier le nom d’un groupe. Si vous souhaitez modifier un nom de groupe, vous devez supprimer le groupe, puis le recréer avec un nouveau nom.

Ajouter des membres à un groupe local d’espace de travail à l’aide de la page des paramètres d’administration

Remarque

Vous ne pouvez pas ajouter un groupe enfant au groupe admins.

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.

  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.

  3. Cliquez sur l’onglet Identité et accès.

  4. À côté de Groupes, cliquez sur Gérer.

  5. Sélectionnez le groupe que vous souhaitez mettre à jour.

  6. Dans l’onglet Membres, cliquez sur Ajouter des utilisateurs, des groupes ou des principaux de service.

  7. Dans la boîte de dialogue, recherchez les utilisateurs, les principaux de service et les groupes que vous souhaitez ajouter et sélectionnez-les.

  8. Cliquez sur Confirmer.

    Vous devrez peut-être cliquer sur la flèche vers le bas dans le sélecteur pour masquer la liste déroulante et afficher le bouton Confirmer.

Supprimer un utilisateur, un groupe ou un principal de service d’un groupe local d’espace de travail

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. À côté de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe que vous souhaitez mettre à jour.
  6. Sous l’onglet Membres, recherchez l’utilisateur, le groupe ou le principal de service que vous souhaitez supprimer et cliquez sur X dans la colonne Actions.
  7. Cliquez sur Supprimer le membre pour confirmer.

Remarque

Vous pouvez également supprimer un groupe local d’espace de travail enfant de son groupe local d’espace de travail parent en accédant à l’onglet Parents du groupe que vous souhaitez supprimer. Recherchez le groupe parent dans lequel vous souhaitez supprimer le groupe local d’espace de travail enfant, puis cliquez sur X dans la colonne Actions.

Afficher des groupes locaux d’espace de travail parents

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. À côté de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe que vous souhaitez consulter.
  6. Sous l’onglet Groupes parents, affichez les groupes parents de votre groupe.

Modifier le nom d’un groupe

  1. En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
  2. Cliquez sur votre nom d’utilisateur dans la barre supérieure de l’espace de travail Azure Databricks, puis sélectionnez Paramètres.
  3. Cliquez sur l’onglet Identité et accès.
  4. À côté de Groupes, cliquez sur Gérer.
  5. Sélectionnez le groupe que vous souhaitez consulter.
  6. Sous Nom, mettez à jour le nom.
  7. Cliquez sur Enregistrer.

Synchronisez les groupes locaux de l'espace de travail à partir de votre locataire Microsoft Entra ID

Vous pouvez synchroniser des groupes de votre locataire Microsoft Entra ID vers votre espace de travail Azure Databricks à l'aide d'un connecteur de provisionnement SCIM au niveau de l'espace de travail. Le provisionnement SCIM au niveau de l'espace de travail crée des groupes locaux d'espace de travail qui ne peuvent être utilisés que dans votre espace de travail. Databricks recommande plutôt d’utiliser le provisionnement SCIM au niveau du compte.