Csoportok kezelése
Ez a cikk bemutatja, hogyan hozhatják létre és kezelhetik a rendszergazdák az Azure Databricks-csoportokat. Az Azure Databricks identitásmodelljének áttekintéséért tekintse meg az Azure Databricks-identitásokat.
A csoportok hozzáférésének kezelésével kapcsolatban lásd : Hitelesítés és hozzáférés-vezérlés.
A csoportkezelés áttekintése
A csoportok egyszerűbbé teszik az identitáskezelést azáltal, hogy egyszerűbbé teszik a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való hozzáférést. Minden Databricks-identitás csoporttagként rendelhető hozzá.
Különbség a fiókcsoportok és a munkaterület helyi csoportjai között
Az Azure Databricks a fiókcsoportok és az örökölt munkaterület-helyi csoportok fogalmával rendelkezik:
- A fiókcsoportok hozzáférést kaphatnak egy Unity Catalog-metaadattár adataihoz, szerepköröket adhatnak a szolgáltatásnevekhez és csoportokhoz, valamint engedélyeket adhatnak az identitásösszetett munkaterületekhez.
- A munkaterület helyi csoportjai örökölt csoportok. Ezek a csoportok munkaterület-helyiként vannak azonosítva a munkaterület rendszergazdai beállításainak lapján. A munkaterület-helyi csoportok nem rendelhetők hozzá további munkaterületekhez, és nem adhatnak hozzáférést az adatokhoz a Unity Catalog metaadattárában. A munkaterület-helyi csoportok nem adhatnak fiókszintű szerepköröket. A munkaterület-helyi csoportokról további információt a Munkaterület-helyi csoportok kezelése (örökölt) című témakörben talál.
Mindegyik munkaterületen két rendszercsoport található: users
és admins
. Minden munkaterület-felhasználó a users
csoport tagja, és minden munkaterület-rendszergazda a admins
csoport tagja. A rendszercsoportok munkaterület-helyi csoportok. A rendszercsoportok nem törölhetők.
A Databricks azt javasolja, hogy a meglévő munkaterület-helyi csoportokat fiókcsoportokká alakítsa, hogy kihasználhassa a központosított munkaterület-hozzárendelés és az adathozzáférés-kezelés előnyeit a Unity Catalog használatával. Lásd: Munkaterület-helyi csoportok migrálása fiókcsoportokba.
Feljegyzés
Az Azure-beli munkaterület-erőforrás engedélyével rendelkező beépített közreműködői, tulajdonosi vagy egyéni szerepkörrel rendelkező Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action
felhasználók automatikusan hozzá lesznek rendelve a munkaterületcsoporthoz admins
. További információ: Előfizetés kezelése.
Ki kezelheti a fiókcsoportokat?
Ha fiókcsoportokat szeretne létrehozni az Azure Databricksben, fiókadminisztrátornak vagy munkaterület-rendszergazdának kell lennie. Fiókcsoport létrehozásához a munkaterület rendszergazdáinak identitás által összevont munkaterületeken kell lenniük.
A fiókcsoportok Azure Databricksben való kezeléséhez csoportmenedzseri szerepkörrel (nyilvános előzetes verzió) kell rendelkeznie egy csoportban. A csoportkezelők kezelhetik a csoporttagságokat, és törölhetik a csoportot. Más felhasználókat is hozzárendelhetnek a csoportkezelői szerepkörhöz. A fiókadminisztrátor a fiókkonzolon keresztül kezelheti a csoportszerepköröket, a munkaterület rendszergazdái pedig a csoportszerepköröket a munkaterület rendszergazdai beállításainak lapján kezelhetik. Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a fiókhozzáférés-vezérlési API-val kezelhetik a csoportszerepköröket.
A fiókadminisztrátor fiókszintű csoportkezelői szerepkörrel rendelkezik, ami azt jelenti, hogy a fiók összes csoportjában csoportkezelői szerepkörrel rendelkeznek. A munkaterület-rendszergazdák csoportkezelői szerepkörrel rendelkeznek az általuk létrehozott fiókcsoportokban.
A munkaterület rendszergazdái munkaterület-helyi csoportokat is létrehozhatnak és kezelhetnek.
Csoportok szinkronizálása Az Azure Databricks-fiókhoz a Microsoft Entra ID-bérlőből
A Microsoft Entra ID-bérlőről szinkronizálhat csoportokat az Azure Databricks-fiókjába egy SCIM-kiépítési összekötő használatával. Útmutatásért lásd : Identitások kiépítése Az Azure Databricks-fiókhoz a Microsoft Entra ID használatával.
Fontos
Ha olyan SCIM-összekötőkkel rendelkezik, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel , és ezek a munkaterületek engedélyezve vannak az identitásösszevonáshoz, javasoljuk, hogy a fiókszintű SCIM-összekötő engedélyezésekor tiltsa le ezeket az SCIM-összekötőket. Ha olyan munkaterületei vannak, amelyek nem használnak identitás-összevonást, továbbra is használnia kell az adott munkaterületekhez konfigurált SCIM-összekötőket, amelyek párhuzamosan futnak a fiókszintű SCIM-összekötővel.
Fiókcsoportok kezelése a fiókkonzol használatával
A fiókgazdák a fiókkonzol használatával adhatnak hozzá és kezelhetnek csoportokat az Azure Databricks-fiókban. A munkaterület rendszergazdái és a csoportmenedzserek a munkaterület beállításai és a Databricks API-k segítségével kezelhetik a csoportokat. Lásd: Fiókcsoportok kezelése a munkaterület rendszergazdai beállításainak lapján , valamint fiókcsoportok kezelése az API használatával.
Csoportok hozzáadása fiókjához a fiókkonzol használatával
Ha csoportokat szeretne hozzáadni a fiókhoz a fiókkonzol használatával, tegye a következőket:
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Felhasználókezelés elemre.
- A Csoportok lapon kattintson a Csoport hozzáadása elemre.
- Adja meg a csoport nevét.
- Kattintson a Megerősítés gombra.
- Amikor a rendszer kéri, adjon hozzá felhasználókat, szolgáltatásneveket és csoportokat a csoporthoz.
Tagok hozzáadása csoporthoz a fiókkonzol használatával
Ha felhasználókat, szolgáltatásneveket és csoportokat szeretne hozzáadni egy csoporthoz a fiókkonzol használatával, tegye a következőket:
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Felhasználókezelés elemre.
- A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
- Kattintson a Tagok hozzáadása elemre.
- Keresse meg a hozzáadni kívánt felhasználót, csoportot vagy szolgáltatásnevet, és jelölje ki.
- Kattintson a Hozzáadás gombra.
Feljegyzés
A csoport fiókból való frissítése és a munkaterületeken frissített csoport között néhány perc késés van.
Szerepkörök kezelése csoporton a fiókkonzol használatával
Fontos
Ez a funkció a nyilvános előzetes verzióban érhető el.
A fiókgazdák szerepköröket adhatnak a fiókkonzol fiókcsoportjaihoz.
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Felhasználókezelés elemre.
- A Csoportok lapon keresse meg és kattintson a csoport nevére.
- Kattintson az Engedélyek fülre .
- Kattintson a Hozzáférés megadása gombra.
- Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.
- Kattintson a Mentés gombra.
Csoport nevének módosítása
A fiókgazdák a fiókkonzol használatával frissíthetik a fiókcsoportok nevét:
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Felhasználókezelés elemre.
- A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
- Kattintson a Csoportadatok elemre.
- A Név területen frissítse a nevet.
- Kattintson a Mentés gombra.
A csoportkezelők nem módosíthatják a csoport nevét a fiókkonzol használatával. Ehelyett használja a Fiókcsoportok API-t. Példa:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
A Fiókcsoportok API-val való hitelesítésről további információt az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítése című témakörben talál.
Csoport hozzárendelése munkaterülethez a fiókkonzol használatával
Ha csoportokat szeretne hozzáadni egy munkaterülethez a fiókkonzol használatával, engedélyezni kell a munkaterületet az identitás-összevonáshoz. Csak a fiókcsoportok rendelhetők hozzá a munkaterületekhez.
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Munkaterületek elemre.
- Kattintson a munkaterület nevére.
- A Permissions (Engedélyek) lapon kattintson az Add permissions (Engedélyek hozzáadása) lehetőségre.
- Keresse meg és jelölje ki a csoportot, rendelje hozzá az engedélyszintet (munkaterület felhasználója vagy rendszergazdája), majd kattintson a Mentés gombra.
Csoport eltávolítása munkaterületről a fiókkonzol használatával
Ha csoportokat szeretne eltávolítani egy munkaterületről a fiókkonzol használatával, engedélyezni kell a munkaterületet az identitás-összevonáshoz. A fiókkonzol használatával csak a fiókcsoportok távolíthatók el a munkaterületekről.
Amikor eltávolít egy fiókcsoportot egy munkaterületről, a csoporttagok már nem férhetnek hozzá a munkaterülethez, de az engedélyek megmaradnak a csoporton. Ha a csoport később visszakerül egy munkaterületre, a csoport visszanyeri a korábbi engedélyeit.
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Munkaterületek elemre.
- Kattintson a munkaterület nevére.
- Az Engedélyek lapon keresse meg a csoportot.
- Kattintson a csoportsor jobb szélén található kebab menüre, és válassza az Eltávolítás lehetőséget.
- A megerősítést kérő párbeszédpanelen kattintson az Eltávolítás gombra.
Fiókadminisztrátori szerepkörök hozzárendelése csoporthoz
A fiókkonzol használatával nem rendelheti hozzá a fiókadminisztrátori vagy piactéri rendszergazdai szerepkört egy csoporthoz, de a Fiókcsoportok API-val hozzárendelheti a csoportokhoz. Példa:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
A Fiókcsoportok API-val való hitelesítésről további információt az Azure Databricks-erőforrásokhoz való hozzáférés hitelesítése című témakörben talál.
Csoportok eltávolítása az Azure Databricks-fiókból
A fiókadminisztrátor eltávolíthat csoportokat egy Azure Databricks-fiókból. A csoportkezelők a Fiókcsoportok API használatával is eltávolíthatnak csoportokat a fiókból. Lásd: Fiókcsoportok kezelése az API használatával.
Fontos
Amikor eltávolít egy csoportot, a csoport összes felhasználója törlődik a fiókból, és elveszíti a hozzáférést azokhoz a munkaterületekhez, amelyekhez hozzáférése volt (kivéve, ha egy másik csoport tagjai, vagy közvetlenül hozzáférést kaptak a fiókhoz vagy a munkaterületekhez). A Databricks azt javasolja, hogy ne törölje a fiókszintű csoportokat, hacsak nem szeretné, hogy elveszítik a fiók összes munkaterületéhez való hozzáférést. Vegye figyelembe a felhasználók törlésének következő következményeit:
- A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-khoz
- A felhasználó tulajdonában lévő feladatok meghiúsulnak
- A felhasználó által birtokolt fürtök leállítása
- A felhasználó által létrehozott és a Futtatás tulajdonosként hitelesítő adatokkal megosztott lekérdezéseket vagy irányítópultokat egy új tulajdonoshoz kell hozzárendelni, hogy ne legyen sikertelen a megosztás
Ha el szeretne távolítani egy csoportot a fiókkonzol használatával, tegye a következőket:
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Az oldalsávon kattintson a Felhasználókezelés elemre.
- A Csoportok lapon keresse meg az eltávolítani kívánt csoportot.
- Kattintson a felhasználósor jobb szélén található kebab menüre, és válassza a Törlés lehetőséget.
- A megerősítést kérő párbeszédpanelen kattintson a Törlés megerősítése gombra.
Ha a fiókkonzol használatával távolít el egy csoportot, győződjön meg arról, hogy a csoportot a fiókhoz beállított SCIM-kiépítési összekötőkkel vagy SCIM API-alkalmazásokkal is eltávolítja. Ha nem, az SCIM kiépítése egyszerűen hozzáadja a csoportot és annak tagjait a következő szinkronizáláskor. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból.
Ha el szeretne távolítani egy csoportot egy Azure Databricks-fiókból az API használatával, olvassa el a Felhasználók és csoportok szinkronizálása az Azure Databricks-fiókhoz és a Fiókcsoportok API-hoz című témakört.
Fiókcsoportok kezelése a munkaterület rendszergazdai beállításainak lapjával
A munkaterület rendszergazdái fiókcsoportokat hozhatnak létre és kezelhetnek identitásfedezett munkaterületeken a munkaterület rendszergazdai beállításainak lapján.
Feljegyzés
A fiókcsoport munkaterületről való frissítése és a fiókban frissített csoport között néhány perc késés van.
A munkaterületek helyi csoportjainak létrehozásáról további információt a munkaterület-helyi csoportok kezelése (örökölt) című témakörben talál.
Csoport létrehozása vagy hozzárendelése munkaterülethez a munkaterület rendszergazdai beállításainak lapjával
Ha fiókcsoportot szeretne hozzárendelni vagy létrehozni egy munkaterületen a munkaterület rendszergazdai beállítások lapján, tegye a következőket:
Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
Kattintson az Identitás és hozzáférés lapra.
A Csoportok elem mellett kattintson a Kezelés gombra.
Kattintson a Csoport hozzáadása elemre.
Válasszon ki egy meglévő csoportot a munkaterülethez való hozzárendeléshez, vagy kattintson az Új hozzáadása gombra egy új fiókcsoport létrehozásához.
Feljegyzés
Ha a munkaterület nincs engedélyezve az identitás-összevonáshoz, nem rendelhet hozzá meglévő fiókcsoportokat, és nem adhat hozzá fiókcsoportokat a munkaterülethez. Ehelyett munkaterület-helyi csoportokat kell használnia, lásd: Munkaterület-helyi csoportok kezelése (örökölt).
Tagok hozzáadása csoporthoz a munkaterület rendszergazdai beállításainak lapjával
A munkaterület rendszergazdájának kell lennie ahhoz, hogy felhasználókat, szolgáltatásneveket és csoportokat vegyen fel egy fiókcsoportba a munkaterület rendszergazdai beállítások lapján. Csak olyan csoporttagokat kezelhet, amelyeken a csoportkezelői szerepkörrel rendelkezik.
Feljegyzés
Gyermekcsoportot nem adhat hozzá a admins
csoporthoz. Fiókcsoportok tagjaiként nem vehet fel munkaterületi helyi csoportokat vagy rendszercsoportokat.
Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a Fiókcsoportok API használatával kell kezelni a csoporttagságokat.
- Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
- Kattintson az Identitás és hozzáférés lapra.
- A Csoportok elem mellett kattintson a Kezelés gombra.
- Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.
- A Tagok lapon kattintson a Tagok hozzáadása elemre.
- A párbeszédpanelen tallózzon vagy keressen rá a hozzáadni kívánt felhasználókra, szolgáltatásnevekre és csoportokra, és jelölje ki őket.
- Kattintson a Megerősítés gombra.
Szerepkörök kezelése egy fiókcsoportban a munkaterület rendszergazdai beállításainak lapjával
Fontos
Ez a funkció a nyilvános előzetes verzióban érhető el.
A csoportkezelői szerepkört hozzárendelheti a felhasználókhoz, fiókcsoportokhoz és szolgáltatásnevekhez. A csoportkezelők kezelhetik a csoporttagságokat. A csoportmenedzseri szerepkört más felhasználókhoz is hozzárendelhetik.
A csoportszerepkörök a munkaterület rendszergazdai beállítások lapján történő kezeléséhez munkaterület-rendszergazdának kell lennie. Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a fiókhozzáférés-vezérlési API használatával kezelhetik a csoportszerepköröket.
Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
Kattintson az Identitás és hozzáférés lapra.
A Csoportok elem mellett kattintson a Kezelés gombra.
Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.
Kattintson az Engedélyek fülre .
Kattintson a Hozzáférés megadása gombra.
Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.
Feljegyzés
A fiókcsoportokhoz nem rendelhet hozzá munkaterület-helyi csoportokat vagy rendszercsoportszerepköröket.
Kattintson a Mentés gombra.
Szülőcsoportok megtekintése
- Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
- Kattintson az Identitás és hozzáférés lapra.
- A Csoportok elem mellett kattintson a Kezelés gombra.
- Jelölje ki a megtekinteni kívánt csoportot.
- A Szülőcsoport lapon tekintse meg a csoport szülőcsoportját.
Csoport eltávolítása egy munkaterületről a munkaterület rendszergazdai beállításainak lapjával
A csoport munkaterületről való eltávolítása nem törli a csoportot a fiókból. Amikor eltávolít egy csoportot egy munkaterületről, a csoporttagok már nem férhetnek hozzá a munkaterülethez, de az engedélyek megmaradnak a csoporton. Ha a csoport később visszakerül a munkaterületre, a csoport visszanyeri korábbi engedélyeit.
- Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
- Kattintson az Identitás és hozzáférés lapra.
- A Csoportok elem mellett kattintson a Kezelés gombra.
- Jelölje ki a csoportot, és kattintson az x Törlés gombra
- A megerősítéshez kattintson a Törlés gombra.
Fiókcsoportok kezelése az API használatával
A fiókadminisztrátorok, a munkaterület rendszergazdái és a csoportmenedzserek az Azure Databricks-fiókban a Fiókcsoportok API használatával adhatnak hozzá, törölhetnek és kezelhetnek csoportokat. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:
- Fiókadminisztrátorokat használnak
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
. - A munkaterület rendszergazdái és a csoportmenedzserek használják
{workspace-domain}/api/2.0/account/scim/v2/
.
További részletekért tekintse meg a Fiókcsoportok API-t.
Csoport hozzárendelése munkaterülethez az API használatával
A fiók- és munkaterület-rendszergazdák a Munkaterület-hozzárendelés API-val csoportokat rendelhetnek az identitás-összevonáshoz engedélyezett munkaterületekhez. A munkaterület-hozzárendelési API az Azure Databricks-fiókon és -munkaterületeken keresztül támogatott.
- Fiókadminisztrátorokat használnak
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
. - A munkaterület rendszergazdái ezt használják
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
.
Lásd: Munkaterület-hozzárendelési API.
Csoportok szerepköreinek kezelése az API használatával
Fontos
Ez a funkció a nyilvános előzetes verzióban érhető el.
A csoportkezelők a fiókhozzáférés-vezérlési API-val kezelhetik a csoportszerepköröket. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:
- Fiókadminisztrátorokat használnak
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
. - A munkaterület rendszergazdái és a csoportmenedzserek használják
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
.
Lásd: Fiókhozzáférés-vezérlési API és fiókok hozzáférés-vezérlési munkaterületének proxy API-ja.