Megosztás a következőn keresztül:

Csoportok kezelése

  • Cikk

Ez a cikk bemutatja, hogyan hozhatják létre és kezelhetik a rendszergazdák az Azure Databricks-csoportokat. Az Azure Databricks identitásmodelljének áttekintéséért tekintse meg az Azure Databricks-identitásokat.

A csoportok hozzáférésének kezelésével kapcsolatban lásd : Hitelesítés és hozzáférés-vezérlés.

A csoportkezelés áttekintése

A csoportok egyszerűbbé teszik az identitáskezelést azáltal, hogy egyszerűbbé teszik a munkaterületekhez, adatokhoz és más biztonságos objektumokhoz való hozzáférést. Minden Databricks-identitás csoporttagként rendelhető hozzá.

Különbség a fiókcsoportok és a munkaterület helyi csoportjai között

Az Azure Databricks a fiókcsoportok és az örökölt munkaterület-helyi csoportok fogalmával rendelkezik:

  • A fiókcsoportok hozzáférést kaphatnak egy Unity Catalog-metaadattár adataihoz, szerepköröket adhatnak a szolgáltatásnevekhez és csoportokhoz, valamint engedélyeket adhatnak az identitásösszetett munkaterületekhez.
  • A munkaterület helyi csoportjai örökölt csoportok. Ezek a csoportok munkaterület-helyiként vannak azonosítva a munkaterület rendszergazdai beállításainak lapján. A munkaterület-helyi csoportok nem rendelhetők hozzá további munkaterületekhez, és nem adhatnak hozzáférést az adatokhoz a Unity Catalog metaadattárában. A munkaterület-helyi csoportok nem adhatnak fiókszintű szerepköröket. A munkaterület-helyi csoportokról további információt a Munkaterület-helyi csoportok kezelése (örökölt) című témakörben talál.

Mindegyik munkaterületen két rendszercsoport található: users és admins. Minden munkaterület-felhasználó a users csoport tagja, és minden munkaterület-rendszergazda a admins csoport tagja. A rendszercsoportok munkaterület-helyi csoportok. A rendszercsoportok nem törölhetők.

A Databricks azt javasolja, hogy a meglévő munkaterület-helyi csoportokat fiókcsoportokká alakítsa, hogy kihasználhassa a központosított munkaterület-hozzárendelés és az adathozzáférés-kezelés előnyeit a Unity Catalog használatával. Lásd: Munkaterület-helyi csoportok migrálása fiókcsoportokba.

Feljegyzés

Az Azure-beli munkaterület-erőforrás beépített közreműködői vagy tulajdonosi szerepkörrel rendelkező felhasználói automatikusan hozzá lesznek rendelve a munkaterületcsoporthoz admins . További információ: Előfizetés kezelése.

Ki kezelheti a fiókcsoportokat?

Ha fiókcsoportokat szeretne létrehozni az Azure Databricksben, fiókadminisztrátornak vagy munkaterület-rendszergazdának kell lennie. Fiókcsoport létrehozásához a munkaterület rendszergazdáinak identitás által összevont munkaterületeken kell lenniük.

A fiókcsoportok Azure Databricksben való kezeléséhez csoportmenedzseri szerepkörrel (nyilvános előzetes verzió) kell rendelkeznie egy csoportban. A csoportkezelők kezelhetik a csoporttagságokat, és törölhetik a csoportot. Más felhasználókat is hozzárendelhetnek a csoportkezelői szerepkörhöz. A fiókadminisztrátor a fiókkonzolon keresztül kezelheti a csoportszerepköröket, a munkaterület rendszergazdái pedig a csoportszerepköröket a munkaterület rendszergazdai beállításainak lapján kezelhetik. Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a fiókhozzáférés-vezérlési API-val kezelhetik a csoportszerepköröket.

A fiókadminisztrátor fiókszintű csoportkezelői szerepkörrel rendelkezik, ami azt jelenti, hogy a fiók összes csoportjában csoportkezelői szerepkörrel rendelkeznek. A munkaterület-rendszergazdák csoportkezelői szerepkörrel rendelkeznek az általuk létrehozott fiókcsoportokban.

A munkaterület rendszergazdái munkaterület-helyi csoportokat is létrehozhatnak és kezelhetnek.

Csoportok szinkronizálása az Azure Databricks-fiókhoz a Microsoft Entra-azonosító (korábbi nevén Azure Active Directory) bérlőjéről

A csoportokat a Microsoft Entra ID (korábbi nevén Azure Active Directory) bérlőről szinkronizálhatja az Azure Databricks-fiókjába egy SCIM kiépítési összekötő használatával. Útmutatásért lásd : Identitások kiépítése Az Azure Databricks-fiókhoz a Microsoft Entra ID használatával.

Fontos

Ha olyan SCIM-összekötőkkel rendelkezik, amelyek közvetlenül szinkronizálják az identitásokat a munkaterületekkel , és ezek a munkaterületek engedélyezve vannak az identitásösszevonáshoz, javasoljuk, hogy a fiókszintű SCIM-összekötő engedélyezésekor tiltsa le ezeket az SCIM-összekötőket. Ha olyan munkaterületei vannak, amelyek nem használnak identitás-összevonást, továbbra is használnia kell az adott munkaterületekhez konfigurált SCIM-összekötőket, amelyek párhuzamosan futnak a fiókszintű SCIM-összekötővel.

Fiókcsoportok kezelése a fiókkonzol használatával

A fiókgazdák a fiókkonzol használatával adhatnak hozzá és kezelhetnek csoportokat az Azure Databricks-fiókban. A munkaterület rendszergazdái és a csoportmenedzserek a munkaterület beállításai és a Databricks API-k segítségével kezelhetik a csoportokat. Lásd: Fiókcsoportok kezelése a munkaterület rendszergazdai beállításainak lapján , valamint fiókcsoportok kezelése az API használatával.

Csoportok hozzáadása fiókjához a fiókkonzol használatával

Ha csoportokat szeretne hozzáadni a fiókhoz a fiókkonzol használatával, tegye a következőket:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon kattintson a Csoport hozzáadása elemre.
  4. Adja meg a csoport nevét.
  5. Kattintson a Megerősítés gombra.
  6. Amikor a rendszer kéri, adjon hozzá felhasználókat, szolgáltatásneveket és csoportokat a csoporthoz.

Tagok hozzáadása csoporthoz a fiókkonzol használatával

Ha felhasználókat, szolgáltatásneveket és csoportokat szeretne hozzáadni egy csoporthoz a fiókkonzol használatával, tegye a következőket:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
  4. Kattintson a Tagok hozzáadása elemre.
  5. Keresse meg a hozzáadni kívánt felhasználót, csoportot vagy szolgáltatásnevet, és jelölje ki.
  6. Kattintson a Hozzáadás gombra.

Feljegyzés

A csoport fiókból való frissítése és a munkaterületeken frissített csoport között néhány perc késés van.

Szerepkörök kezelése csoporton a fiókkonzol használatával

Fontos

Ez a funkció a nyilvános előzetes verzióban érhető el.

A fiókgazdák szerepköröket adhatnak a fiókkonzol fiókcsoportjaihoz.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon keresse meg és kattintson a csoport nevére.
  4. Kattintson az Engedélyek fülre .
  5. Kattintson a Hozzáférés megadása gombra.
  6. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.
  7. Kattintson a Mentés gombra.

Csoport nevének módosítása

A fiókgazdák a fiókkonzol használatával frissíthetik a fiókcsoportok nevét:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
  4. Kattintson a Csoportadatok elemre.
  5. A Név területen frissítse a nevet.
  6. Kattintson a Mentés gombra.

A csoportkezelők nem módosíthatják a csoport nevét a fiókkonzol használatával. Ehelyett használja a Fiókcsoportok API-t. Példa:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Az Account Groups API-val való hitelesítésről további információt az Azure Databricks automation hitelesítése – áttekintés című témakörben talál.

Csoport hozzárendelése munkaterülethez a fiókkonzol használatával

Ha csoportokat szeretne hozzáadni egy munkaterülethez a fiókkonzol használatával, engedélyezni kell a munkaterületet az identitás-összevonáshoz. Csak a fiókcsoportok rendelhetők hozzá a munkaterületekhez.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. A Permissions (Engedélyek) lapon kattintson az Add permissions (Engedélyek hozzáadása) lehetőségre.
  5. Keresse meg és jelölje ki a csoportot, rendelje hozzá az engedélyszintet (munkaterület felhasználója vagy rendszergazdája), majd kattintson a Mentés gombra.

Csoport eltávolítása munkaterületről a fiókkonzol használatával

Ha csoportokat szeretne eltávolítani egy munkaterületről a fiókkonzol használatával, engedélyezni kell a munkaterületet az identitás-összevonáshoz. A fiókkonzol használatával csak a fiókcsoportok távolíthatók el a munkaterületekről.

Amikor eltávolít egy fiókcsoportot egy munkaterületről, a csoporttagok már nem férhetnek hozzá a munkaterülethez, de az engedélyek megmaradnak a csoporton. Ha a csoport később visszakerül egy munkaterületre, a csoport visszanyeri a korábbi engedélyeit.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. Az Engedélyek lapon keresse meg a csoportot.
  5. Kattintson a Kebab menü csoportsor jobb szélén található kebab menüre, és válassza az Eltávolítás lehetőséget.
  6. A megerősítést kérő párbeszédpanelen kattintson az Eltávolítás gombra.

Fiókadminisztrátori szerepkörök hozzárendelése csoporthoz

A fiókkonzol használatával nem rendelheti hozzá a fiókadminisztrátori vagy piactéri rendszergazdai szerepkört egy csoporthoz, de a Fiókcsoportok API-val hozzárendelheti a csoportokhoz. Példa:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Az Account Groups API-val való hitelesítésről további információt az Azure Databricks automation hitelesítése – áttekintés című témakörben talál.

Csoportok eltávolítása az Azure Databricks-fiókból

A fiókadminisztrátor eltávolíthat csoportokat egy Azure Databricks-fiókból. A csoportkezelők a Fiókcsoportok API használatával is eltávolíthatnak csoportokat a fiókból. Lásd: Fiókcsoportok kezelése az API használatával.

Fontos

Amikor eltávolít egy csoportot, a csoport összes felhasználója törlődik a fiókból, és elveszíti a hozzáférést azokhoz a munkaterületekhez, amelyekhez hozzáférése volt (kivéve, ha egy másik csoport tagjai, vagy közvetlenül hozzáférést kaptak a fiókhoz vagy a munkaterületekhez). A Databricks azt javasolja, hogy ne törölje a fiókszintű csoportokat, hacsak nem szeretné, hogy elveszítik a fiók összes munkaterületéhez való hozzáférést. Vegye figyelembe a felhasználók törlésének következő következményeit:

  • A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-khoz
  • A felhasználó tulajdonában lévő feladatok meghiúsulnak
  • A felhasználó által birtokolt fürtök leállítása
  • A felhasználó által létrehozott és a Futtatás tulajdonosként hitelesítő adatokkal megosztott lekérdezéseket vagy irányítópultokat egy új tulajdonoshoz kell hozzárendelni, hogy ne legyen sikertelen a megosztás

Ha el szeretne távolítani egy csoportot a fiókkonzol használatával, tegye a következőket:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon keresse meg az eltávolítani kívánt csoportot.
  4. Kattintson a Kebab menüfelhasználósor jobb szélén található kebab menüre, és válassza a Törlés lehetőséget.
  5. A megerősítést kérő párbeszédpanelen kattintson a Törlés megerősítése gombra.

Ha a fiókkonzol használatával távolít el egy csoportot, győződjön meg arról, hogy a csoportot a fiókhoz beállított SCIM-kiépítési összekötőkkel vagy SCIM API-alkalmazásokkal is eltávolítja. Ha nem, az SCIM kiépítése egyszerűen hozzáadja a csoportot és annak tagjait a következő szinkronizáláskor. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból.

Ha el szeretne távolítani egy csoportot egy Azure Databricks-fiókból az API használatával, olvassa el az Identitások kiépítése az Azure Databricks-fiókhoz és a Fiókcsoportok API-hoz című témakört.

Fiókcsoportok kezelése a munkaterület rendszergazdai beállításainak lapjával

A munkaterület rendszergazdái fiókcsoportokat hozhatnak létre és kezelhetnek identitásfedezett munkaterületeken a munkaterület rendszergazdai beállításainak lapján.

Feljegyzés

A fiókcsoport munkaterületről való frissítése és a fiókban frissített csoport között néhány perc késés van.

A munkaterületek helyi csoportjainak létrehozásáról további információt a munkaterület-helyi csoportok kezelése (örökölt) című témakörben talál.

Csoport létrehozása vagy hozzárendelése munkaterülethez a munkaterület rendszergazdai beállításainak lapjával

Ha fiókcsoportot szeretne hozzárendelni vagy létrehozni egy munkaterületen a munkaterület rendszergazdai beállítások lapján, tegye a következőket:

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.

  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.

  3. Kattintson az Identitás és hozzáférés lapra.

  4. A Csoportok elem mellett kattintson a Kezelés gombra.

  5. Kattintson a Csoport hozzáadása elemre.

  6. Válasszon ki egy meglévő csoportot a munkaterülethez való hozzárendeléshez, vagy kattintson az Új hozzáadása gombra egy új fiókcsoport létrehozásához.

    Feljegyzés

    Ha a munkaterület nincs engedélyezve az identitás-összevonáshoz, nem rendelhet hozzá meglévő fiókcsoportokat, és nem adhat hozzá fiókcsoportokat a munkaterülethez. Ehelyett munkaterület-helyi csoportokat kell használnia, lásd: Munkaterület-helyi csoportok kezelése (örökölt).

Tagok hozzáadása csoporthoz a munkaterület rendszergazdai beállításainak lapjával

A munkaterület rendszergazdájának kell lennie ahhoz, hogy felhasználókat, szolgáltatásneveket és csoportokat vegyen fel egy fiókcsoportba a munkaterület rendszergazdai beállítások lapján. Csak olyan csoporttagokat kezelhet, amelyeken a csoportkezelői szerepkörrel rendelkezik.

Feljegyzés

Gyermekcsoportot nem adhat hozzá a admins csoporthoz. Fiókcsoportok tagjaiként nem vehet fel munkaterületi helyi csoportokat vagy rendszercsoportokat.

Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a Fiókcsoportok API használatával kell kezelni a csoporttagságokat.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.
  6. A Tagok lapon kattintson a Tagok hozzáadása elemre.
  7. A párbeszédpanelen tallózzon vagy keressen rá a hozzáadni kívánt felhasználókra, szolgáltatásnevekre és csoportokra, és jelölje ki őket.
  8. Kattintson a Megerősítés gombra.

Szerepkörök kezelése egy fiókcsoportban a munkaterület rendszergazdai beállításainak lapjával

Fontos

Ez a funkció a nyilvános előzetes verzióban érhető el.

A csoportkezelői szerepkört hozzárendelheti a felhasználókhoz, fiókcsoportokhoz és szolgáltatásnevekhez. A csoportkezelők kezelhetik a csoporttagságokat. A csoportmenedzseri szerepkört más felhasználókhoz is hozzárendelhetik.

A csoportszerepkörök a munkaterület rendszergazdai beállítások lapján történő kezeléséhez munkaterület-rendszergazdának kell lennie. Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a fiókhozzáférés-vezérlési API használatával kezelhetik a csoportszerepköröket.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.

  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.

  3. Kattintson az Identitás és hozzáférés lapra.

  4. A Csoportok elem mellett kattintson a Kezelés gombra.

  5. Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.

  6. Kattintson az Engedélyek fülre .

  7. Kattintson a Hozzáférés megadása gombra.

  8. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.

    Feljegyzés

    A fiókcsoportokhoz nem rendelhet hozzá munkaterület-helyi csoportokat vagy rendszercsoportszerepköröket.

  9. Kattintson a Mentés gombra.

Szülőcsoportok megtekintése

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a megtekinteni kívánt csoportot.
  6. A Szülőcsoport lapon tekintse meg a csoport szülőcsoportját.

Csoport eltávolítása egy munkaterületről a munkaterület rendszergazdai beállításainak lapjával

A csoport munkaterületről való eltávolítása nem törli a csoportot a fiókból. Amikor eltávolít egy csoportot egy munkaterületről, a csoporttagok már nem férhetnek hozzá a munkaterülethez, de az engedélyek megmaradnak a csoporton. Ha a csoport később visszakerül a munkaterületre, a csoport visszanyeri korábbi engedélyeit.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a csoportot, és kattintson az x Törlés gombra
  6. A megerősítéshez kattintson a Törlés gombra.

Fiókcsoportok kezelése az API használatával

A fiókadminisztrátorok, a munkaterület rendszergazdái és a csoportmenedzserek az Azure Databricks-fiókban a Fiókcsoportok API használatával adhatnak hozzá, törölhetnek és kezelhetnek csoportokat. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:

  • Fiókadminisztrátorokat használnak {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • A munkaterület rendszergazdái és a csoportmenedzserek használják {workspace-domain}/api/2.0/account/scim/v2/.

További részletekért tekintse meg a Fiókcsoportok API-t.

Csoport hozzárendelése munkaterülethez az API használatával

A fiók- és munkaterület-rendszergazdák a Munkaterület-hozzárendelés API-val csoportokat rendelhetnek az identitás-összevonáshoz engedélyezett munkaterületekhez. A munkaterület-hozzárendelési API az Azure Databricks-fiókon és -munkaterületeken keresztül támogatott.

  • Fiókadminisztrátorokat használnak {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • A munkaterület rendszergazdái ezt használják {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Lásd: Munkaterület-hozzárendelési API.

Csoportok szerepköreinek kezelése az API használatával

Fontos

Ez a funkció a nyilvános előzetes verzióban érhető el.

A csoportkezelők a fiókhozzáférés-vezérlési API-val kezelhetik a csoportszerepköröket. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:

  • Fiókadminisztrátorokat használnak {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • A munkaterület rendszergazdái és a csoportmenedzserek használják {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Lásd: Fiókhozzáférés-vezérlési API és fiókok hozzáférés-vezérlési munkaterületének proxy API-ja.