Megosztás:

Csoportok kezelése

Ez a lap bemutatja, hogyan kezelheti az Azure Databricks-fiók és -munkaterületek csoportjait.

A csoportok áttekintését a Csoportok című témakörben tekintheti meg.

Note

Ez a lap feltételezi, hogy a munkaterületen engedélyezve van az identitás-összevonás, ami a legtöbb munkaterület esetében az alapértelmezett. Az identitás-összevonás nélküli örökölt munkaterületekről további információt az Identitás-összevonás nélküli örökölt munkaterületek című témakörben talál.

Csoportok szinkronizálása az Azure Databricks-fiókhoz a Microsoft Entra ID-bérlőből.

Automatikusan vagy SCIM-provisionálási összekötő használatával szinkronizálhat csoportokat a Microsoft Entra ID-bérlőjéről az Azure Databricks-fiókjába.

Az automatikus identitáskezelés lehetővé teszi, hogy felhasználókat, szolgáltatásneveket és csoportokat vegyen fel a Microsoft Entra ID-ból az Azure Databricksbe anélkül, hogy konfigurálnia kell egy alkalmazást a Microsoft Entra ID-ban. A Databricks a Microsoft Entra ID azonosítót használja a rekord forrásaként, így a felhasználók vagy csoporttagságok módosításait az Azure Databricks tiszteletben tartja. Az automatikus identitáskezelés támogatja a beágyazott csoportokat. Az automatikus identitáskezelés alapértelmezés szerint engedélyezve van a 2025. augusztus 1. után létrehozott fiókok esetében. További információ: Felhasználók és csoportok automatikus szinkronizálása a Microsoft Entra-azonosítóból.

Az SCIM kiépítése lehetővé teszi egy vállalati alkalmazás konfigurálását a Microsoft Entra-azonosítóban, hogy a felhasználók és csoportok szinkronban maradjanak a Microsoft Entra-azonosítóval. Az SCIM kiépítése nem támogatja a beágyazott csoportokat. Útmutatásért lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból az SCIM használatával.

Csoportok hozzáadása a fiókhoz

A fiókadminisztrátorok és a munkaterület rendszergazdái csoportokat adhatnak az Azure Databricks-fiókhoz a fiókkonzol vagy a munkaterület rendszergazdai beállításainak lapján.

Fiók kezelőfelület

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon kattintson a Csoport hozzáadása elemre.
  4. Adja meg a csoport nevét.
  5. Kattintson a Megerősítés gombra.
  6. Amikor a rendszer kéri, adjon hozzá felhasználókat, szolgáltatásneveket és csoportokat a csoporthoz.

Munkaterület rendszergazdai beállításai

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés fülre.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Kattintson a Csoport hozzáadása elemre.
  6. Kattintson az Új hozzáadása gombra.
  7. Adja meg a csoport nevét.
  8. Kattintson a Hozzáadás gombra.

Tagok hozzáadása csoporthoz

A fiókadminisztrátorok és a munkaterület rendszergazdái csoportokat adhatnak az Azure Databricks-fiókhoz a fiókkonzol vagy a munkaterület rendszergazdai beállításainak lapján. Azok a csoportmenedzserek, akik nem munkaterület-rendszergazdák, a Fiókcsoportok API használatával kell, hogy kezeljék a csoporttagságokat.

Note

Ha a külső csoportokat szinkronizálni szeretné a Microsoft Entra-azonosítóval, alapértelmezés szerint nem kezelheti a külső csoportok tagságát a fiókkonzolon. Ha frissíteni szeretné a külső csoporttagságot az Azure Databricks felhasználói felületén, a fiókadminisztrátor letilthatja az Immutable külső csoportok előzetes verziót a fiókkonzol előzetes lapján. Az automatikus identitáskezeléssel felügyelt külső csoportok még akkor sem frissíthetők az Azure Databricksben, ha a nem módosítható külső csoportok előzetes verziója le van tiltva.

Fiók kezelőfelület

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
  4. Kattintson a Tagok hozzáadása elemre.
  5. Keresse meg a hozzáadni kívánt felhasználót, csoportot vagy szolgáltatásnevet, és jelölje ki.
  6. Kattintson a Hozzáadás gombra.

A csoport frissítése és a csoporttagság teljes propagálása között néhány perc késés van az összes rendszerben.

Munkaterület rendszergazdai beállításai

Note

Gyermekcsoportot nem adhat hozzá a admins csoporthoz. Fiókcsoportok tagjaiként nem vehet fel munkaterületi helyi csoportokat vagy rendszercsoportokat.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés fülre.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.
  6. A Tagok lapon kattintson a Tagok hozzáadása elemre.
  7. A párbeszédpanelen tallózzon vagy keressen rá a hozzáadni kívánt felhasználókra, szolgáltatásnevekre és csoportokra, és jelölje ki őket.
  8. Kattintson a Megerősítés gombra.

Csoport nevének módosítása

A fiókadminisztrátor a fiókkonzol használatával frissítheti a csoportok nevét, a csoportkezelők pedig a Fiókcsoportok API-val frissíthetik a csoportok nevét. Ha a külső csoportokat szinkronizálni szeretné a Microsoft Entra-azonosítóval, alapértelmezés szerint nem módosíthatja a külső csoportok nevét a fiókkonzolon.

Fiók kezelőfelület

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon válassza ki a frissíteni kívánt csoportot.
  4. Kattintson a Csoportinformációkra.
  5. A Név területen frissítse a nevet.
  6. Kattintson a Mentés lehetőségre.

Fiókcsoportok API

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

A Fiókcsoportok API-val való hitelesítésről további információt az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése című témakörben talál.

Csoport hozzárendelése munkaterülethez

A fiókadminisztrátor és a munkaterület rendszergazdái csoportokat rendelhetnek egy Azure Databricks-munkaterülethez a fiókkonzol vagy a munkaterület rendszergazdai beállításainak lapján.

Fiók kezelőfelület

A munkaterület-helyi csoportok nem rendelhetők hozzá a munkaterületekhez a fiókkonzol használatával.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. A Permissions (Engedélyek) lapon kattintson az Add permissions (Engedélyek hozzáadása) lehetőségre.
  5. Keresse meg és jelölje ki a csoportot, rendelje hozzá az engedélyszintet (munkaterület felhasználója vagy rendszergazdája), majd kattintson a Mentés gombra.

Munkaterület rendszergazdai beállításai

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés fülre.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Kattintson a Csoport hozzáadása elemre.
  6. Válassza ki a munkaterülethez hozzárendelni kívánt meglévő csoportot.
  7. Kattintson a Hozzáadás gombra.

Csoport eltávolítása munkaterületről

Amikor eltávolít egy fiókcsoportot egy munkaterületről, a csoporttagok már nem férhetnek hozzá a munkaterülethez, de az engedélyek megmaradnak a csoporton. Ha a csoport később visszakerül egy munkaterületre, a csoport visszanyeri a korábbi engedélyeit.

A fiókadminisztrátor és a munkaterület rendszergazdái a fiókkonzol vagy a munkaterület rendszergazdai beállításainak lapján távolíthatnak el egy csoportot egy Azure Databricks-munkaterületről.

Fiók kezelőfelület

A munkaterület helyi csoportjai nem távolíthatók el a munkaterületekről a fiókkonzol használatával.

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Munkaterületek elemre.
  3. Kattintson a munkaterület nevére.
  4. Az Engedélyek lapon keresse meg a csoportot.
  5. Kattintson a Kebab menü ikonra. kebab menü a csoportsor jobb szélén, és válassza az Eltávolítás lehetőséget.
  6. A megerősítést kérő párbeszédpanelen kattintson az Eltávolítás gombra.

Munkaterület rendszergazdai beállításai

Note

Nem távolíthatja el a munkaterülethez közvetetten hozzárendelt csoportokat egy másik csoport tagságán keresztül. A csoportok eltávolításához vagy el kell távolítania őket a szülőcsoportból, vagy el kell távolítania őket a fiók szintjén.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés fülre.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a csoportot, és kattintson az x Törlés gombra
  6. A megerősítéshez kattintson a Törlés gombra.

Szerepkörök kezelése egy csoportban

Important

Ez a funkció nyilvános előzetes verzióban van.

A fiókadminisztrátor szerepköröket adhat a fiókkonzolon lévő csoportokhoz, a munkaterület rendszergazdája pedig a csoportszerepköröket a munkaterület rendszergazdai beállításainak lapján kezelheti. Azok a csoportmenedzserek, amelyek nem munkaterület-rendszergazdák, a fiókhozzáférés-vezérlési API használatával kezelhetik a csoportszerepköröket.

Fiók kezelőfelület

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon keresse meg és kattintson a csoport nevére.
  4. Kattintson az Engedélyek fülre .
  5. Kattintson a Hozzáférés engedélyezésegombra.
  6. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.
  7. Kattintson a Mentés lehetőségre.

Munkaterület rendszergazdai beállításai

A fiókcsoportokhoz nem rendelhet hozzá munkaterület-helyi csoportokat vagy rendszercsoportszerepköröket.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés fülre.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a frissíteni kívánt csoportot. A frissítéshez rendelkeznie kell a csoportmenedzseri szerepkörrel.
  6. Kattintson az Engedélyek fülre .
  7. Kattintson a Hozzáférés engedélyezésegombra.
  8. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, majd válassza ki a Csoport: Felettes szerepkört.
  9. Kattintson a Mentés lehetőségre.

Fiókadminisztrátori szerepkörök hozzárendelése csoporthoz

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon keresse meg és kattintson a csoport nevére.
  4. Kattintson a Szerepkörök fülre.
  5. Válassza a Fiókadminisztrátor lehetőséget.

A fiókkonzol használatával nem rendelheti hozzá a számlázási rendszergazdai vagy marketplace-rendszergazdai szerepköröket a csoportokhoz. A szerepkörök csoportokhoz való hozzárendeléséhez használja az Account Access Control API-t a következő szerepkör-azonosítókkal:

  • roles/billing.admin számlázási rendszergazda számára
  • roles/marketplace.admin Marketplace-rendszergazda számára

Szülőcsoportok megtekintése

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Csoportok elem mellett kattintson a Kezelés gombra.
  5. Jelölje ki a megtekinteni kívánt csoportot.
  6. A Szülőcsoport lapon tekintse meg a csoport szülőcsoportját.

Csoportok eltávolítása az Azure Databricks-fiókból

A fiókadminisztrátor eltávolíthat csoportokat egy Azure Databricks-fiókból. A csoportkezelők a Fiókcsoportok API használatával is eltávolíthatnak csoportokat a fiókból. Lásd: Csoportok kezelése az API használatával. Ha eltávolít egy csoportot a fiókkonzol használatával, győződjön meg arról, hogy ugyanakkor eltávolítja a csoportot bármelyik SCIM-kiépítési összekötő vagy SCIM API-alkalmazás segítségével is, amelyek a fiókhoz lettek beállítva. Ha nem teszed meg, a SCIM automatikus kiépítése újra hozzáadja a csoportot és annak tagjait a következő szinkronizáláskor. Lásd: Felhasználók és csoportok szinkronizálása a Microsoft Entra-azonosítóból az SCIM használatával.

Important

Amikor eltávolít egy csoportot, a csoport összes felhasználója törlődik a fiókból, és elveszíti a hozzáférést azokhoz a munkaterületekhez, amelyekhez hozzáférése volt (kivéve, ha egy másik csoport tagjai, vagy közvetlenül hozzáférést kaptak a fiókhoz vagy a munkaterületekhez). A Databricks azt javasolja, hogy ne törölje a fiókszintű csoportokat, hacsak nem szeretné, hogy elveszítik a fiók összes munkaterületéhez való hozzáférést. Vegye figyelembe a felhasználók törlésének következő következményeit:

  • A felhasználó által létrehozott jogkivonatokat használó alkalmazások vagy szkriptek már nem férhetnek hozzá a Databricks API-khoz.
  • A felhasználó tulajdonában lévő feladatok sikertelenek.
  • A felhasználó tulajdonában lévő fürtök leállnak.
  • A felhasználó által telepített kódtárak érvénytelenek, ezért újra kell telepíteni.
  • A felhasználó által létrehozott lekérdezéseket vagy irányítópultokat, amelyeket a „Tulajdonosként futtatás” hitelesítővel osztottak meg, egy új tulajdonoshoz kell rendelni, hogy elkerüljük a megosztás sikertelenségét.

Ha el szeretne távolítani egy csoportot a fiókkonzol használatával, tegye a következőket:

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Csoportok lapon keresse meg az eltávolítani kívánt csoportot.
  4. Kattintson a Kebab menü ikonra. kebab menü a felhasználói sor jobb szélén, és válassza a Törlés lehetőséget.
  5. A megerősítést kérő párbeszédpanelen kattintson a Törlés megerősítése gombra.

Note

Ha engedélyezve van az automatikus identitáskezelés, a Microsoft Entra-azonosítóban lévő csoportok láthatók a fiókkonzolon. Egy csoport inaktívként jelenik meg : Nincs használat , ha nem lett hozzáadva egy munkaterülethez. Ezek a csoportok nem távolíthatók el a csoportok listájából. Nem számítanak bele a csoportos korlátozásokba.

Csoportok kezelése az API használatával

A fiókadminisztrátorok, a munkaterület rendszergazdái és a csoportmenedzserek az Azure Databricks-fiókban a Fiókcsoportok API használatával adhatnak hozzá, törölhetnek és kezelhetnek csoportokat. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:

  • A fiókadminisztrátorok használják a {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • A munkaterület rendszergazdái és a csoportmenedzserek használják {workspace-domain}/api/2.0/account/scim/v2/.

További részletekért tekintse meg a Fiókcsoportok API-t.

A fiók- és munkaterület-rendszergazdák a Munkaterület-hozzárendelés API használatával rendelhetnek csoportokat a munkaterületekhez. A munkaterület-hozzárendelési API az Azure Databricks-fiókon és -munkaterületeken keresztül támogatott.

  • A fiókadminisztrátorok használják a {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • A munkaterület rendszergazdái a {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}-t használják.

Lásd: Munkaterület-hozzárendelési API.

Szerepkörök kezelése egy csoportban az API használatával

Important

Ez a funkció nyilvános előzetes verzióban van.

A csoportkezelők a fiókhozzáférés-vezérlési API-val kezelhetik a csoportszerepköröket. A fiókadminisztrátoroknak, a munkaterület rendszergazdáinak és a csoportmenedzsereknek egy másik végponti URL-cím használatával kell meghívniuk az API-t:

  • A fiókadminisztrátorok használják a {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • A munkaterület rendszergazdái és a csoportmenedzserek használják {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Lásd: Fiókhozzáférés-vezérlési API és fiókok hozzáférés-vezérlési munkaterületének proxy API-ja.

API-példák csoportok kezelésére

Az alábbi példák azt mutatják be, hogy a munkaterület rendszergazdái hogyan használhatják a Fiókcsoportok API-t és a Munkaterület-hozzárendelés API-t a csoportok kezeléséhez. A munkaterület rendszergazdái API-jogkivonat használatával hitelesítik a munkaterületüket.

Fiókcsoport létrehozása

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

Ez az új fiókcsoport csoportazonosítóját adja vissza. Mentse referenciaként az alábbi API-példákban.

Csoport hozzáadása a munkaterülethez

Az alábbi példa egy csoportot ad hozzá a munkaterülethez a munkaterület felhasználói engedélyeivel. A ["ADMIN" értékre is beállíthatja permissions a csoport számára a munkaterület-rendszergazdai szerepkört.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

Csoport eltávolítása a munkaterületről

Az alábbi példa eltávolít egy csoportot a munkaterületről. Ha eltávolít egy csoportot a munkaterületről, az nem törli a csoportot a fiókból.

Note

Nem távolíthatja el a munkaterülethez közvetetten hozzárendelt csoportokat egy másik csoport tagságán keresztül. A csoportok eltávolításához vagy el kell távolítania őket a szülőcsoportból, vagy el kell távolítania őket a fiók szintjén.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

Tag hozzáadása csoporthoz

curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
  • Last updated on