Share via

Kelola grup

  • Artikel

Artikel ini menjelaskan cara admin membuat dan mengelola grup Azure Databricks. Untuk gambaran umum model identitas Azure Databricks, lihat Identitas Azure Databricks.

Untuk mengelola akses untuk grup, lihat Autentikasi dan kontrol akses.

Ringkasan manajemen grup

Grup menyederhanakan manajemen identitas dengan membuat penetapan akses ke ruang kerja, data, dan objek yang dapat diamankan lainnya lebih mudah. Semua identitas Databricks dapat ditetapkan sebagai anggota grup.

Perbedaan antara grup akun dan grup ruang kerja-lokal

Azure Databricks memiliki konsep grup akun dan grup lokal ruang kerja warisan:

  • Grup akun dapat diberikan akses ke data dalam metastore Unity Catalog , peran yang diberikan pada perwakilan layanan dan grup, dan izin ke ruang kerja federasi identitas.
  • Grup ruang kerja-lokal adalah grup warisan. Grup ini diidentifikasi sebagai workspace-local di halaman pengaturan admin ruang kerja. Grup lokal ruang kerja tidak dapat ditetapkan ke ruang kerja tambahan atau diberikan akses ke data dalam metastore Unity Catalog. Grup workspace-local tidak dapat diberikan peran tingkat akun. Untuk informasi selengkapnya tentang grup ruang kerja-lokal, lihat Mengelola grup ruang kerja-lokal (warisan).

Ada dua grup sistem di setiap ruang kerja: users dan admins. Semua pengguna ruang kerja adalah anggota users grup dan semua admin ruang kerja adalah anggota admins grup. Grup sistem adalah grup ruang kerja-lokal. Grup sistem tidak dapat dihapus.

Databricks merekomendasikan untuk mengubah grup ruang kerja-lokal yang ada menjadi grup akun untuk memanfaatkan penetapan ruang kerja terpusat dan manajemen akses data menggunakan Unity Catalog. Lihat Memigrasikan grup ruang kerja-lokal ke grup akun.

Catatan

Pengguna dengan peran Kontributor atau Pemilik bawaan pada sumber daya ruang kerja di Azure secara otomatis ditetapkan ke grup ruang admins kerja. Untuk informasi selengkapnya, lihat Mengelola langganan Anda.

Siapa dapat mengelola grup akun?

Untuk membuat grup akun di Azure Databricks, Anda harus menjadi admin akun atau admin ruang kerja. Admin ruang kerja harus berada di ruang kerja gabungan identitas untuk membuat grup akun.

Untuk mengelola grup akun di Azure Databricks, Anda harus memiliki peran manajer grup (Pratinjau Umum) pada grup. Manajer grup dapat mengelola keanggotaan grup dan menghapus grup. Mereka juga dapat menetapkan peran manajer grup kepada pengguna lain. Admin akun dapat mengelola peran grup menggunakan konsol akun, dan admin ruang kerja dapat mengelola peran grup menggunakan halaman pengaturan admin ruang kerja. Manajer grup yang bukan admin ruang kerja dapat mengelola peran grup menggunakan API Kontrol Akses Akun.

Admin akun memiliki peran manajer grup di tingkat akun, yang berarti mereka memiliki peran manajer grup pada semua grup di akun. Admin ruang kerja memiliki peran manajer grup pada grup akun yang mereka buat.

Admin ruang kerja juga dapat membuat dan mengelola grup ruang kerja-lokal.

Menyinkronkan grup ke akun Azure Databricks Anda dari penyewa ID Microsoft Entra (sebelumnya Azure Active Directory) Anda

Anda dapat menyinkronkan grup dari penyewa MICROSOFT Entra ID (sebelumnya Azure Active Directory) ke akun Azure Databricks Anda menggunakan konektor provisi SCIM. Untuk petunjuknya, lihat Memprovisikan identitas ke akun Azure Databricks Anda menggunakan ID Microsoft Entra.

Penting

Jika Anda memiliki konektor SCIM yang menyinkronkan identitas langsung ke ruang kerja Anda dan ruang kerja tersebut diaktifkan untuk federasi identitas, kami sarankan Anda menonaktifkan konektor SCIM tersebut saat konektor SCIM tingkat akun diaktifkan. Jika Anda memiliki ruang kerja yang tidak menggunakan federasi identitas, Anda harus terus menggunakan konektor SCIM apa pun yang telah Anda konfigurasi untuk ruang kerja tersebut, berjalan secara paralel dengan konektor SCIM tingkat akun.

Mengelola grup akun menggunakan konsol akun

Admin akun dapat menambahkan dan mengelola grup di akun Azure Databricks menggunakan konsol akun. Admin ruang kerja dan manajer grup dapat mengelola grup menggunakan halaman pengaturan ruang kerja dan API Databricks. Lihat Mengelola grup akun menggunakan halaman pengaturan admin ruang kerja dan Mengelola grup akun menggunakan API.

Menambahkan grup ke akun Anda menggunakan konsol akun

Untuk menambahkan grup ke akun menggunakan konsol akun, lakukan hal berikut:

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Grup, klik Tambahkan grup.
  4. Masukkan nama untuk grup tersebut.
  5. Klik Konfirmasi.
  6. Saat diminta, tambahkan pengguna, perwakilan layanan, dan grup ke grup.

Menambahkan anggota ke grup menggunakan konsol akun

Untuk menambahkan pengguna, perwakilan layanan, dan grup ke grup menggunakan konsol akun, lakukan hal berikut:

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Grup, pilih grup yang ingin Anda perbarui.
  4. Klik Tambahkan anggota.
  5. Cari dan pilih pengguna, grup, atau perwakilan layanan yang ingin ditambahkan.
  6. Klik Tambahkan.

Catatan

Ada penundaan beberapa menit antara memperbarui grup dari akun dan grup yang diperbarui di ruang kerja.

Mengelola peran di grup menggunakan konsol akun

Penting

Fitur ini ada di Pratinjau Publik.

Admin akun dapat memberikan peran pada grup akun di konsol akun.

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Grup , temukan dan klik nama grup.
  4. Klik tab Izin.
  5. Klik Beri akses.
  6. Cari dan pilih pengguna, perwakilan layanan, atau grup dan pilih peran Grup: Manajer .
  7. Klik Simpan.

Mengubah nama grup

Admin akun dapat memperbarui nama grup akun dalam menggunakan konsol akun:

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Grup, pilih grup yang ingin Anda perbarui.
  4. Klik Informasi grup.
  5. Di bawah Nama, perbarui nama.
  6. Klik Simpan.

Manajer grup tidak dapat mengubah nama grup menggunakan konsol akun. Sebagai gantinya , gunakan API Grup Akun. Contohnya:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Untuk informasi tentang cara mengautentikasi ke API Grup Akun, lihat Autentikasi untuk otomatisasi Azure Databricks - gambaran umum.

Menetapkan grup ke ruang kerja menggunakan konsol akun

Untuk menambahkan grup ke ruang kerja menggunakan konsol akun, ruang kerja harus diaktifkan untuk federasi identitas. Hanya grup akun yang dapat ditetapkan ke ruang kerja.

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Ruang Kerja.
  3. Klik nama ruang kerja Anda.
  4. Pada tab Izin, klik Tambahkan izin.
  5. Cari dan pilih pengguna atau grup, tetapkan tingkat izin (Pengguna atau Admin ruang kerja), dan klik Simpan.

Menghapus grup dari ruang kerja menggunakan konsol akun

Untuk menghapus grup ke ruang kerja menggunakan konsol akun, ruang kerja harus diaktifkan untuk federasi identitas. Hanya grup akun yang dapat dilepas dari ruang kerja menggunakan konsol akun.

Saat grup akun dihapus dari ruang kerja, anggota grup tidak dapat lagi mengakses ruang kerja, namun izin dipertahankan pada grup. Jika grup kemudian ditambahkan kembali ke ruang kerja, grup akan mendapatkan kembali izin sebelumnya.

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Ruang Kerja.
  3. Klik nama ruang kerja Anda.
  4. Pada tab Izin , temukan grup.
  5. Menu kebab Klik menu kebab di ujung kanan baris grup dan pilih Hapus.
  6. Di dialog konfirmasi, klik Hapus.

Menetapkan peran admin akun ke grup

Anda tidak dapat menetapkan peran admin akun atau admin marketplace ke grup menggunakan konsol akun, tetapi Anda dapat menetapkannya ke grup menggunakan API Grup Akun. Contohnya:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Untuk informasi tentang cara mengautentikasi ke API Grup Akun, lihat Autentikasi untuk otomatisasi Azure Databricks - gambaran umum.

Menghapus grup dari akun Azure Databricks Anda

Admin akun dapat menghapus grup dari akun Azure Databricks. Manajer grup juga dapat menghapus grup dari akun menggunakan API Grup Akun, lihat Mengelola grup akun menggunakan API.

Penting

Saat Anda menghapus grup, semua pengguna dalam grup tersebut dihapus dari akun dan kehilangan akses ke ruang kerja apa pun yang dapat mereka akses (kecuali mereka adalah anggota grup lain atau telah secara langsung diberikan akses ke akun atau ruang kerja apa pun). Databricks merekomendasikan agar Anda tidak menghapus grup tingkat akun kecuali Anda ingin mereka kehilangan akses ke semua ruang kerja di akun. Waspadai konsekuensi berikut dari menghapus pengguna:

  • Aplikasi atau skrip yang menggunakan token yang dihasilkan oleh pengguna tidak dapat lagi mengakses API Databricks
  • Pekerjaan yang dimiliki oleh pengguna gagal
  • Kluster yang dimiliki oleh pengguna berhenti
  • Kueri atau dasbor yang dibuat oleh pengguna dan dibagikan menggunakan info masuk Jalankan sebagai Pemilik harus ditetapkan ke pemilik baru untuk mencegah berbagi gagal

Untuk menghapus grup menggunakan konsol akun, lakukan hal berikut:

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Grup, pilih grup yang ingin Anda hapus.
  4. Menu kebab Klik menu kebab di ujung kanan baris pengguna dan pilih Hapus.
  5. Dalam kotak dialog konfirmasi, klik Konfirmasi penghapusan.

Jika menghapus grup menggunakan konsol akun, Anda harus memastikan bahwa Anda juga menghapus grup menggunakan konektor provisi SCIM atau aplikasi API SCIM yang telah disiapkan untuk akun tersebut. Jika tidak, provisi SCIM hanya akan menambahkan grup dan anggotanya kembali saat sinkronisasi berikutnya. Lihat Menyinkronkan pengguna dan grup dari ID Microsoft Entra.

Untuk menghapus grup dari akun Azure Databricks menggunakan API, lihat Memprovisikan identitas ke akun Azure Databricks dan API Grup Akun Anda.

Mengelola grup akun menggunakan halaman pengaturan admin ruang kerja

Admin ruang kerja dapat membuat dan mengelola grup akun di ruang kerja federasi identitas menggunakan halaman pengaturan admin ruang kerja.

Catatan

Ada penundaan beberapa menit antara memperbarui grup akun dari ruang kerja dan grup yang diperbarui di akun.

Untuk informasi tentang cara membuat grup ruang kerja-lokal di ruang kerja, lihat Mengelola grup ruang kerja-lokal (warisan).

Membuat atau menetapkan grup ke ruang kerja menggunakan halaman pengaturan admin ruang kerja

Untuk menetapkan atau membuat grup akun di ruang kerja menggunakan halaman pengaturan admin ruang kerja, lakukan hal berikut:

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.

  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.

  3. Klik tab Identitas dan akses .

  4. Di samping Grup, klik Kelola.

  5. Klik Tambahkan Grup.

  6. Pilih grup yang sudah ada untuk ditetapkan ke ruang kerja atau klik Tambahkan baru untuk membuat grup akun baru.

    Catatan

    Jika ruang kerja Anda tidak diaktifkan untuk federasi identitas, Anda tidak dapat menetapkan grup akun yang ada atau menambahkan buat grup akun di ruang kerja Anda. Anda harus menggunakan grup ruang kerja-lokal sebagai gantinya, lihat Mengelola grup ruang kerja-lokal (warisan).

Menambahkan anggota ke grup menggunakan halaman pengaturan admin ruang kerja

Anda harus menjadi admin ruang kerja untuk menambahkan pengguna, perwakilan layanan, dan grup ke grup akun menggunakan halaman pengaturan admin ruang kerja. Anda hanya dapat mengelola anggota grup tempat Anda memiliki peran manajer grup.

Catatan

Anda tidak dapat menambahkan grup turunan ke grup admins. Anda tidak dapat menambahkan grup workspace-local atau grup sistem sebagai anggota grup akun.

Manajer grup yang bukan admin ruang kerja harus mengelola keanggotaan grup menggunakan API Grup Akun.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.
  3. Klik tab Identitas dan akses .
  4. Di samping Grup, klik Kelola.
  5. Pilih grup yang ingin Anda perbarui. Anda harus memiliki peran manajer grup pada grup untuk memperbaruinya.
  6. Pada tab Anggota , klik Tambahkan anggota.
  7. Pada dialog, telusuri atau cari pengguna, perwakilan layanan, dan grup yang ingin Anda tambahkan dan pilih.
  8. Klik Konfirmasi.

Mengelola peran di grup akun menggunakan halaman pengaturan admin ruang kerja

Penting

Fitur ini ada di Pratinjau Publik.

Anda dapat menetapkan peran manajer grup kepada pengguna, grup akun, dan perwakilan layanan. Manajer grup dapat mengelola keanggotaan grup. Mereka juga dapat menetapkan peran manajer grup kepada pengguna lain.

Anda harus menjadi admin ruang kerja untuk mengelola peran grup menggunakan halaman pengaturan admin ruang kerja. Manajer grup yang bukan admin ruang kerja dapat mengelola peran grup menggunakan API Kontrol Akses Akun.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.

  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.

  3. Klik tab Identitas dan akses .

  4. Di samping Grup, klik Kelola.

  5. Pilih grup yang ingin Anda perbarui. Anda harus memiliki peran manajer grup pada grup untuk memperbaruinya.

  6. Klik tab Izin.

  7. Klik Beri akses.

  8. Cari dan pilih pengguna, perwakilan layanan, atau grup dan pilih peran Grup: Manajer .

    Catatan

    Anda tidak dapat menetapkan peran grup lokal ruang kerja atau grup sistem pada grup akun.

  9. Klik Simpan.

Menampilkan grup induk

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.
  3. Klik tab Identitas dan akses .
  4. Di samping Grup, klik Kelola.
  5. Pilih grup yang ingin Anda lihat.
  6. Pada tab Grup induk, lihat grup induk untuk grup Anda.

Menghapus grup dari ruang kerja menggunakan halaman pengaturan admin ruang kerja

Menghapus grup dari ruang kerja tidak menghapus grup di akun. Saat grup dihapus dari ruang kerja, anggota grup tidak dapat lagi mengakses ruang kerja, namun izin dipertahankan pada grup. Jika grup kemudian ditambahkan kembali ke ruang kerja, grup akan mendapatkan kembali izin sebelumnya.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.
  3. Klik tab Identitas dan akses .
  4. Di samping Grup, klik Kelola.
  5. Pilih grup dan klik x Hapus
  6. Klik Hapus untuk mengonfirmasi.

Mengelola grup akun menggunakan API

Admin akun dan admin ruang kerja dan manajer grup dapat menambahkan, menghapus, dan mengelola grup di akun Azure Databricks menggunakan API Grup Akun. Admin akun dan admin ruang kerja dan manajer grup harus memanggil API menggunakan URL titik akhir yang berbeda:

  • Admin akun menggunakan {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
  • Admin ruang kerja dan manajer grup menggunakan {workspace-domain}/api/2.0/account/scim/v2/.

Untuk detailnya, lihat API Grup Akun.

Menetapkan grup ke ruang kerja menggunakan API

Admin akun dan ruang kerja dapat menggunakan WORKspace Assignment API untuk menetapkan grup ke ruang kerja yang diaktifkan untuk federasi identitas. API Penugasan Ruang Kerja didukung melalui akun dan ruang kerja Azure Databricks.

  • Admin akun menggunakan {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Admin ruang kerja menggunakan {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Lihat API Penetapan Ruang Kerja.

Mengelola peran untuk grup menggunakan API

Penting

Fitur ini ada di Pratinjau Publik.

Manajer grup dapat mengelola peran grup menggunakan API Kontrol Akses Akun. Admin akun dan admin ruang kerja dan manajer grup harus memanggil API menggunakan URL titik akhir yang berbeda:

  • Admin akun menggunakan {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Admin ruang kerja dan manajer grup menggunakan {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Lihat API Kontrol Akses Akun dan API Proksi Ruang Kerja Kontrol Akses Akun.