Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina illustra una panoramica dei gruppi in Azure Databricks. Per informazioni su come gestire i gruppi, vedere Gestire i gruppi.
I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.
Raggruppare le origini
I gruppi di Azure Databricks vengono classificati in quattro categorie in base all'origine, come illustrato nella colonna Origine dell'elenco gruppi
Fonte | Descrizione |
---|---|
Conto | È possibile concedere l'accesso ai dati in un metastore del catalogo Unity, ai ruoli assegnati in entità servizio e gruppi e alle autorizzazioni per le aree di lavoro federate con identità. Questi sono i gruppi principali per la gestione dell'accesso nell'account Azure Databricks. |
Esterno | Creato in Azure Databricks dal tuo provider di identità. Questi gruppi rimangono sincronizzati con il provider di identità, ad esempio Microsoft Entra ID. Anche i gruppi esterni sono considerati gruppi di account. |
Sistema | Creato e gestito da Azure Databricks. Ogni account include un account users gruppo contenente tutti gli utenti. Ogni area di lavoro ha due gruppi di sistema: users (tutti i membri dell'area di lavoro) e admins (amministratori dell'area di lavoro). I gruppi di sistema non possono essere eliminati. |
Area di lavoro | Noti come gruppi locali dell'area di lavoro, si tratta di gruppi legacy usati solo all'interno dell'area di lavoro in cui sono stati creati. Non possono essere assegnati ad altre aree di lavoro, non possono ottenere l'accesso ai dati di Unity Catalog e non possono essere assegnati ruoli a livello di account. Databricks consiglia di convertire i gruppi locali dell'area di lavoro in gruppi di account per una funzionalità più ampia. |
Chi può gestire i gruppi?
Per creare gruppi in Azure Databricks, è necessario:
- Un amministratore dell'account
- Amministratore dell'area di lavoro in un'area di lavoro federata tramite identità
Per gestire i gruppi in Azure Databricks, è necessario avere il ruolo di responsabile del gruppo (anteprima pubblica) in un gruppo. Questo ruolo consente di:
- Gestire l'appartenenza a gruppi
- Eliminare gruppi
- Assegnare il ruolo di gestione del gruppo ad altri utenti
Per impostazione predefinita:
- Gli amministratori dell'account hanno automaticamente il ruolo di responsabile del gruppo per tutti i gruppi.
- Gli amministratori dell'area di lavoro hanno automaticamente il ruolo di gestione del gruppo nei gruppi creati.
I ruoli di Gestione gruppo possono essere configurati da:
- Gli amministratori dell'account, utilizzando la console dell'account
- Amministratori dell'area di lavoro, usando la pagina delle impostazioni di amministrazione dell'area di lavoro
- Gestori di gruppi non amministratori, usando l'API Controllo di accesso degli account
Gli amministratori dell'area di lavoro possono anche creare e gestire gruppi legacy locali dell'area di lavoro.
Sincronizzare i gruppi con l'account Azure Databricks da Microsoft Entra ID
Databricks consiglia di sincronizzare i gruppi dall'ID Microsoft Entra all'account Azure Databricks.
È possibile sincronizzare i gruppi dall'ID Microsoft Entra automaticamente o usando un connettore di provisioning SCIM.
La gestione automatica delle identità (anteprima pubblica) consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. Questa anteprima supporta i gruppi annidati. Per informazioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.
Il provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Il provisioning SCIM non supporta i gruppi annidati. Per istruzioni, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID con SCIM.