Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina offre una panoramica dei gruppi in Azure Databricks. Per informazioni su come gestire i gruppi, vedere Gestire i gruppi.
I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.
Annotazioni
Questa pagina presuppone che l'area di lavoro abbia la federazione delle identità abilitata, ovvero l'impostazione predefinita per la maggior parte delle aree di lavoro. Per informazioni sulle aree di lavoro legacy senza federazione delle identità, vedere Aree di lavoro legacy senza federazione delle identità.
Raggruppare le origini
I gruppi di Azure Databricks vengono classificati in quattro categorie in base all'origine, come illustrato nella colonna Origine dell'elenco gruppi
| Fonte | Descrizione |
|---|---|
| Conto | È possibile concedere l'accesso ai dati in un metastore del catalogo Unity, concedere ruoli su entità servizio e gruppi, e concedere autorizzazioni per le aree di lavoro. Questi sono i gruppi principali per la gestione dell'accesso nell'account Azure Databricks. |
| Esterno | Creato in Azure Databricks dal tuo provider di identità. Questi gruppi rimangono sincronizzati con il provider di identità, ad esempio Microsoft Entra ID. Anche i gruppi esterni sono considerati gruppi di account. |
| Sistema | Creato e gestito da Azure Databricks. Ogni account include un account users gruppo contenente tutti gli utenti. Ogni area di lavoro ha due gruppi di sistema: users (tutti i membri dell'area di lavoro) e admins (amministratori dell'area di lavoro). I gruppi di sistema non possono essere eliminati. |
| Area di lavoro | Noti come gruppi locali dell'area di lavoro, si tratta di gruppi legacy usati solo all'interno dell'area di lavoro in cui sono stati creati. Non possono essere assegnati ad altre aree di lavoro, non possono ottenere l'accesso ai dati di Unity Catalog e non possono essere assegnati ruoli a livello di account. Databricks consiglia di convertire i gruppi locali dell'area di lavoro in gruppi di account per una funzionalità più ampia. |
Quando la gestione automatica delle identità è abilitata, i gruppi di Microsoft Entra ID sono visibili nella console dell'account e nella pagina delle impostazioni di amministrazione dell'area di lavoro. Il loro stato riflette l'attività e la condizione tra Microsoft Entra ID e Azure Databricks. Vedere Stati utente e gruppo.
Chi può gestire i gruppi?
Per creare gruppi in Azure Databricks, è necessario:
- Un amministratore dell'account
- Un amministratore dell'area di lavoro
Per gestire i gruppi in Azure Databricks, è necessario avere il ruolo di responsabile del gruppo (anteprima pubblica) in un gruppo. Questo ruolo consente di:
- Gestire l'appartenenza a gruppi
- Eliminare gruppi
- Assegnare il ruolo di gestione del gruppo ad altri utenti
Per impostazione predefinita:
- Gli amministratori dell'account hanno automaticamente il ruolo di responsabile del gruppo per tutti i gruppi.
- Gli amministratori dell'area di lavoro hanno automaticamente il ruolo di gestione del gruppo nei gruppi creati.
I ruoli di Gestione gruppo possono essere configurati da:
- Gli amministratori dell'account, utilizzando la console dell'account
- Amministratori dell'area di lavoro, usando la pagina delle impostazioni di amministrazione dell'area di lavoro
- Gestori di gruppi non amministratori, usando l'API Controllo di accesso degli account
Gli amministratori dell'area di lavoro possono anche creare e gestire gruppi legacy locali dell'area di lavoro.
Sincronizzare i gruppi con l'account Azure Databricks da Microsoft Entra ID
Databricks consiglia di sincronizzare i gruppi dall'ID Microsoft Entra all'account Azure Databricks.
È possibile sincronizzare i gruppi dall'ID Microsoft Entra automaticamente o usando un connettore di provisioning SCIM.
La gestione automatica delle identità consente di aggiungere utenti, entità servizio e gruppi da Microsoft Entra ID in Azure Databricks senza configurare un'applicazione in Microsoft Entra ID. Databricks usa l'ID Microsoft Entra come origine del record, pertanto tutte le modifiche apportate agli utenti o alle appartenenze ai gruppi vengono rispettate in Azure Databricks. La gestione automatica delle identità supporta i gruppi annidati. La gestione automatica delle identità è abilitata per impostazione predefinita per gli account creati dopo il 1° agosto 2025. Per informazioni dettagliate, vedere Sincronizzare automaticamente utenti e gruppi da Microsoft Entra ID.
Il provisioning SCIM consente di configurare un'applicazione aziendale in Microsoft Entra ID per mantenere gli utenti e i gruppi sincronizzati con Microsoft Entra ID. Il provisioning SCIM non supporta i gruppi annidati. Per istruzioni, vedere Sincronizzare utenti e gruppi da Microsoft Entra ID con SCIM.