Gestire i gruppi

Questo articolo illustra come gli amministratori creano e gestiscono i gruppi di Azure Databricks. Per una panoramica del modello di identità di Azure Databricks, vedere Identità di Azure Databricks.

Per gestire l'accesso per i gruppi, vedere Autenticazione e controllo di accesso.

Panoramica della gestione dei gruppi

I gruppi semplificano la gestione delle identità semplificando l'assegnazione dell'accesso a aree di lavoro, dati e altri oggetti a protezione diretta. Tutte le identità di Databricks possono essere assegnate come membri di gruppi.

Differenza tra gruppi di account e gruppi locali dell'area di lavoro

Azure Databricks ha il concetto di gruppi di account e gruppi locali dell'area di lavoro legacy:

• Ai gruppi di account è possibile concedere l'accesso ai dati in un metastore del catalogo Unity, ai ruoli concessi per entità servizio e gruppi e alle autorizzazioni per le aree di lavoro federate .
• I gruppi locali dell'area di lavoro sono gruppi legacy. Questi gruppi vengono identificati come area di lavoro locale nella pagina delle impostazioni di amministrazione dell'area di lavoro. Non è possibile assegnare gruppi locali dell'area di lavoro ad aree di lavoro aggiuntive o concedere l'accesso ai dati in un metastore del catalogo Unity. I gruppi locali dell'area di lavoro non possono essere concessi ruoli a livello di account. Per altre informazioni sui gruppi locali dell'area di lavoro, vedere Gestire i gruppi locali dell'area di lavoro (legacy).

In ogni area di lavoro sono presenti due gruppi di sistema: users e admins. Tutti gli utenti dell'area di lavoro sono membri del users gruppo e tutti gli amministratori dell'area di lavoro sono membri del admins gruppo. I gruppi di sistema sono gruppi locali dell'area di lavoro. I gruppi di sistema non possono essere eliminati.

Databricks consiglia di trasformare i gruppi locali dell'area di lavoro esistenti in gruppi di account per sfruttare i vantaggi dell'assegnazione centralizzata dell'area di lavoro e della gestione degli accessi ai dati usando Unity Catalog. Vedere Eseguire la migrazione dei gruppi locali dell'area di lavoro ai gruppi di account.

Nota

Gli utenti con un ruolo predefinito Collaboratore o Proprietario nella risorsa dell'area di lavoro in Azure vengono assegnati automaticamente al gruppo di aree di lavoro admins . Per altre informazioni, vedere Gestire la sottoscrizione.

Chi può gestire i gruppi di account?

Per creare gruppi di account in Azure Databricks, è necessario essere un amministratore dell'account o un amministratore dell'area di lavoro. Gli amministratori dell'area di lavoro devono trovarsi in aree di lavoro federate con identità per creare un gruppo di account.

Per gestire i gruppi di account in Azure Databricks, è necessario avere il ruolo di responsabile del gruppo (anteprima pubblica) in un gruppo. I responsabili dei gruppi possono gestire l'appartenenza ai gruppi ed eliminare il gruppo. Possono anche assegnare ad altri utenti il ruolo di gestione del gruppo. Gli amministratori dell'account possono gestire i ruoli di gruppo usando la console dell'account e gli amministratori dell'area di lavoro possono gestire i ruoli del gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I gestori di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l'API Account Controllo di accesso.

Gli amministratori dell'account hanno il ruolo di responsabile del gruppo a livello di account, ovvero hanno il ruolo di responsabile del gruppo in tutti i gruppi nell'account. Gli amministratori dell'area di lavoro hanno il ruolo di gestione del gruppo nei gruppi di account creati.

Gli amministratori dell'area di lavoro possono anche creare e gestire gruppi locali dell'area di lavoro.

Sincronizzare i gruppi con l'account Azure Databricks dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory)

È possibile sincronizzare i gruppi dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory) all'account Azure Databricks usando un connettore di provisioning SCIM. Per istruzioni, vedere Effettuare il provisioning delle identità nell'account Azure Databricks usando l'ID Microsoft Entra.

Importante

Se si dispone di connettori SCIM che sincronizzano le identità direttamente nelle aree di lavoro e tali aree di lavoro sono abilitate per la federazione delle identità, è consigliabile disabilitare tali connettori SCIM quando il connettore SCIM a livello di account è abilitato. Se si dispone di aree di lavoro che non usano la federazione delle identità, è necessario continuare a usare tutti i connettori SCIM configurati per tali aree di lavoro, in esecuzione in parallelo con il connettore SCIM a livello di account.

Gestire i gruppi di account usando la console dell'account

Gli amministratori dell'account possono aggiungere e gestire gruppi nell'account Azure Databricks usando la console dell'account. Gli amministratori dell'area di lavoro e i responsabili dei gruppi possono gestire i gruppi usando la pagina delle impostazioni dell'area di lavoro e le API di Databricks. Vedere Gestire i gruppi di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro e Gestire i gruppi di account usando l'API.

Aggiungere gruppi all'account usando la console dell'account

Per aggiungere un gruppo all'account usando la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Gruppi fare clic su Aggiungi gruppo.
4. Immetti un nome per il gruppo.
5. Fare clic su Conferma.
6. Quando richiesto, aggiungere utenti, entità servizio e gruppi al gruppo.

Aggiungere membri a un gruppo usando la console dell'account

Per aggiungere utenti, entità servizio e gruppi a un gruppo usando la console account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Gruppi selezionare il gruppo da aggiornare.
4. Fare clic su Aggiungi membri.
5. Cercare l'utente, il gruppo o l'entità servizio da aggiungere e selezionarla.
6. Fare clic su Aggiungi.

Nota

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo da un account e il gruppo da aggiornare nelle aree di lavoro.

Gestire i ruoli in un gruppo usando la console dell'account

Importante

Questa funzionalità è disponibile in anteprima pubblica.

Gli amministratori dell'account possono concedere ruoli ai gruppi di account nella console dell'account.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare e fare clic sul nome del gruppo.
4. Fare clic sulla scheda Permissions .
5. Fare clic su Concedi accesso.
6. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager .
7. Fare clic su Salva.

Modificare il nome di un gruppo

Gli amministratori dell'account possono aggiornare il nome dei gruppi di account in usando la console dell'account:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Gruppi selezionare il gruppo da aggiornare.
4. Fare clic su Informazioni sul gruppo.
5. In Nome aggiornare il nome.
6. Fare clic su Salva.

I responsabili del gruppo non possono modificare il nome di un gruppo usando la console dell'account. Usare invece l'API Gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, vedere Autenticazione per l'automazione di Azure Databricks - Panoramica.

Assegnare un gruppo a un'area di lavoro usando la console dell'account

Per aggiungere gruppi a un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono assegnabili alle aree di lavoro.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Permissions (Autorizzazioni) fare clic su Add permissions (Aggiungi autorizzazioni).
5. Cercare e selezionare il gruppo, assegnare il livello di autorizzazione (utente dell'area di lavoro o Amministrazione) e quindi fare clic su Salva.

Rimuovere un gruppo da un'area di lavoro usando la console dell'account

Per rimuovere i gruppi in un'area di lavoro usando la console dell'account, è necessario abilitare l'area di lavoro per la federazione delle identità. Solo i gruppi di account sono rimovibili dalle aree di lavoro usando la console dell'account.

Quando un gruppo di account viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo viene aggiunto in un secondo momento a un'area di lavoro, il gruppo riprende le autorizzazioni precedenti.

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Aree di lavoro.
3. Fare clic sul nome dell'area di lavoro.
4. Nella scheda Autorizzazioni trovare il gruppo.
5. Fare clic sul menu kebab all'estrema destra della riga del gruppo e selezionare Rimuovi.
6. Nella finestra di dialogo di conferma fare clic su Rimuovi.

Assegnare ruoli di amministratore dell'account a un gruppo

Non è possibile assegnare l'amministratore dell'account o il ruolo di amministratore del marketplace a un gruppo usando la console dell'account, ma è possibile assegnarlo ai gruppi usando l'API Gruppi di account. Ad esempio:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Per informazioni su come eseguire l'autenticazione all'API gruppi di account, vedere Autenticazione per l'automazione di Azure Databricks - Panoramica.

Rimuovere gruppi dall'account Azure Databricks

Gli amministratori dell'account possono rimuovere i gruppi da un account Azure Databricks. I responsabili dei gruppi possono anche rimuovere i gruppi dall'account usando l'API Gruppi di account. Vedere Gestire i gruppi di account usando l'API.

Importante

Quando si rimuove un gruppo, tutti gli utenti di tale gruppo vengono eliminati dall'account e perdono l'accesso a qualsiasi area di lavoro a cui hanno accesso (a meno che non siano membri di un altro gruppo o siano stati concessi direttamente l'accesso all'account o a qualsiasi area di lavoro). Databricks consiglia di evitare di eliminare gruppi a livello di account, a meno che non si voglia che perdano l'accesso a tutte le aree di lavoro nell'account. Tenere presente le conseguenze seguenti dell'eliminazione degli utenti:

• Le applicazioni o gli script che usano i token generati dall'utente non possono più accedere alle API di Databricks
• I processi di proprietà dell'utente hanno esito negativo
• I cluster di proprietà dell'utente si arrestano
• Le query o i dashboard creati dall'utente e condivisi tramite le credenziali Run as Owner devono essere assegnati a un nuovo proprietario per impedire che la condivisione abbia esito negativo

Per rimuovere un gruppo tramite la console dell'account, eseguire le operazioni seguenti:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Nella barra laterale fare clic su Gestione utenti.
3. Nella scheda Gruppi trovare il gruppo da rimuovere.
4. Fare clic sul menu kebab all'estrema destra della riga dell'utente e selezionare Elimina.
5. Nella finestra di dialogo di conferma fare clic su Conferma eliminazione.

Se si rimuove un gruppo usando la console dell'account, è necessario assicurarsi di rimuovere anche il gruppo usando qualsiasi connettore di provisioning SCIM o applicazioni API SCIM configurate per l'account. In caso contrario, il provisioning SCIM aggiungerà semplicemente il gruppo e i relativi membri alla successiva sincronizzazione. Vedere Sincronizzare utenti e gruppi da Microsoft Entra ID.

Per rimuovere un gruppo da un account Azure Databricks usando l'API, vedere Effettuare il provisioning delle identità nell'account Azure Databricks e nell'API Gruppi di account.

Gestire i gruppi di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Gli amministratori dell'area di lavoro possono creare e gestire gruppi di account nelle aree di lavoro federate con identità usando la pagina delle impostazioni di amministrazione dell'area di lavoro.

Nota

Si verifica un ritardo di alcuni minuti tra l'aggiornamento di un gruppo di account da un'area di lavoro e il gruppo da aggiornare nell'account.

Per informazioni su come creare gruppi locali dell'area di lavoro nelle aree di lavoro, vedere Gestire gruppi locali dell'area di lavoro (legacy).

Creare o assegnare un gruppo a un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Per assegnare o creare un gruppo di account in un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, eseguire le operazioni seguenti:

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso .

4. Accanto a Gruppi fare clic su Gestisci.

5. Fare clic su Aggiungi gruppo.

6. Selezionare un gruppo esistente da assegnare all'area di lavoro oppure fare clic su Aggiungi nuovo per creare un nuovo gruppo di account.

   Nota

   Se l'area di lavoro non è abilitata per la federazione delle identità, non è possibile assegnare gruppi di account esistenti o aggiungere gruppi di account nell'area di lavoro. È invece necessario usare i gruppi locali dell'area di lavoro, vedere Gestire i gruppi locali dell'area di lavoro (legacy).

Aggiungere membri a un gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro

È necessario essere un amministratore dell'area di lavoro per aggiungere utenti, entità servizio e gruppi a un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro. È possibile gestire solo i membri di un gruppo su cui si ha il ruolo di responsabile del gruppo.

Nota

Non è possibile aggiungere un gruppo figlio al admins gruppo. Non è possibile aggiungere gruppi locali dell'area di lavoro o gruppi di sistema come membri dei gruppi di account.

I gestori di gruppi che non sono amministratori dell'area di lavoro devono gestire l'appartenenza ai gruppi usando l'API Gruppi di account.

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Gruppi fare clic su Gestisci.
5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di gestione del gruppo.
6. Nella scheda Membri fare clic su Aggiungi membri.
7. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi da aggiungere e selezionarli.
8. Fare clic su Conferma.

Gestire i ruoli in un gruppo di account usando la pagina delle impostazioni di amministrazione dell'area di lavoro

Importante

Questa funzionalità è disponibile in anteprima pubblica.

È possibile assegnare il ruolo di gestione del gruppo a utenti, gruppi di account ed entità servizio. I responsabili dei gruppi possono gestire l'appartenenza ai gruppi. Possono anche assegnare il ruolo di gestione del gruppo ad altri utenti.

È necessario essere un amministratore dell'area di lavoro per gestire i ruoli di gruppo usando la pagina delle impostazioni di amministrazione dell'area di lavoro. I gestori di gruppi che non sono amministratori dell'area di lavoro possono gestire i ruoli di gruppo usando l'API Account Controllo di accesso.

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Identità e accesso .

4. Accanto a Gruppi fare clic su Gestisci.

5. Selezionare il gruppo da aggiornare. Per aggiornarlo, è necessario disporre del ruolo di gestione del gruppo.

6. Fare clic sulla scheda Permissions .

7. Fare clic su Concedi accesso.

8. Cercare e selezionare l'utente, l'entità servizio o il gruppo e scegliere il ruolo Gruppo: Manager .

   Nota

   Non è possibile assegnare i gruppi locali dell'area di lavoro o i ruoli dei gruppi di sistema nei gruppi di account.

9. Fare clic su Salva.

Visualizzare i gruppi padre

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Gruppi fare clic su Gestisci.
5. Selezionare il gruppo da visualizzare.
6. Nella scheda Gruppo padre visualizzare i gruppi padre per il gruppo.

Rimuovere un gruppo da un'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro

La rimozione di un gruppo da un'area di lavoro non comporta l'eliminazione del gruppo nell'account. Quando un gruppo viene rimosso da un'area di lavoro, i membri del gruppo non possono più accedere all'area di lavoro, ma le autorizzazioni vengono mantenute nel gruppo. Se il gruppo viene aggiunto in un secondo momento all'area di lavoro, il gruppo riprende le autorizzazioni precedenti.

1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Gruppi fare clic su Gestisci.
5. Selezionare il gruppo e fare clic su x Elimina
6. Fare clic su Elimina per confermare.

Gestire i gruppi di account usando l'API

Gli amministratori dell'account e gli amministratori dell'area di lavoro e i responsabili dei gruppi possono aggiungere, eliminare e gestire gruppi nell'account Azure Databricks usando l'API Gruppi di account. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i gestori di gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Gli amministratori dell'area di lavoro e i responsabili dei gruppi usano {workspace-domain}/api/2.0/account/scim/v2/.

Per informazioni dettagliate, vedere l'API Gruppi di account.

Assegnare un gruppo a un'area di lavoro usando l'API

Gli amministratori dell'account e dell'area di lavoro possono usare l'API di assegnazione dell'area di lavoro per assegnare gruppi alle aree di lavoro abilitate per la federazione delle identità. L'API di assegnazione dell'area di lavoro è supportata tramite l'account e le aree di lavoro di Azure Databricks.

• Gli amministratori dell'account usano {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Gli amministratori dell'area di lavoro usano {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Vedere API di assegnazione dell'area di lavoro.

Gestire i ruoli per un gruppo usando l'API

Importante

Questa funzionalità è disponibile in anteprima pubblica.

I responsabili dei gruppi possono gestire i ruoli di gruppo usando l'API Account Controllo di accesso. Gli amministratori dell'account e gli amministratori dell'area di lavoro e i gestori di gruppi devono richiamare l'API usando un URL endpoint diverso:

• Gli amministratori dell'account usano {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Gli amministratori dell'area di lavoro e i responsabili dei gruppi usano {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Vedere API Controllo di accesso account e account Controllo di accesso API proxy dell'area di lavoro.