Gestire i gruppi locali dell'area di lavoro (legacy)

  • Articolo

Questo articolo illustra come gli amministratori creano e gestiscono gruppi locali dell'area di lavoro. Per una panoramica dei gruppi di account, vedere Gestire i gruppi.

Che cosa sono i gruppi locali dell'area di lavoro?

I gruppi locali dell'area di lavoro sono gruppi legacy. Questi gruppi vengono identificati come area di lavoro locale nella pagina delle impostazioni di amministrazione dell'area di lavoro. I gruppi locali dell'area di lavoro non vengono sincronizzati con l'account come gruppi di account. È possibile usare i gruppi locali dell'area di lavoro nell'area di lavoro in cui sono definiti, ma non è possibile gestirli usando interfacce a livello di account. Non possono essere assegnati ad aree di lavoro aggiuntive o a cui è concesso l'accesso ai dati in un metastore del catalogo Unity. I gruppi locali dell'area di lavoro non possono essere concessi ruoli a livello di account. Per sfruttare i vantaggi dell'identità centralizzata, Databricks consiglia di usare gruppi di account anziché gruppi locali dell'area di lavoro.

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, un connettore di provisioning per il provider di identità e l'API Gruppi di aree di lavoro.

Per gestire l'accesso per i gruppi locali dell'area di lavoro, vedere Autenticazione e controllo di accesso.

Nota

Nelle aree di lavoro federate di identità i gruppi locali dell'area di lavoro possono essere gestiti solo usando l'API Gruppi di aree di lavoro. Se l'account è stato creato dopo il 9 novembre 2023, la federazione delle identità è abilitata in tutte le nuove aree di lavoro per impostazione predefinita e non può essere disabilitata.

Eseguire la migrazione dei gruppi locali dell'area di lavoro ai gruppi di account

Databricks consiglia di convertire i gruppi locali dell'area di lavoro in gruppi di account in modo da sfruttare una posizione centrale per amministrare l'identità. Per convertire i gruppi locali dell'area di lavoro in gruppi di account, è necessario creare un nuovo gruppo di account e quindi eliminare il gruppo locale dell'area di lavoro esistente, seguendo questa procedura:

Passaggio 1: Modificare il nome del gruppo locale dell'area di lavoro

Due gruppi in un'area di lavoro non possono avere lo stesso nome. È necessario modificare il nome del gruppo locale dell'area di lavoro per aggiungere un nuovo gruppo di account all'area di lavoro con lo stesso nome. Questi passaggi consigliano di aggiungere (workspace) al nome del gruppo.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Gruppi e selezionare il gruppo locale dell'area di lavoro da convertire in un gruppo di account.
  4. In Nome aggiungere (workspace) alla fine del nome del gruppo.
  5. Fare clic su Salva.

Passaggio 2: Creare un nuovo gruppo di account

  1. Nella scheda Gruppi fare clic su Aggiungi gruppo.
  2. Fare clic su Aggiungi nuovo
  3. Immettere il nome del gruppo locale dell'area di lavoro da convertire.
  4. Fare clic su Aggiungi.
  5. Nella scheda Membri fare clic su Aggiungi utenti, gruppi o entità servizio.
  6. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi membri del gruppo locale dell'area di lavoro e selezionarli.
  7. Fare clic su Conferma.

Passaggio 3: Concedere l'accesso al gruppo di account

È necessario concedere al nuovo gruppo di account l'accesso agli oggetti a livello di area di lavoro e alle funzionalità a cui il gruppo locale dell'area di lavoro aveva originariamente accesso in modo che i membri del gruppo mantengano tale accesso. Seguire le istruzioni in Gestire i diritti per assegnare i diritti dell'area di lavoro ai nuovi gruppi di account e usare l'API Autorizzazioni per concedere al gruppo l'accesso agli oggetti all'interno dell'area di lavoro. Per altre informazioni sul controllo di accesso, vedere Elenchi di controllo di accesso.

Passaggio 4: Eliminare il gruppo locale dell'area di lavoro

Ora è stata eseguita la migrazione del gruppo locale dell'area di lavoro all'account ed è possibile eliminare il gruppo locale dell'area di lavoro.

  1. Nella scheda Gruppi selezionare il gruppo locale dell'area di lavoro da convertire in un gruppo di account.
  2. Fare clic su x Elimina e fare clic su Elimina per confermare.

Gestire i gruppi locali dell'area di lavoro usando l'API

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando l'API SCIM a livello di area di lavoro. Nelle aree di lavoro federate di identità i gruppi locali dell'area di lavoro possono essere gestiti solo usando l'API. Per istruzioni, vedere API Gruppi di aree di lavoro.

Gestire i gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro in aree di lavoro non federate con identità.

Creare un gruppo locale dell'area di lavoro usando la pagina delle impostazioni di amministratore

Per aggiungere un gruppo locale dell'area di lavoro a un'area di lavoro usando le impostazioni di amministratore, eseguire le operazioni seguenti:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

  3. Fare clic sulla scheda Identità e accesso .

  4. Accanto a Gruppi fare clic su Gestisci.

  5. Fare clic su Crea gruppo.

  6. Immettere un nome di gruppo e fare clic su Crea.

    I nomi dei gruppi devono essere univoci. Non è possibile modificare il nome di un gruppo. Se si desidera modificare il nome di un gruppo, è necessario eliminare il gruppo e ricrearlo con il nuovo nome.

Aggiungere membri a un gruppo locale dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Nota

Non è possibile aggiungere un gruppo figlio al admins gruppo.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

  3. Fare clic sulla scheda Identità e accesso .

  4. Accanto a Gruppi fare clic su Gestisci.

  5. Selezionare il gruppo da aggiornare.

  6. Nella scheda Membri fare clic su Aggiungi utenti, gruppi o entità servizio.

  7. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi da aggiungere e selezionarli.

  8. Fare clic su Conferma.

    Potrebbe essere necessario fare clic sulla freccia giù nel selettore per nascondere l'elenco a discesa e visualizzare il pulsante Conferma .

Rimuovere un utente, un gruppo o un'entità servizio da un gruppo locale dell'area di lavoro

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso .
  4. Accanto a Gruppi fare clic su Gestisci.
  5. Selezionare il gruppo da aggiornare.
  6. Nella scheda Membri individuare l'utente, il gruppo o l'entità servizio da rimuovere e fare clic sulla X nella colonna Azioni .
  7. Fare clic su Rimuovi membro per confermare.

Nota

È anche possibile rimuovere un gruppo locale dell'area di lavoro figlio dal relativo gruppo locale dell'area di lavoro padre passando alla scheda Padre per il gruppo che si vuole rimuovere. Trovare il gruppo padre da cui si vuole rimuovere il gruppo locale dell'area di lavoro figlio e fare clic sulla X nella colonna Azioni .

Visualizzare i gruppi locali dell'area di lavoro padre

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso .
  4. Accanto a Gruppi fare clic su Gestisci.
  5. Selezionare il gruppo da visualizzare.
  6. Nella scheda Gruppi padre visualizzare i gruppi padre per il gruppo.

Modificare il nome di un gruppo

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso .
  4. Accanto a Gruppi fare clic su Gestisci.
  5. Selezionare il gruppo da visualizzare.
  6. In Nome aggiornare il nome.
  7. Fare clic su Salva.

Sincronizzare i gruppi locali dell'area di lavoro dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory)

È possibile sincronizzare i gruppi dal tenant di Microsoft Entra ID (in precedenza Azure Active Directory) all'area di lavoro di Azure Databricks usando un connettore di provisioning SCIM a livello di area di lavoro. Il provisioning SCIM a livello di area di lavoro crea gruppi locali dell'area di lavoro che possono essere usati solo nell'area di lavoro. Databricks consiglia invece di usare il provisioning SCIM a livello di account.