Modificare l'accesso predefinito dell'area di lavoro in accesso utente finale

Importante

Questa funzionalità è in Anteprima Pubblica.

Questa pagina illustra in che modo gli amministratori dell'area di lavoro possono modificare l'accesso predefinito dell'area di lavoro per i nuovi utenti all'accesso consumer usando la clonazione di gruppi. Questa funzionalità consente di semplificare l'onboarding degli utenti su larga scala mantenendo i livelli di accesso appropriati per gli utenti che necessitano di privilegi di creazione.

Informazioni generali

Per impostazione predefinita, ogni utente aggiunto a un'area di lavoro diventa membro del gruppo di sistema users . Questo gruppo ha in genere l'accesso all'area di lavoro o i diritti di accesso a Databricks SQL, che sono diritti di autorizzazione che consentono agli utenti di creare e modificare gli oggetti dell'area di lavoro.

Per fornire agli utenti un'esperienza consumer di sola visualizzazione, il users gruppo deve avere solo diritto consumer. I diritti sono additivi, quindi l'accesso utente offre l'esperienza semplificata di sola visualizzazione solo quando è l'unico diritto assegnato a un utente. La clonazione di gruppi consente di apportare questa modifica senza interrompere gli utenti esistenti che necessitano di privilegi di creazione. Crea un nuovo gruppo per gli utenti esistenti e aggiorna il gruppo predefinito users per i nuovi utenti.

Per altre informazioni sull'accesso consumer e sulle relative funzionalità, vedere Che cos'è l'accesso degli utenti?. Per altre informazioni sui diritti, vedere Gestire i diritti.

Quando usare questa funzionalità

Usare questa funzionalità quando:

• Vuoi che i nuovi utenti delle aree di lavoro abbiano di default solo l'accesso Consumer.
• È necessario separare gli utenti che necessitano di privilegi di creazione (accesso all'area di lavoro o a Databricks SQL) dai consumer di sola visualizzazione.
• Si desidera semplificare l'onboarding dei consumatori su ampia scala.

Funzionamento della clonazione di gruppi

Il gruppo di sistema users viene gestito automaticamente da Azure Databricks e include tutti gli utenti dell'area di lavoro. Questo gruppo non può essere eliminato. Per altre informazioni sui gruppi di sistema, vedere Group sources.

Quando si clona il users gruppo:

1. Viene creato un nuovo gruppo con gli stessi diritti attualmente presenti nel users gruppo.
2. Tutti gli utenti dell'area di lavoro esistenti vengono spostati automaticamente nel gruppo clonato, assicurandosi che mantengano i livelli di accesso correnti.
3. Il users gruppo viene aggiornato per avere solo i diritti per i consumatori.
4. Gli utenti futuri che vengono aggiunti all'area di lavoro diventano automaticamente membri del users gruppo e ricevono solo il diritto consumer.

Quando il users gruppo contiene gruppi annidati troppo annidati (gruppi membri di altri gruppi), è possibile scegliere come gestirli:

• Aggiungere direttamente tutti i membri del gruppo (scelta consigliata): aggiunge tutti i membri del gruppo annidato direttamente al gruppo clonato. In questo modo viene semplificata la struttura del gruppo.
• Escludi: ignora completamente il gruppo annidato. I membri del gruppo annidato escluso non vengono aggiunti al gruppo clonato.

Requisiti

Per modificare l'accesso predefinito all'area di lavoro, è necessario essere un amministratore dell'area di lavoro.

Modificare l'accesso predefinito all'area di lavoro usando l'interfaccia utente

Per modificare l'accesso predefinito dell'area di lavoro in accesso per i consumatori:

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

2. Fare clic sul nome utente nella barra superiore dell'area di lavoro di Azure Databricks e selezionare Impostazioni.

3. Fare clic sulla scheda Avanzate .

4. In Controllo di accesso accanto a Modificare l'accesso predefinito dell'area di lavoro all'accesso consumer fare clic su Apri.

5. Nella finestra di dialogo immettere un nome per il gruppo clonato. Questo gruppo conterrà tutti gli utenti esistenti che devono mantenere i diritti correnti.

   

6. Fare clic su Crea e clona gruppo.

   Il sistema crea il nuovo gruppo e avvia il processo di clonazione. Non chiudere la finestra durante la clonazione.

7. Se il users gruppo contiene gruppi annidati in modo eccessivo, ti viene richiesto di gestirli.

   • Selezionare Aggiungi tutti i membri del gruppo direttamente (scelta consigliata) per semplificare il gruppo aggiungendo tutti i membri del gruppo annidato direttamente al gruppo clonato.
   • Selezionare Escludi questo gruppo per ignorare questo gruppo annidato.
   • Facoltativamente, selezionare Applica questa decisione a tutti i gruppi futuri che superano il limite di profondità di annidamento per usare la scelta per tutti i gruppi annidati futuri durante questa operazione.

8. Nel passaggio finale: spostare le autorizzazioni di creazione e modificare l'accesso predefinito, fare clic su Fine.

   Il sistema aggiorna il gruppo users in modo tale che possieda solamente l'autorizzazione Consumer e assegni le autorizzazioni originali al gruppo clonato.

9. Esaminare il riepilogo e fare clic su Fine.

   

Verificare le modifiche

Dopo aver completato il processo, verificare che le modifiche siano state applicate correttamente:

1. In quanto amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
2. Fare clic sul nome utente nella barra superiore e selezionare Impostazioni.
3. Fare clic sulla scheda Identità e accesso .
4. Accanto a Gruppi, fare clic su Gestisci.
5. Verificare quanto segue:
   • Il gruppo clonato esiste e ha lo stesso numero di utenti del gruppo originale users .
   • Il gruppo users ora ha solo il diritto di Consumatore.

Considerazioni e procedure consigliate

Quando si modifica l'accesso predefinito all'area di lavoro, tenere presente quanto segue:

• Impatto sui nuovi utenti: dopo aver modificato l'accesso predefinito, tutti i nuovi utenti aggiunti all'area di lavoro ricevono solo il diritto consumer. Possono visualizzare e interagire con dashboard, spazi Genie e App Databricks condivisi con essi, ma non possono creare nuovi oggetti dell'area di lavoro. La pagina di destinazione predefinita di Databricks è la pagina Databricks One. Per altre informazioni, vedere Che cos'è l'accesso degli utenti? e Che cos'è Databricks One?.

• Concessione dei privilegi di creazione: quando è necessario concedere privilegi più elevati ai nuovi utenti, è necessario aggiungerli manualmente al gruppo clonato o assegnare diritti aggiuntivi singolarmente. Per istruzioni sulla gestione dell'appartenenza ai gruppi, vedere Gestire i gruppi.

• Annullamento delle modifiche: se è necessario ripristinare questa configurazione, concedere l'accesso all'area di lavoro e i diritti di accesso a Databricks SQL al gruppo users. I nuovi utenti ricevono quindi questi diritti per impostazione predefinita. È possibile mantenere o eliminare il gruppo clonato a seconda che sia ancora necessario per organizzare gli utenti.

• Coordinamento con i provider di identità: se si usa il provisioning SCIM o la gestione automatica delle identità per sincronizzare utenti e gruppi, coordinare questa modifica con i processi di gestione delle identità. Consulta Sincronizzare utenti e gruppi da Microsoft Entra ID utilizzando SCIM.

Automatizzare la clonazione di gruppi con l'SDK

Per operazioni in blocco o l'automazione in più spazi di lavoro, è possibile usare Databricks SDK per Python per automatizzare il processo di clonazione dei gruppi. Questo metodo è utile quando è necessario applicare la stessa configurazione in più aree di lavoro o integrare la clonazione di gruppi in flussi di lavoro di infrastruttura come codice.

Lo script Python seguente automatizza la duplicazione del users gruppo e assegna i diritti appropriati. Usa Databricks SDK per Python e richiede un'entità servizio con privilegi di amministratore sia per l'account che per l'area di lavoro, autenticati con OAuth. Vedere Autorizzare l'accesso utente ad Azure Databricks con OAuth.

Prerequisiti

• Principale del servizio con diritti di amministratore
• Set di variabili di ambiente:
  • DATABRICKS_ACCOUNT_ID (UUID ricavato dall'URL della console dell'account)
  • DATABRICKS_WORKSPACE_ID (ID numerico dall'URL dell'area di lavoro)
  • DATABRICKS_CLIENT_ID (ID client principale del servizio)
  • DATABRICKS_CLIENT_SECRET (segreto client dell'entità servizio)

Script di esempio

import os
import databricks.sdk as dbx
from databricks.sdk.service import iam

# Set the Databricks account host URL for your account's cloud
DATABRICKS_HOST = "https://accounts.azuredatabricks.net"

# Fetch credentials from environment variables
DATABRICKS_ACCOUNT_ID = os.getenv("DATABRICKS_ACCOUNT_ID")
DATABRICKS_WORKSPACE_ID = os.getenv("DATABRICKS_WORKSPACE_ID")
DATABRICKS_CLIENT_ID = os.getenv("DATABRICKS_CLIENT_ID")
DATABRICKS_CLIENT_SECRET = os.getenv("DATABRICKS_CLIENT_SECRET")

# Initialize Databricks account client
account_client = dbx.AccountClient(
    host=DATABRICKS_HOST,
    account_id=DATABRICKS_ACCOUNT_ID,
    client_id=DATABRICKS_CLIENT_ID,
    client_secret=DATABRICKS_CLIENT_SECRET,
)

print(f"Authenticated to Databricks account {DATABRICKS_ACCOUNT_ID}")

# Get workspace and initialize workspace client
workspace = account_client.workspaces.get(workspace_id=DATABRICKS_WORKSPACE_ID)
workspace_name = workspace.workspace_name
workspace_client = account_client.get_workspace_client(workspace)

print(f"Authenticated to Databricks workspace {DATABRICKS_WORKSPACE_ID}, '{workspace_name}'")

def get_workspace_group(group_name):
    """
    Fetches the workspace group with the given name.
    """
    group = list(workspace_client.groups.list(filter=f"displayName eq '{group_name}'"))[0]
    print(f"Found workspace group: {group.display_name}")
    print(f"Workspace {group.display_name} has {len(group.members)} members")
    return group

def clone_workspace_group_to_account(workspace_group_name, new_account_group_name):
    workspace_group = get_workspace_group(workspace_group_name)
    group = account_client.groups.create(
        display_name=new_account_group_name, members=workspace_group.members
    )
    print(f"Created account group: {new_account_group_name}")
    print(f"Cloned workspace group {workspace_group.display_name} to account group {group.display_name}")
    print(f"Account {group.display_name} has {len(group.members)} members")
    return group

def add_account_group_to_workspace(account_group, workspace):
    permissions = account_client.workspace_assignment.update(
        workspace_id=workspace.workspace_id,
        principal_id=account_group.id,
        permissions=[iam.WorkspacePermission.USER],
    )
    print(f"Added account group {account_group.display_name} to workspace {workspace.workspace_id}, {workspace.workspace_name}")
    return permissions

# Clone workspace 'users' group to new account group '{workspace_name}-contributors'
account_group = clone_workspace_group_to_account(
    "users", f"{workspace_name}-contributors"
)

# Add account group '{workspace_name}-contributors' to the workspace
permissions = add_account_group_to_workspace(account_group, workspace)

Dopo aver eseguito lo script per duplicare i gruppi esistenti e riassegnare le autorizzazioni, concedere all'utente users l'accesso al gruppo in modo che ai nuovi utenti venga concesso automaticamente tale accesso.

Annotazioni

Modificare i nomi dei gruppi e i relativi diritti per le politiche e le convenzioni di denominazione dell'organizzazione. Testare sempre le modifiche in un ambiente non di produzione prima di applicarle su larga scala.

Novità successive

Dopo aver modificato l'accesso predefinito all'area di lavoro, è possibile:

• Gestire l'appartenenza al gruppo per concedere privilegi di creazione a nuovi utenti aggiungendoli al gruppo clonato. Vedere Gestisci i gruppi.
• Esaminare e modificare i diritti per singoli utenti o gruppi. Vedere Gestire i diritti.
• Ulteriori informazioni sull'esperienza di accesso del consumatore. Vedere Che cos'è l'accesso degli utenti? e Che cos'è Databricks One?.
• Configurare i controlli di governance dei dati per gli utenti consumer. Vedere Filtri di riga e maschere di colonna.