Delen via


Groepen beheren

In dit artikel wordt uitgelegd hoe beheerders Azure Databricks-groepen maken en beheren. Zie Azure Databricks-identiteiten voor een overzicht van het Azure Databricks-identiteitsmodel.

Zie Verificatie en toegangsbeheer om de toegang voor groepen te beheren.

Overzicht van groepsbeheer

Groepen vereenvoudigen identiteitsbeheer door het gemakkelijker te maken om toegang toe te wijzen aan werkruimten, gegevens en andere beveiligbare objecten. Alle Databricks-identiteiten kunnen worden toegewezen als leden van groepen.

Verschil tussen accountgroepen en werkruimte-lokale groepen

Azure Databricks heeft het concept van accountgroepen en verouderde werkruimte-lokale groepen:

  • Accountgroepen kunnen toegang krijgen tot gegevens in een Unity Catalog-metastore , toegewezen rollen voor service-principals en groepen en machtigingen voor identiteitfedereerde werkruimten.
  • Werkruimte-lokale groepen zijn verouderde groepen. Deze groepen worden geïdentificeerd als werkruimte-lokaal op de pagina met werkruimtebeheerdersinstellingen. Werkruimte-lokale groepen kunnen niet worden toegewezen aan extra werkruimten of toegang krijgen tot gegevens in een Unity Catalog-metastore . Aan werkruimte-lokale groepen kunnen geen rollen op accountniveau worden verleend. Zie Werkruimte-lokale groepen beheren (verouderd) voor meer informatie over werkruimte-lokale groepen.

Er zijn twee systeemgroepen in elke werkruimte: users en admins. Alle werkruimtegebruikers zijn leden van de users groep en alle werkruimtebeheerders zijn lid van de admins groep. Systeemgroepen zijn werkruimte-lokale groepen. Systeemgroepen kunnen niet worden verwijderd.

Databricks raadt u aan om bestaande werkruimte-lokale groepen om te zetten in accountgroepen om te profiteren van gecentraliseerde werkruimtetoewijzing en gegevenstoegangsbeheer met behulp van Unity Catalog. Zie Werkruimte-lokale groepen migreren naar accountgroepen.

Notitie

Gebruikers met een ingebouwde rol Inzender, Eigenaar of Aangepaste rol met de Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action machtiging voor de werkruimteresource in Azure worden automatisch toegewezen aan de werkruimtegroep admins . Zie Uw abonnement beheren voor meer informatie.

Wie kan accountgroepen beheren?

Als u accountgroepen wilt maken in Azure Databricks, moet u een accountbeheerder of werkruimtebeheerder zijn. Werkruimtebeheerders moeten zich in een door identiteit gefedereerde werkruimten bevinden om een accountgroep te maken.

Als u accountgroepen in Azure Databricks wilt beheren, moet u de rol groepsbeheerder (openbare preview) voor een groep hebben. Groepsbeheerders kunnen groepslidmaatschap beheren en de groep verwijderen. Ze kunnen ook andere gebruikers de rol groepsbeheerder toewijzen. Accountbeheerders kunnen groepsrollen beheren met behulp van de accountconsole en werkruimtebeheerders kunnen groepsrollen beheren met behulp van de pagina met instellingen voor werkruimtebeheerders. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor toegangsbeheer voor accounts.

Accountbeheerders hebben de rol groepsbeheerder op accountniveau, wat betekent dat ze de groepsmanagerrol hebben voor alle groepen in het account. Werkruimtebeheerders hebben de rol groepsbeheerder voor accountgroepen die ze maken.

Werkruimtebeheerders kunnen ook werkruimte-lokale groepen maken en beheren.

Groepen synchroniseren met uw Azure Databricks-account vanuit uw Microsoft Entra ID-tenant

U kunt groepen vanuit uw Microsoft Entra ID-tenant synchroniseren met uw Azure Databricks-account met behulp van een SCIM-inrichtingsconnector. Zie Identiteiten inrichten voor uw Azure Databricks-account met behulp van Microsoft Entra-id voor instructies.

Belangrijk

Als u SCIM-connectors hebt die identiteiten rechtstreeks synchroniseren met uw werkruimten en deze werkruimten zijn ingeschakeld voor identiteitsfederatie, raden we u aan deze SCIM-connectors uit te schakelen wanneer de SCIM-connector op accountniveau is ingeschakeld. Als u werkruimten hebt die geen identiteitsfederatie gebruiken, moet u alle SCIM-connectors blijven gebruiken die u voor deze werkruimten hebt geconfigureerd, parallel met de SCIM-connector op accountniveau.

Accountgroepen beheren met behulp van de accountconsole

Accountbeheerders kunnen groepen toevoegen en beheren in het Azure Databricks-account met behulp van de accountconsole. Werkruimtebeheerders en groepsbeheerders kunnen groepen beheren met behulp van de pagina werkruimte-instellingen en Databricks-API's. Zie Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen en Accountgroepen beheren met behulp van de API.

Groepen toevoegen aan uw account met behulp van de accountconsole

Ga als volgt te werk om een groep toe te voegen aan het account met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Klik op het tabblad Groepen op Groep toevoegen.
  4. Geef een naam op voor de groep.
  5. Klik op Bevestigen.
  6. Wanneer u hierom wordt gevraagd, voegt u gebruikers, service-principals en groepen toe aan de groep.

Leden toevoegen aan een groep met behulp van de accountconsole

Ga als volgt te werk om gebruikers, service-principals en groepen toe te voegen aan een groep met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Selecteer op het tabblad Groepen de groep die u wilt bijwerken.
  4. Klik op Leden toevoegen.
  5. Zoek de gebruiker, groep of service-principal die u wilt toevoegen en selecteer deze.
  6. Klik op Toevoegen.

Notitie

Er is een vertraging van een paar minuten tussen het bijwerken van een groep vanuit een account en de groep die wordt bijgewerkt in werkruimten.

Rollen in een groep beheren met behulp van de accountconsole

Belangrijk

Deze functie is beschikbaar als openbare preview.

Accountbeheerders kunnen rollen verlenen voor accountgroepen in de accountconsole.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Zoek en klik op het tabblad Groepen op de groepsnaam.
  4. Klik op het tabblad Machtigingen .
  5. Klik op Toegang verlenen.
  6. Zoek en selecteer de gebruiker, service-principal of groep en kies de rol Groep: Manager .
  7. Klik op Opslaan.

De naam van een groep wijzigen

Accountbeheerders kunnen de naam van accountgroepen bijwerken met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Selecteer op het tabblad Groepen de groep die u wilt bijwerken.
  4. Klik op Groepsgegevens.
  5. Werk onder Naam de naam bij.
  6. Klik op Opslaan.

Groepsbeheerders kunnen de naam van een groep niet wijzigen met behulp van de accountconsole. Gebruik in plaats daarvan de API accountgroepen. Voorbeeld:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Zie Toegang tot Azure Databricks-resources verifiëren voor meer informatie over het verifiëren van de API voor accountgroepen.

Een groep toewijzen aan een werkruimte met behulp van de accountconsole

Als u groepen wilt toevoegen aan een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Alleen accountgroepen kunnen worden toegewezen aan werkruimten.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Werkruimten.
  3. Klik op de naam van uw werkruimte.
  4. Klik op het tabblad Permissions (Machtigingen) op Add permissions (Machtigingen toevoegen).
  5. Zoek en selecteer de groep, wijs het machtigingsniveau toe (werkruimtegebruiker of beheerder) en klik vervolgens op Opslaan.

Een groep verwijderen uit een werkruimte met behulp van de accountconsole

Als u groepen wilt verwijderen naar een werkruimte met behulp van de accountconsole, moet de werkruimte zijn ingeschakeld voor identiteitsfederatie. Alleen accountgroepen zijn verwisselbaar vanuit werkruimten met behulp van de accountconsole.

Wanneer een accountgroep uit een werkruimte wordt verwijderd, hebben groepsleden geen toegang meer tot de werkruimte, maar worden machtigingen voor de groep behouden. Als de groep later weer wordt toegevoegd aan een werkruimte, krijgt de groep weer de vorige machtigingen.

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Werkruimten.
  3. Klik op de naam van uw werkruimte.
  4. Zoek de groep op het tabblad Machtigingen .
  5. Klik helemaal rechts in de groepsrij op het Menu VanGelezen menu van de resourcegroep en selecteer Verwijderen.
  6. Klik in het bevestigingsvenster op Verwijderen.

Accountbeheerdersrollen toewijzen aan een groep

U kunt de accountbeheerder of marketplace-beheerdersrol niet toewijzen aan een groep met behulp van de accountconsole, maar u kunt deze toewijzen aan groepen met behulp van de ACCOUNTgroepen-API. Voorbeeld:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Zie Toegang tot Azure Databricks-resources verifiëren voor meer informatie over het verifiëren van de API voor accountgroepen.

Groepen verwijderen uit uw Azure Databricks-account

Accountbeheerders kunnen groepen verwijderen uit een Azure Databricks-account. Groepsbeheerders kunnen ook groepen uit het account verwijderen met behulp van de API Accountgroepen. Zie Accountgroepen beheren met behulp van de API.

Belangrijk

Wanneer u een groep verwijdert, worden alle gebruikers in die groep verwijderd uit het account en hebben ze geen toegang meer tot werkruimten waartoe ze toegang hadden (tenzij ze lid zijn van een andere groep of rechtstreeks toegang hebben gekregen tot het account of werkruimten). Databricks raadt u aan geen groepen op accountniveau te verwijderen, tenzij u wilt dat ze geen toegang meer hebben tot alle werkruimten in het account. Houd rekening met de volgende gevolgen van het verwijderen van gebruikers:

  • Toepassingen of scripts die gebruikmaken van de tokens die door de gebruiker worden gegenereerd, hebben geen toegang meer tot Databricks-API's
  • Taken die eigendom zijn van de gebruiker mislukken
  • Clusters waarvan de gebruiker eigenaar is, stoppen
  • Query's of dashboards die zijn gemaakt door de gebruiker en die zijn gedeeld met de referenties Uitvoeren als eigenaar, moeten worden toegewezen aan een nieuwe eigenaar om te voorkomen dat delen mislukt

Ga als volgt te werk om een groep te verwijderen met behulp van de accountconsole:

  1. Meld u als accountbeheerder aan bij de accountconsole.
  2. Klik in de zijbalk op Gebruikersbeheer.
  3. Zoek op het tabblad Groepen de groep die u wilt verwijderen.
  4. Klik helemaal rechts in de rij van de gebruiker op het Menu VanGelezen menu van De resource en selecteer Verwijderen.
  5. Klik in het bevestigingsdialoogvenster op Verwijderen bevestigen.

Als u een groep verwijdert met behulp van de accountconsole, moet u ervoor zorgen dat u de groep ook verwijdert met behulp van SCIM-inrichtingsconnectors of SCIM API-toepassingen die zijn ingesteld voor het account. Als u dit niet doet, voegt SCIM-inrichting de groep en de bijbehorende leden terug toe wanneer deze de volgende keer wordt gesynchroniseerd. Zie Gebruikers en groepen synchroniseren vanuit Microsoft Entra-id.

Als u een groep wilt verwijderen uit een Azure Databricks-account met behulp van de API, raadpleegt u Gebruikers en groepen synchroniseren met uw Azure Databricks-account en de API accountgroepen.

Accountgroepen beheren met behulp van de pagina met werkruimtebeheerdersinstellingen

Werkruimtebeheerders kunnen accountgroepen maken en beheren in identiteitsfedereerde werkruimten met behulp van de pagina met werkruimtebeheerdersinstellingen.

Notitie

Er is een vertraging van een paar minuten tussen het bijwerken van een accountgroep vanuit een werkruimte en de groep die wordt bijgewerkt in het account.

Zie Werkruimte-lokale groepen beheren (verouderd) voor informatie over het maken van werkruimte-lokale groepen in werkruimten.

Een groep maken of toewijzen aan een werkruimte met behulp van de pagina met werkruimtebeheerdersinstellingen

Ga als volgt te werk om een accountgroep in een werkruimte toe te wijzen of te maken met behulp van de pagina Met beheerdersinstellingen voor werkruimten:

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.

  3. Klik op het tabblad Identiteit en toegang .

  4. Klik naast Groepen op Beheren.

  5. Klik op Groep toevoegen.

  6. Selecteer een bestaande groep die u wilt toewijzen aan de werkruimte of klik op Nieuwe toevoegen om een nieuwe accountgroep te maken.

    Notitie

    Als uw werkruimte niet is ingeschakeld voor identiteitsfederatie, kunt u geen bestaande accountgroepen toewijzen of accountgroepen maken in uw werkruimte. U moet in plaats daarvan werkruimte-lokale groepen gebruiken. Zie Werkruimte-lokale groepen beheren (verouderd).

Leden toevoegen aan een groep met behulp van de pagina met werkruimtebeheerdersinstellingen

U moet een werkruimtebeheerder zijn om gebruikers, service-principals en groepen toe te voegen aan een accountgroep met behulp van de pagina met werkruimtebeheerdersinstellingen. U kunt alleen leden van een groep beheren waarvoor u de rol groepsbeheerder hebt.

Notitie

U kunt geen onderliggende groep aan de admins groep toevoegen. U kunt geen werkruimte-lokale groepen of systeemgroepen toevoegen als leden van accountgroepen.

Groepsbeheerders die geen werkruimtebeheerders zijn, moeten groepslidmaatschap beheren met behulp van de API accountgroepen.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Selecteer de groep die u wilt bijwerken. U moet de rol groepsbeheerder voor de groep hebben om deze bij te werken.
  6. Klik op het tabblad Leden op Leden toevoegen.
  7. Blader of zoek in het dialoogvenster naar de gebruikers, service-principals en groepen die u wilt toevoegen en selecteer ze.
  8. Klik op Bevestigen.

Rollen voor een accountgroep beheren met behulp van de pagina met instellingen voor werkruimtebeheerders

Belangrijk

Deze functie is beschikbaar als openbare preview.

U kunt de groepsbeheerderrol toewijzen aan gebruikers, accountgroepen en service-principals. Groepsbeheerders kunnen groepslidmaatschap beheren. Ze kunnen de groepsmanagerrol ook toewijzen aan andere gebruikers.

U moet een werkruimtebeheerder zijn om groepsrollen te beheren met behulp van de pagina met werkruimtebeheerdersinstellingen. Groepsbeheerders die geen werkruimtebeheerders zijn, kunnen groepsrollen beheren met behulp van de API voor accounttoegangsbeheer.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.

  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.

  3. Klik op het tabblad Identiteit en toegang .

  4. Klik naast Groepen op Beheren.

  5. Selecteer de groep die u wilt bijwerken. U moet de rol groepsbeheerder voor de groep hebben om deze bij te werken.

  6. Klik op het tabblad Machtigingen .

  7. Klik op Toegang verlenen.

  8. Zoek en selecteer de gebruiker, service-principal of groep en kies de rol Groep: Manager .

    Notitie

    U kunt geen rollen voor werkruimtegroepen of systeemgroepen toewijzen aan accountgroepen.

  9. Klik op Opslaan.

Bovenliggende groepen weergeven

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Selecteer de groep die u wilt weergeven.
  6. Bekijk op het tabblad Bovenliggende groep de bovenliggende groepen voor uw groep.

Een groep verwijderen uit een werkruimte met behulp van de pagina met instellingen voor werkruimtebeheerders

Als u een groep uit een werkruimte verwijdert, wordt de groep in het account niet verwijderd. Wanneer een groep wordt verwijderd uit een werkruimte, hebben groepsleden geen toegang meer tot de werkruimte, maar blijven machtigingen behouden voor de groep. Als de groep later weer wordt toegevoegd aan de werkruimte, krijgt de groep weer de vorige machtigingen.

  1. Meld u als werkruimtebeheerder aan bij de Azure Databricks-werkruimte.
  2. Klik op uw gebruikersnaam in de bovenste balk van de Azure Databricks-werkruimte en selecteer Instellingen.
  3. Klik op het tabblad Identiteit en toegang .
  4. Klik naast Groepen op Beheren.
  5. Selecteer de groep en klik op x Verwijderen
  6. Klik op Verwijderen om te bevestigen.

Accountgroepen beheren met behulp van de API

Accountbeheerders en werkruimtebeheerders en groepsbeheerders kunnen groepen toevoegen, verwijderen en beheren in het Azure Databricks-account met behulp van de API accountgroepen. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:

  • Accountbeheerders gebruiken {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Werkruimtebeheerders en groepsbeheerders gebruiken {workspace-domain}/api/2.0/account/scim/v2/.

Zie de API accountgroepen voor meer informatie.

Een groep toewijzen aan een werkruimte met behulp van de API

Account- en werkruimtebeheerders kunnen de Werkruimtetoewijzings-API gebruiken om groepen toe te wijzen aan werkruimten die zijn ingeschakeld voor identiteitsfederatie. De API voor werkruimtetoewijzing wordt ondersteund via het Azure Databricks-account en werkruimten.

  • Accountbeheerders gebruiken {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Werkruimtebeheerders gebruiken {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Zie werkruimtetoewijzings-API.

Rollen voor een groep beheren met behulp van de API

Belangrijk

Deze functie is beschikbaar als openbare preview.

Groepsbeheerders kunnen groepsrollen beheren met behulp van de Api voor toegangsbeheer voor accounts. Accountbeheerders en werkruimtebeheerders en groepsbeheerders moeten de API aanroepen met behulp van een andere eindpunt-URL:

  • Accountbeheerders gebruiken {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Werkruimtebeheerders en groepsbeheerders gebruiken {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Zie De API voor accounttoegangsbeheer en de proxy-API voor toegangsbeheer voor accounts.