Gerenciar grupos locais do espaço de trabalho (legado)
Este artigo explica como os administradores criam e gerenciam grupos locais de espaço de trabalho. Para obter uma visão geral dos grupos de contas, consulte Gerenciar grupos.
O que são grupos locais de espaço de trabalho?
Os grupos locais de espaço de trabalho são grupos herdados. Esses grupos são identificados como locais do espaço de trabalho na página de configurações de administração do espaço de trabalho. Os grupos locais do espaço de trabalho não são sincronizados com a conta como grupos de contas. Você pode usar grupos locais de espaço de trabalho no espaço de trabalho em que eles estão definidos, mas não pode gerenciá-los usando interfaces no nível da conta. Eles não podem ser atribuídos a espaços de trabalho adicionais ou acesso concedido a dados em um metastore do Catálogo Unity . Os grupos locais de espaço de trabalho não podem receber funções no nível da conta. Para aproveitar a identidade centralizada, o Databricks recomenda que você use grupos de contas em vez de grupos locais de espaço de trabalho.
Os administradores de espaço de trabalho podem adicionar e gerenciar grupos locais de espaço de trabalho usando a página de configurações de administração do espaço de trabalho, um conector de provisionamento para seu provedor de identidade e a API de Grupos de Espaço de Trabalho.
Para gerenciar o acesso para grupos locais de espaço de trabalho, consulte Autenticação e controle de acesso.
Nota
Em espaços de trabalho federados de identidade, os grupos locais de espaço de trabalho só podem ser gerenciados usando a API de Grupos de Espaço de Trabalho. O Databricks começou a habilitar novos espaços de trabalho para federação de identidades e Unity Catalog automaticamente em 9 de novembro de 2023, com uma implementação prosseguindo gradualmente entre contas. Se o espaço de trabalho estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, consulte Ativação automática do catálogo Unity.
Migrar grupos locais do espaço de trabalho para grupos de contas
O Databricks recomenda a conversão de grupos locais de espaço de trabalho em grupos de contas para administração centralizada de identidades.
Etapa 1: Migrar o provisionamento SCIM no nível do espaço de trabalho para a conta
O Databricks recomenda que você configure o provisionamento SCIM no nível da conta para sincronizar grupos do seu provedor de identidade com o Azure Databricks. Se você tiver atualmente o provisionamento SCIM no nível do espaço de trabalho configurado para seus espaços de trabalho, deverá desabilitar o provisionador SCIM no nível do espaço de trabalho. Caso contrário, o SCIM no nível do espaço de trabalho continuará a criar e atualizar grupos locais do espaço de trabalho. Para configurar um novo conector de provisionamento SCIM para sua conta e desabilitar o SCIM no nível do espaço de trabalho, consulte Migrar o provisionamento do SCIM no nível do espaço de trabalho para o nível da conta.
Etapa 2: alterar o nome dos grupos locais do espaço de trabalho
Dois grupos em um espaço de trabalho não podem ter o mesmo nome. Você deve alterar o nome dos grupos locais do espaço de trabalho para adicionar um novo grupo de contas ao espaço de trabalho com o mesmo nome. Estas etapas recomendam adicionar (workspace)
ao nome do grupo.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Grupos e selecione o grupo local de trabalho que você deseja converter em um grupo de contas.
- Em Nome, adicione
(workspace)
ao final do nome do grupo. - Clique em Guardar.
Etapa 3: Conceder permissões aos grupos de contas
Conceda aos grupos de contas recém-provisionados acesso às mesmas funcionalidades que seus homólogos locais do espaço de trabalho tinham. Para cada novo grupo de contas:
- Conceda ao grupo acesso ao seu espaço de trabalho. Consulte Atribuir um grupo a um espaço de trabalho usando o console da conta.
- Atribua direitos de espaço de trabalho nos novos grupos de contas, seguindo as instruções em Gerenciar direitos em grupos.
- Use o fluxo de trabalho de migração de grupo de utilitários UCX para migrar as permissões dos grupos no nível do espaço de trabalho para objetos no nível do espaço de trabalho para os novos grupos de contas. Consulte o Passo 2. Execute o fluxo de trabalho de migração de grupo. Você também pode migrar permissões manualmente usando a API de Permissões.
Etapa 4: Excluir os grupos locais do espaço de trabalho
Agora que você migrou seu grupo local de espaço de trabalho para a conta e pode excluir seus grupos locais de espaço de trabalho.
- Na guia Grupos, selecione o grupo local do espaço de trabalho que você converteu em um grupo de contas.
- Clique em x Excluir e clique em Excluir para confirmar.
Gerenciar grupos locais do espaço de trabalho usando a API
Os administradores de espaço de trabalho podem adicionar e gerenciar grupos locais de espaço de trabalho usando a API SCIM no nível do espaço de trabalho. Em espaços de trabalho federados de identidade, os grupos locais de espaço de trabalho só podem ser gerenciados usando a API. Para obter instruções, consulte API de grupos de espaço de trabalho.
Gerenciar grupos locais do espaço de trabalho usando a página de configurações de administrador
Os administradores de espaço de trabalho podem adicionar e gerenciar grupos locais de espaço de trabalho usando a página de configurações de administração do espaço de trabalho em espaços de trabalho federados sem identidade.
Criar um grupo local de espaço de trabalho usando a página de configurações de administrador
Para adicionar um grupo local de trabalho a um espaço de trabalho usando as configurações de administrador, faça o seguinte:
Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
Clique na guia Identidade e acesso .
Ao lado de Grupos, clique em Gerenciar.
Clique em Criar grupo.
Insira um nome de grupo e clique em Criar.
Os nomes dos grupos devem ser exclusivos. Não é possível alterar o nome de um grupo. Se pretender alterar o nome de um grupo, tem de eliminar o grupo e recriá-lo com o novo nome.
Adicionar membros a um grupo local de espaço de trabalho usando a página de configurações de administrador
Nota
Não é possível adicionar um grupo filho ao admins
grupo.
Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
Clique na guia Identidade e acesso .
Ao lado de Grupos, clique em Gerenciar.
Selecione o grupo que deseja atualizar.
Na guia Membros, clique em Adicionar usuários, grupos ou entidades de serviço.
Na caixa de diálogo, procure ou pesquise os usuários, entidades de serviço e grupos que deseja adicionar e selecione-os.
Clique em Confirmar.
Talvez seja necessário clicar na seta para baixo no seletor para ocultar a lista suspensa e mostrar o botão Confirmar .
Remover um usuário, grupo ou entidade de serviço de um grupo local de trabalho
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja atualizar.
- Na guia Membros, localize o usuário, grupo ou entidade de serviço que deseja remover e clique no X na coluna Ações.
- Clique em Remover Membro para confirmar.
Nota
Você também pode remover um grupo local de espaço de trabalho filho de seu grupo local de espaço de trabalho pai indo para a guia Pais do grupo que deseja remover. Localize o grupo pai do qual você deseja remover o grupo local do espaço de trabalho filho e clique no X na coluna Ações .
Exibir grupos locais do espaço de trabalho pai
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja visualizar.
- Na guia Grupos pai, exiba os grupos pai do seu grupo.
Alterar o nome de um grupo
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior da área de trabalho do Azure Databricks e selecione Definições.
- Clique na guia Identidade e acesso .
- Ao lado de Grupos, clique em Gerenciar.
- Selecione o grupo que deseja visualizar.
- Em Nome, atualize o nome.
- Clique em Guardar.
Sincronizar grupos locais do espaço de trabalho do locatário do Microsoft Entra ID
Você pode sincronizar grupos do locatário do Microsoft Entra ID com o espaço de trabalho do Azure Databricks usando um conector de provisionamento SCIM no nível do espaço de trabalho. O provisionamento SCIM no nível do espaço de trabalho cria grupos locais do espaço de trabalho que só podem ser usados em seu espaço de trabalho. Em vez disso, o Databricks recomenda o uso do provisionamento SCIM no nível da conta.