Управление группами

В этой статье объясняется, как администраторы создают группы Azure Databricks и управляют ими. Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения об управлении доступом для групп см. в разделе "Проверка подлинности и управление доступом".

Общие сведения об управлении группами

Группы упрощают управление идентификацией, упрощая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все идентичности Databricks можно назначать членами групп.

Типы групп в Azure Databricks

Azure Databricks имеет четыре типа групп, классифицированных по их источнику:

• &лt;с0>группы учетных записей</с0> могут получить доступ к данным в <с1>каталоге Unity</с1>, получить роли субъектов-служб и групп, а также разрешения на <с2>федеративные рабочие области</с2> удостоверения.

• локальные группы рабочей области являются устаревшими группами, которые можно использовать только в контексте созданной рабочей области. Эти группы нельзя назначать для дополнительных рабочих областей, предоставлять доступ к данным в хранилище Unity Catalog или предоставлять роли на уровне учетной записи. Databricks рекомендует превратить существующие локальные группы рабочей области в группы учетных записей. Дополнительные сведения о локальных группах рабочей области см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

• внешние группы — это группы, созданные в Azure Databricks из идентификатора Microsoft Entra. Эти группы создаются с помощью соединителя предоставления SCIM и синхронизируются с Microsoft Entra ID. По умолчанию членство во внешней группе нельзя обновить через консоль учетной записи Azure Databricks или страницу настроек администратора рабочей области. Внешние группы — это группы учетных записей.

  Примечание

  Чтобы обновить членство во внешней группе для групп, управляемых с помощью подготовки SCIM в пользовательском интерфейсе Azure Databricks, администратор учетной записи может отключить предварительной версии внешних групп на странице предварительной версии консоли учетной записи. Внешние группы, управляемые с помощью автоматического управления удостоверениями, не могут обновляться в Azure Databricks даже при отключении неизменяемой предварительной версии внешних групп.

• системные группы создаются и поддерживаются компанией Azure Databricks. У каждой учетной записи есть системная группа учетных записей с именем account users, которая включает всех пользователей. В каждой рабочей области есть две системные группы уровня рабочей области: users и admins. Все члены рабочей области принадлежат группе users, а администраторы рабочей области также являются членами группы admins. Не удается удалить системные группы.

Пользователи со встроенной ролью помощника или владельца в Azure автоматически назначаются группе рабочей области admins. Дополнительные сведения см. в статье Управление подпиской.

Кто может управлять группами учетных записей?

Чтобы создать группы учетных записей в Azure Databricks, необходимо быть администратором учетной записи или администратором рабочей области. Администраторы рабочей области должны находиться в федеративных рабочих областях, чтобы создать группу учетных записей.

Для управления группами учетных записей в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Руководители групп могут управлять членством в группах и удалять группу. Они также могут назначать других пользователей роль диспетчера групп. Администраторы учетных записей могут управлять ролями групп с помощью консоли учетной записи, а администраторы рабочей области могут управлять ролями группы с помощью страницы параметров администратора рабочей области. Менеджеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API Контроля Доступа к Учетным Записям.

Администраторы учетных записей имеют роль диспетчера групп на уровне учетной записи, что означает, что у них есть роль диспетчера групп для всех групп в учетной записи. Администраторы рабочей области имеют роль диспетчера групп в группах учетных записей, которые они создают.

Администраторы рабочей области также могут создавать локальные группы рабочей области и управлять ими.

Синхронизация групп с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra

Группы можно синхронизировать из вашего клиента Microsoft Entra ID с учетной записью Azure Databricks автоматически или с помощью коннектора обеспечения SCIM.

автоматическое управление удостоверениями (общедоступная предварительная версия) позволяет добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Эта предварительная версия поддерживает вложенные группы. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.

Примечание

Во время общедоступной предварительной версии автоматического управления удостоверениями вложенные группы не перечислены в пользовательском интерфейсе Azure Databricks. См. ограничения пользовательского интерфейса автоматического управления идентификацией во время общедоступной предварительной версии .

Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Управление группами учетных записей с помощью консоли учетной записи

Администраторы учетных записей могут добавлять группы и управлять ими в учетной записи Azure Databricks с помощью консоли учетной записи. Администраторы рабочей области и руководители групп могут управлять группами с помощью страницы параметров рабочей области и API Databricks. См. статью "Управление группами учетных записей" с помощью страницы параметров администратора рабочей области и управления группами учетных записей с помощью API.

Добавление групп в учетную запись с использованием консоли учетной записи

Чтобы добавить группу в учетную запись с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На странице Группы нажмите кнопку Добавить группу.
4. Ввод наименования для группы.
5. Нажмите кнопку Подтвердить.
6. При появлении запроса добавьте пользователей, субъектов-служб и группы в группу.

Добавление участников в группу с помощью консоли учетной записи

Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя управлять членством во внешних группах в консоли учетной записи по умолчанию. Чтобы добавить пользователей, субъектов-служб и группы в группу с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую вы хотите обновить.
4. Щелкните Добавить участников.
5. Найдите пользователя, группу или учетную запись службы, которую вы хотите добавить, и выберите её.
6. Нажмите кнопку Добавить.

Между обновлением группы из учетной записи и обновлением этой группы в рабочих областях существует задержка в несколько минут.

Управление ролями в группе с помощью консоли учетной записи

Важно!

Эта функция предоставляется в режиме общедоступной предварительной версии.

Администраторы учетных записей могут предоставлять роли в группах учетных записей в консоли учетной записи.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке "Группы" найдите и щелкните имя группы.
4. Выберите вкладку Разрешения .
5. Щелкните Предоставить доступ.
6. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.
7. Нажмите кнопку Сохранить.

Изменение имени группы

Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя обновить имя внешних групп в консоли учетной записи по умолчанию. Администраторы учетных записей могут обновить имя групп учетных записей с помощью консоли учетной записи:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую вы хотите обновить.
4. Щелкните Сведения о группе.
5. В разделе Имяобновите имя.
6. Нажмите кнопку Сохранить.

Диспетчеры групп не могут изменить имя группы с помощью консоли учетной записи. Вместо этого используйте API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Назначьте группу к рабочей области с помощью консоли учетной записи

Чтобы добавить группы в рабочую область с помощью консоли учетной записи, рабочая область должна поддерживать федерацию идентичности. Только группы учетных записей могут быть назначены рабочим областям.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Нажмите имя рабочей области.
4. На вкладке Permissions (Разрешения) щелкните Add permissions (Добавить разрешения).
5. Найдите и выберите группу, назначьте уровень разрешений (рабочая область пользователь или администратор), а затем нажмите кнопку Сохранить.

Удалить группу из рабочей области с помощью консоли учетной записи

Чтобы удалить группы в рабочей области с помощью консоли учетной записи , рабочая область должна быть активирована для федерации удостоверений . Только группы учетных записей удаляются из рабочих областей с помощью консоли учетной записи.

Если группа учетных записей удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если позже группу добавить обратно в рабочую область, она восстановит свои предыдущие разрешения.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке "Разрешения" найдите группу.
5. Щелкните меню kebab в крайнем правом углу строки группы и выберите Удалить.
6. В диалоговом окне подтверждения щелкните Удалить.

Назначение ролей администратора учетной записи группе

Вы не можете назначить роль администратора учетной записи или администратора Marketplace группе с помощью консоли учетной записи, но ее можно назначить группам с помощью API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Удаление групп из учетной записи Azure Databricks

Администраторы учетных записей могут удалять группы из учетной записи Azure Databricks. Руководители групп также могут удалять группы из учетной записи с помощью API групп учетных записей, см. Управление группами учетных записей с помощьюAPI. При удалении группы с помощью консоли учетной записи, вы должны также удалить группу с помощью соединителей предоставления SCIM или приложений API SCIM, которые были настроены для учетной записи. Если этого не сделать, предоставление ресурсов SCIM будет просто добавлять группу и её участников обратно при следующей синхронизации. См. раздел Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Важно!

При удалении группы все пользователи в этой группе удаляются из учетной записи и теряют доступ к любым рабочим областям, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к учетной записи или любым рабочим областям). Databricks рекомендует воздержаться от удаления групп на уровне учетной записи, если только вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks
• Задания, принадлежащие пользователю, завершаются сбоем
• Кластеры, принадлежащие пользователю, остановлены
• Созданные пользователем запросы или панели мониторинга и общие с использованием учетных данных 'Запуск от имени владельца' должны быть назначены новому владельцу, чтобы предотвратить сбой при совместном использовании.

Чтобы удалить группу с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке группы найдите группу, которую нужно удалить.
4. Щелкните меню кебаб в правом углу строки пользователя и выберите Удалить.
5. В диалоговом окне подтверждения нажмите кнопку Подтверждение удаления.

Примечание

При включении автоматического управления удостоверениями группы, которые находятся в Microsoft Entra ID, отображаются в консоли учетной записи. Их статус отображается как Неактивное: Нет использования, и они не могут быть удалены из списка групп. Они не активны в учетной записи и не засчитываются в лимиты.

Управление группами учетных записей с помощью страницы параметров администратора рабочей области

Администраторы рабочей области могут создавать группы учетных записей и управлять ими в федеративных рабочих областях с помощью страницы параметров администратора рабочей области.

Примечание

Между обновлением группы учетных записей из рабочей области и ее обновлением в учетной записи может наблюдаться задержка в несколько минут.

Сведения о создании локальных групп рабочей области в рабочих областях см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

Создание или назначение группы рабочей области с помощью страницы параметров администратора рабочей области

Чтобы назначить или создать группу учетных записей в рабочей области с помощью страницы параметров администратора рабочей области, сделайте следующее:

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Щелкните Добавить группу.

6. Выберите существующую группу, чтобы назначить для рабочей области, или нажмите Добавить новую, чтобы создать новую группу учетной записи.

   Примечание

   Если рабочая область не включена для федерации удостоверений, нельзя назначать существующие группы учетных записей или добавлять и создавать группы учетных записей в рабочей области. Вместо этого необходимо использовать локальные группы рабочей области, см. раздел "Управление локальными группами рабочей области" (устаревшими версиями).

Добавление участников в группу с помощью страницы параметров администратора рабочей области

Чтобы добавлять пользователей, субъектов служб и группы в группу учетной записи, необходимо быть администратором рабочей области и использовать для этого страницу настроек администратора рабочей области. Вы можете управлять только членами группы, на которую у вас есть роль менеджера группы. Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя управлять членством во внешних группах на странице параметров администратора рабочей области по умолчанию.

Примечание

Добавить дочернюю группу в группу admins нельзя. Нельзя добавлять локальные группы рабочей области или системные группы в качестве членов групп учетных записей.

Диспетчеры групп, которые не являются администраторами рабочих областей, должны управлять членством в группах с помощью API групп учетных записей.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.
6. На вкладке "Члены" нажмите кнопку "Добавить участников".
7. В диалоговом окне просмотрите или найдите пользователей, субъектов-служб и группы, которые вы хотите добавить и выбрать.
8. Нажмите кнопку Подтвердить.

Управление ролями в группе учетных записей с помощью страницы параметров администратора рабочей области

Важно!

Эта функция предоставляется в режиме общедоступной предварительной версии.

Роль менеджера группы можно назначить пользователям, группам учетных записей и служебным субъектам. Руководители групп могут управлять членством в группах. Они также могут назначать роль диспетчера групп другим пользователям.

Администратор рабочей области должен управлять ролями группы с помощью страницы параметров администратора рабочей области. Менеджеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API управления доступом к учетной записи.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.

6. Выберите вкладку Разрешения .

7. Щелкните Предоставить доступ.

8. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.

   Примечание

   Нельзя назначать роли групп рабочих областей или системных групп в группах учетных записей.

9. Нажмите кнопку Сохранить.

Просмотр родительских групп

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую вы хотите просмотреть.
6. На вкладке "Родительская группа" просмотрите родительские группы для вашей группы.

Удаление группы из рабочей области с помощью страницы параметров администратора рабочей области

Удаление группы из рабочей области не удаляет группу в учетной записи. Если группа удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если группа будет добавлена обратно в рабочую область, группа восстанавливает свои предыдущие разрешения.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу и щелкните x Удалить
6. Нажмите кнопку Удалить, чтобы подтвердить операцию.

Управление группами учетных записей с помощью API

Администраторы учетных записей и администраторы рабочей области и руководители групп могут добавлять, удалять и управлять группами в учетной записи Azure Databricks с помощью API групп учетных записей. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Администраторы рабочей области и руководители групп используют {workspace-domain}/api/2.0/account/scim/v2/.

Дополнительные сведения см. в API групп учетных записей.

Назначить группу рабочему пространству с помощью API

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочих областей для назначения групп рабочим областям, поддерживающим федерацию идентификаций. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

• Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

См. API назначения рабочей области.

Управление ролями для группы с помощью API

Важно!

Эта функция предоставляется в режиме общедоступной предварительной версии.

Менеджеры групп могут управлять ролями групп с помощью API управления доступом к учетным записям. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Администраторы рабочей области и руководители групп используют {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

См. API контроля доступа к учетной записи и прокси-API контроля доступа к учетным записям рабочей области.