Управление локальными группами рабочей области (устаревшая версия)
В этой статье объясняется, как администраторы создают локальные группы рабочей области и управляют ими. Общие сведения о группах учетных записей см. в разделе "Управление группами".
Что такое локальные группы рабочей области?
Локальные группы рабочей области — это устаревшие группы. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области. Локальные группы рабочей области не синхронизируются с учетной записью в качестве групп учетных записей. Вы можете использовать локальные группы рабочей области в рабочей области, в которых они определены, но управлять ими нельзя с помощью интерфейсов на уровне учетной записи. Они не могут быть назначены дополнительным рабочим областям или предоставлять доступ к данным в хранилище метаданных каталога Unity. Локальные группы рабочей области не могут быть предоставлены роли уровня учетной записи. Чтобы воспользоваться преимуществами централизованного удостоверения, Databricks рекомендует использовать группы учетных записей вместо локальных групп рабочей области.
Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью страницы параметров администратора рабочей области, соединителя подготовки для поставщика удостоверений и API групп рабочих областей.
Сведения об управлении доступом для локальных рабочих областей см. в статье "Проверка подлинности и управление доступом".
Примечание.
В федеративных рабочих областях удостоверения локальные группы рабочих областей можно управлять только с помощью API групп рабочих областей. Databricks начал включать новые рабочие области для федерации удостоверений и каталога Unity автоматически 9 ноября 2023 г. с развертыванием постепенного развертывания между учетными записями. Если ваша рабочая область включена для федерации удостоверений по умолчанию, ее нельзя отключить. Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".
Перенос локальных групп рабочей области в группы учетных записей
Databricks рекомендует преобразовать локальные группы рабочей области в группы учетных записей для централизованного администрирования удостоверений.
Шаг 1. Перенос подготовки SCIM на уровне рабочей области в учетную запись
Databricks рекомендует настроить подготовку SCIM на уровне учетной записи для синхронизации групп из поставщика удостоверений в Azure Databricks. Если в настоящее время настроена подготовка SCIM на уровне рабочей области для рабочих областей, необходимо отключить средство подготовки SCIM на уровне рабочей области. В противном случае SCIM уровня рабочей области продолжает создавать и обновлять локальные группы рабочей области. Чтобы настроить новый соединитель подготовки SCIM для учетной записи и отключить SCIM на уровне рабочей области, см. статью "Миграция подготовки SCIM на уровне рабочей области" на уровень учетной записи.
Шаг 2. Изменение имени локальных групп рабочей области
Две группы в рабочей области не могут иметь одинаковое имя. Чтобы добавить новую группу учетных записей в рабочую область с тем же именем, необходимо изменить имя локальных групп рабочей области. Эти действия рекомендуют добавить (workspace)
в имя группы.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Перейдите на вкладку "Группы" и выберите локальную группу рабочей области, которую вы хотите преобразовать в группу учетных записей.
- В разделе "Имя" добавьте
(workspace)
в конец имени группы. - Нажмите кнопку Сохранить.
Шаг 3. Предоставление разрешений группам учетных записей
Предоставьте недавно подготовленным группам учетных записей доступ к тем же функциям, что и у своих локальных рабочих областей. Для каждой новой группы учетных записей:
- Предоставьте группе доступ к рабочей области. См. статью "Назначение группы рабочей области с помощью консоли учетной записи".
- Назначьте права рабочей области в новых группах учетных записей, следуя инструкциям в разделе "Управление правами на группы".
- Используйте рабочий процесс миграции служебных программ UCX для переноса разрешений групп уровня рабочей области на объекты уровня рабочей области в новые группы учетных записей. См . шаг 2. Запустите рабочий процесс миграции группы. Вы также можете перенести разрешения вручную с помощью API разрешений.
Шаг 4. Удаление локальных групп рабочей области
Теперь, когда вы перенесли локальную группу рабочей области в учетную запись и можете удалить локальные группы рабочей области.
- На вкладке "Группы" выберите локальную группу рабочей области, преобразованную в группу учетных записей.
- Нажмите кнопку "Удалить" и нажмите кнопку "Удалить", чтобы подтвердить.
Управление локальными группами рабочей области с помощью API
Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью API SCIM на уровне рабочей области. В федеративных рабочих областях удостоверений локальные группы рабочей области можно управлять только с помощью API. Инструкции см. в разделе API групп рабочих областей.
Управление локальными группами рабочей области с помощью страницы параметров администратора
Администраторы рабочей области могут добавлять локальные группы рабочей области и управлять ими с помощью страницы параметров администратора рабочей области в федеративных рабочих областях, не являющихся удостоверениями.
Создание локальной группы рабочей области с помощью страницы параметров администратора
Чтобы добавить локальную группу рабочей области в рабочую область с помощью параметров администратора, сделайте следующее:
Войдите в рабочую область Azure Databricks как администратор рабочей области.
Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
Щелкните вкладку "Удостоверение" и "Доступ ".
Рядом с группами нажмите кнопку "Управление".
Нажмите кнопку "Создать группу".
Введите имя группы и нажмите кнопку "Создать".
Имена групп должны быть уникальными. Имя группы изменить нельзя. Если вы хотите изменить имя группы, необходимо удалить группу и создать ее заново с новым именем.
Добавление участников в локальную группу рабочей области с помощью страницы параметров администратора
Примечание.
Добавить дочернюю группу в группу admins
нельзя.
Войдите в рабочую область Azure Databricks как администратор рабочей области.
Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
Щелкните вкладку "Удостоверение" и "Доступ ".
Рядом с группами нажмите кнопку "Управление".
Выберите группу, которую нужно обновить.
На вкладке Участники нажмите Добавление пользователей, групп или субъектов-служб.
В диалоговом окне найдите пользователей, субъектов-служб и группы, которые вы хотите добавить, и выберите их.
Нажмите кнопку Подтвердить.
Возможно, потребуется щелкнуть стрелку вниз в селекторе, чтобы скрыть раскрывающийся список и отобразить кнопку Подтвердить.
Удаление пользователя, группы или субъекта-службы из локальной группы рабочей области
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с группами нажмите кнопку "Управление".
- Выберите группу, которую нужно обновить.
- На вкладке Члены найдите пользователя, группу или субъекта-службу, которые нужно удалить, и щелкните значок X в столбце Действия.
- Щелкните Удалить члена для подтверждения.
Примечание.
Вы также можете удалить дочернюю локальную группу рабочей области из родительской группы рабочей области, перейдя на вкладку Родители для группы, которую требуется удалить. Найдите родительскую группу, из которой нужно удалить дочернюю локальную группу рабочей области, и щелкните значок X в столбце Действия.
Просмотр родительских локальных групп рабочей области
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с группами нажмите кнопку "Управление".
- Выберите группу, которую вы хотите просмотреть.
- На вкладке "Родительские группы" просмотрите родительские группы для группы.
Изменение имени группы
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с группами нажмите кнопку "Управление".
- Выберите группу, которую вы хотите просмотреть.
- В разделе "Имя" обновите имя.
- Нажмите кнопку Сохранить.
Синхронизация локальных групп рабочей области из клиента Идентификатора Microsoft Entra
Группы можно синхронизировать с клиентом Идентификатора Microsoft Entra с рабочей областью Azure Databricks с помощью соединителя подготовки SCIM на уровне рабочей области. Подготовка SCIM на уровне рабочей области создает локальные группы рабочей области, которые можно использовать только в рабочей области. Databricks рекомендует использовать подготовку SCIM на уровне учетной записи.