Dela via


Hantera grupper

Den här artikeln beskriver hur administratörer skapar och hanterar Azure Databricks-grupper. En översikt över Azure Databricks-identitetsmodellen finns i Azure Databricks-identiteter.

Information om hur du hanterar åtkomst för grupper finns i Autentisering och åtkomstkontroll.

Översikt över grupphantering

Grupper förenklar identitetshanteringen genom att göra det enklare att tilldela åtkomst till arbetsytor, data och andra skyddsbara objekt. Alla Databricks-identiteter kan tilldelas som medlemmar i grupper.

Skillnad mellan kontogrupper och lokala arbetsytegrupper

Azure Databricks har begreppet kontogrupper och äldre arbetsytelokala grupper:

  • Kontogrupper kan beviljas åtkomst till data i ett Unity Catalog-metaarkiv , beviljas roller för tjänstens huvudnamn och grupper samt behörigheter till identitetsanslutna arbetsytor.
  • Arbetsytelokala grupper är äldre grupper. Dessa grupper identifieras som arbetsytelokala på sidan administratörsinställningar för arbetsytan. Arbetsytelokala grupper kan inte tilldelas till ytterligare arbetsytor eller beviljas åtkomst till data i ett Unity Catalog-metaarkiv . Arbetsytelokala grupper kan inte beviljas roller på kontonivå. Mer information om lokala arbetsytegrupper finns i Hantera arbetsytelokala grupper (äldre).

Det finns två systemgrupper på varje arbetsyta: users och admins. Alla arbetsyteanvändare är medlemmar i users gruppen och alla arbetsyteadministratörer är medlemmar i admins gruppen. Systemgrupper är arbetsytelokala grupper. Det går inte att ta bort systemgrupper.

Databricks rekommenderar att du omvandlar befintliga arbetsytelokala grupper till kontogrupper för att dra nytta av centraliserad arbetsytetilldelning och dataåtkomsthantering med hjälp av Unity Catalog. Se Migrera lokala arbetsytegrupper till kontogrupper.

Kommentar

Användare med en inbyggd deltagare, ägare eller anpassad roll med behörigheten Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action för arbetsyteresursen i Azure tilldelas automatiskt till arbetsytegruppen admins . Mer information finns i Hantera din prenumeration.

Vem kan hantera kontogrupper?

Om du vill skapa kontogrupper i Azure Databricks måste du vara kontoadministratör eller arbetsyteadministratör. Arbetsyteadministratörer måste finnas i en identitetsansluten arbetsyta för att skapa en kontogrupp.

Om du vill hantera kontogrupper i Azure Databricks måste du ha rollen grupphanterare (offentlig förhandsversion) i en grupp. Gruppchefer kan hantera gruppmedlemskap och ta bort gruppen. De kan också tilldela andra användare rollen gruppchef. Kontoadministratörer kan hantera grupproller med kontokonsolen, och arbetsyteadministratörer kan hantera grupproller med hjälp av sidan administratörsinställningar för arbetsytan. Gruppchefer som inte är arbetsyteadministratörer kan hantera grupproller med hjälp av API:et för åtkomstkontroll för konton.

Kontoadministratörer har rollen gruppchef på kontonivå, vilket innebär att de har rollen gruppchef för alla grupper i kontot. Arbetsyteadministratörer har rollen gruppchef för kontogrupper som de skapar.

Arbetsyteadministratörer kan också skapa och hantera arbetsytelokala grupper.

Synkronisera grupper till ditt Azure Databricks-konto från din Microsoft Entra ID-klientorganisation

Du kan synkronisera grupper från din Microsoft Entra ID-klientorganisation till ditt Azure Databricks-konto med hjälp av en SCIM-etableringsanslutning. Anvisningar finns i Etablera identiteter till ditt Azure Databricks-konto med hjälp av Microsoft Entra-ID.

Viktigt!

Om du har SCIM-anslutningsappar som synkroniserar identiteter direkt till dina arbetsytor och dessa arbetsytor är aktiverade för identitetsfederation rekommenderar vi att du inaktiverar dessa SCIM-anslutningsappar när SCIM-anslutningsappen på kontonivå är aktiverad. Om du har arbetsytor som inte använder identitetsfederation måste du fortsätta att använda eventuella SCIM-anslutningsappar som du har konfigurerat för dessa arbetsytor, som körs parallellt med SCIM-anslutningsappen på kontonivå.

Hantera kontogrupper med kontokonsolen

Kontoadministratörer kan lägga till och hantera grupper i Azure Databricks-kontot med hjälp av kontokonsolen. Arbetsyteadministratörer och grupphanterare kan hantera grupper med hjälp av arbetsytans inställningssida och Databricks-API:er. Se Hantera kontogrupper med hjälp av sidan för administratörsinställningar för arbetsytan och Hantera kontogrupper med hjälp av API:et.

Lägga till grupper i ditt konto med kontokonsolen

Gör följande för att lägga till en grupp i kontot med hjälp av kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper klickar du på Lägg till grupp.
  4. Ange ett namn på gruppen.
  5. Klicka på Bekräfta.
  6. När du uppmanas till det lägger du till användare, tjänstens huvudnamn och grupper i gruppen.

Lägga till medlemmar i en grupp med kontokonsolen

Gör följande för att lägga till användare, tjänstens huvudnamn och grupper i en grupp med hjälp av kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper väljer du den grupp som du vill uppdatera.
  4. Klicka på Lägg till medlemmar.
  5. Sök efter användaren, gruppen eller tjänstens huvudnamn som du vill lägga till och välj det.
  6. Klicka på Lägg till.

Kommentar

Det finns en fördröjning på några minuter mellan uppdateringen av en grupp från ett konto och den grupp som uppdateras på arbetsytor.

Hantera roller i en grupp med hjälp av kontokonsolen

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Kontoadministratörer kan bevilja roller för kontogrupper i kontokonsolen.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper letar du upp och klickar på gruppnamnet.
  4. Klicka på fliken Behörigheter .
  5. Klicka på Bevilja åtkomst.
  6. Sök efter och välj användaren, tjänstens huvudnamn eller grupp och välj rollen Grupp: Chef .
  7. Klicka på Spara.

Ändra namnet på en grupp

Kontoadministratörer kan uppdatera namnet på kontogrupper i med kontokonsolen:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper väljer du den grupp som du vill uppdatera.
  4. Klicka på Gruppinformation.
  5. Under Namn uppdaterar du namnet.
  6. Klicka på Spara.

Gruppansvariga kan inte ändra namnet på en grupp med hjälp av kontokonsolen. Använd i stället API:et för kontogrupper. Till exempel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Information om hur du autentiserar till API för kontogrupper finns i Autentisera åtkomst till Azure Databricks-resurser.

Tilldela en grupp till en arbetsyta med kontokonsolen

Om du vill lägga till grupper i en arbetsyta med kontokonsolen måste arbetsytan vara aktiverad för identitetsfederation. Endast kontogrupper kan tilldelas till arbetsytor.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Klicka på Permissions (Behörigheter) på fliken Add permissions (Lägg till behörigheter).
  5. Sök efter och välj gruppen, tilldela behörighetsnivån (arbetsytans användare eller administratör) och klicka sedan på Spara.

Ta bort en grupp från en arbetsyta med kontokonsolen

Om du vill ta bort grupper till en arbetsyta med kontokonsolen måste arbetsytan vara aktiverad för identitetsfederation. Endast kontogrupper är flyttbara från arbetsytor med hjälp av kontokonsolen.

När en kontogrupp tas bort från en arbetsyta kan gruppmedlemmar inte längre komma åt arbetsytan, men behörigheter underhålls i gruppen. Om gruppen senare läggs tillbaka till en arbetsyta återfår gruppen sina tidigare behörigheter.

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Arbetsytor.
  3. Klicka på arbetsytans namn.
  4. Leta reda på gruppen på fliken Behörigheter .
  5. Menyn Kebab Klicka på menyn för kebab längst till höger i gruppraden och välj Ta bort.
  6. Klicka på Ta bort i bekräftelsedialogrutan.

Tilldela kontoadministratörsroller till en grupp

Du kan inte tilldela rollen kontoadministratör eller Marketplace-administratör till en grupp med kontokonsolen, men du kan tilldela den till grupper med hjälp av API:et Kontogrupper. Till exempel:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Information om hur du autentiserar till API för kontogrupper finns i Autentisera åtkomst till Azure Databricks-resurser.

Ta bort grupper från ditt Azure Databricks-konto

Kontoadministratörer kan ta bort grupper från ett Azure Databricks-konto. Gruppansvariga kan också ta bort grupper från kontot med hjälp av API:et Kontogrupper. Mer information finns i Hantera kontogrupper med hjälp av API:et.

Viktigt!

När du tar bort en grupp tas alla användare i gruppen bort från kontot och förlorar åtkomst till alla arbetsytor som de hade åtkomst till (såvida de inte är medlemmar i en annan grupp eller har beviljats direkt åtkomst till kontot eller arbetsytor). Databricks rekommenderar att du avstår från att ta bort grupper på kontonivå om du inte vill att de ska förlora åtkomsten till alla arbetsytor i kontot. Tänk på följande konsekvenser av att ta bort användare:

  • Program eller skript som använder token som genereras av användaren kan inte längre komma åt Databricks-API:er
  • Jobb som ägs av användaren misslyckas
  • Kluster som ägs av användaren stoppas
  • Frågor eller instrumentpaneler som skapats av användaren och delats med hjälp av autentiseringsuppgifterna Kör som ägare måste tilldelas till en ny ägare för att förhindra att delning misslyckas

Om du vill ta bort en grupp med kontokonsolen gör du följande:

  1. Logga in på kontokonsolen som kontoadministratör.
  2. I sidofältet klickar du på Användarhantering.
  3. På fliken Grupper letar du reda på den grupp som du vill ta bort.
  4. Menyn Kebab Klicka på menyn för kebab längst till höger på användarraden och välj Ta bort.
  5. I bekräftelsedialogrutan klickar du på Bekräfta borttagning.

Om du tar bort en grupp med kontokonsolen måste du även ta bort gruppen med hjälp av scim-etableringsanslutningsprogram eller SCIM API-program som har konfigurerats för kontot. Om du inte gör det lägger SCIM-etableringen bara till gruppen och dess medlemmar nästa gång den synkroniseras. Se Synkronisera användare och grupper från Microsoft Entra-ID.

Information om hur du tar bort en grupp från ett Azure Databricks-konto med hjälp av API:et finns i Synkronisera användare och grupper till ditt Azure Databricks-konto och API för kontogrupper.

Hantera kontogrupper med hjälp av sidan administratörsinställningar för arbetsytan

Arbetsyteadministratörer kan skapa och hantera kontogrupper i identitetsanslutna arbetsytor med hjälp av sidan administratörsinställningar för arbetsytan.

Kommentar

Det finns en fördröjning på några minuter mellan uppdatering av en kontogrupp från en arbetsyta och den grupp som uppdateras i kontot.

Information om hur du skapar arbetsytelokala grupper på arbetsytor finns i Hantera arbetsytelokala grupper (äldre).

Skapa eller tilldela en grupp till en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

Om du vill tilldela eller skapa en kontogrupp på en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan gör du följande:

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.

  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.

  3. Klicka på fliken Identitet och åtkomst .

  4. Bredvid Grupper klickar du på Hantera.

  5. Klicka på Lägg till grupp.

  6. Välj en befintlig grupp som ska tilldelas till arbetsytan eller klicka på Lägg till ny för att skapa en ny kontogrupp.

    Kommentar

    Om din arbetsyta inte är aktiverad för identitetsfederation kan du inte tilldela befintliga kontogrupper eller lägga till skapa kontogrupper på arbetsytan. Du måste använda arbetsytelokala grupper i stället, se Hantera arbetsytelokala grupper (äldre).

Lägga till medlemmar i en grupp med hjälp av sidan administratörsinställningar för arbetsytan

Du måste vara administratör för arbetsytan för att kunna lägga till användare, tjänstens huvudnamn och grupper i en kontogrupp med hjälp av sidan administratörsinställningar för arbetsytan. Du kan bara hantera medlemmar i en grupp som du har gruppchefsrollen på.

Kommentar

Du kan inte lägga till en underordnad grupp i admins gruppen. Du kan inte lägga till lokala arbetsytegrupper eller systemgrupper som medlemmar i kontogrupper.

Gruppchefer som inte är arbetsyteadministratörer måste hantera gruppmedlemskap med hjälp av API:et Kontogrupper.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj den grupp som du vill uppdatera. Du måste ha gruppchefsrollen i gruppen för att kunna uppdatera den.
  6. På fliken Medlemmar klickar du på Lägg till medlemmar.
  7. I dialogrutan bläddrar eller söker du efter de användare, tjänsthuvudnamn och grupper som du vill lägga till och väljer dem.
  8. Klicka på Bekräfta.

Hantera roller i en kontogrupp med hjälp av sidan administratörsinställningar för arbetsytan

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Du kan tilldela gruppchefsrollen till användare, kontogrupper och tjänstens huvudnamn. Gruppchefer kan hantera gruppmedlemskap. De kan också tilldela gruppchefsrollen till andra användare.

Du måste vara administratör för arbetsytan för att kunna hantera grupproller med hjälp av sidan administratörsinställningar för arbetsytan. Gruppchefer som inte är arbetsyteadministratörer kan hantera grupproller med hjälp av API:et för kontoåtkomstkontroll.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.

  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.

  3. Klicka på fliken Identitet och åtkomst .

  4. Bredvid Grupper klickar du på Hantera.

  5. Välj den grupp som du vill uppdatera. Du måste ha gruppchefsrollen i gruppen för att kunna uppdatera den.

  6. Klicka på fliken Behörigheter .

  7. Klicka på Bevilja åtkomst.

  8. Sök efter och välj användaren, tjänstens huvudnamn eller grupp och välj rollen Grupp: Chef .

    Kommentar

    Du kan inte tilldela arbetsytelokala grupper eller systemgrupper roller för kontogrupper.

  9. Klicka på Spara.

Visa överordnade grupper

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj den grupp som du vill visa.
  6. På fliken Överordnad grupp visar du de överordnade grupperna för din grupp.

Ta bort en grupp från en arbetsyta med hjälp av sidan administratörsinställningar för arbetsytan

Om du tar bort en grupp från en arbetsyta tas inte gruppen i kontot bort. När en grupp tas bort från en arbetsyta kan gruppmedlemmar inte längre komma åt arbetsytan, men behörigheter underhålls för gruppen. Om gruppen senare läggs tillbaka till arbetsytan återfår gruppen sina tidigare behörigheter.

  1. Som arbetsyteadministratör loggar du in på Azure Databricks-arbetsytan.
  2. Klicka på ditt användarnamn i det övre fältet på Azure Databricks-arbetsytan och välj Inställningar.
  3. Klicka på fliken Identitet och åtkomst .
  4. Bredvid Grupper klickar du på Hantera.
  5. Välj gruppen och klicka på x Ta bort
  6. Bekräfta genom att klicka på Ta bort .

Hantera kontogrupper med hjälp av API:et

Kontoadministratörer och arbetsyteadministratörer och gruppansvariga kan lägga till, ta bort och hantera grupper i Azure Databricks-kontot med hjälp av API:et kontogrupper. Kontoadministratörer och arbetsyteadministratörer och grupphanterare måste anropa API:et med en annan slutpunkts-URL:

  • Kontoadministratörer använder {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Arbetsyteadministratörer och gruppchefer använder {workspace-domain}/api/2.0/account/scim/v2/.

Mer information finns i API:et för kontogrupper.

Tilldela en grupp till en arbetsyta med hjälp av API:et

Konto- och arbetsyteadministratörer kan använda API:et för tilldelning av arbetsytor för att tilldela grupper till arbetsytor som är aktiverade för identitetsfederation. API:et för tilldelning av arbetsytor stöds via Azure Databricks-kontot och arbetsytorna.

  • Kontoadministratörer använder {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Arbetsyteadministratörer använder {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Se API för arbetsytetilldelning.

Hantera roller för en grupp med hjälp av API:et

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Grupphanterare kan hantera grupproller med hjälp av API:et för åtkomstkontroll för konton. Kontoadministratörer och arbetsyteadministratörer och grupphanterare måste anropa API:et med en annan slutpunkts-URL:

  • Kontoadministratörer använder {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Arbetsyteadministratörer och gruppchefer använder {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Se API för kontoåtkomstkontroll och API för åtkomstkontroll för arbetsyteproxy för konton.