本页概述了 Azure Databricks 中的组。 有关如何管理组,请参阅 “管理组”。
组简化了标识管理,使分配对工作区、数据和其他安全对象的访问权限变得更加容易。 所有 Databricks 标识都可以被分配为组的成员。
注释
此页面假设您的工作区已启用身份联合,这是大多数工作区的默认设置。 有关没有标识联合的旧工作区的信息,请参阅没有标识联合的旧工作区。
组来源
Azure Databricks 组根据其源分类为四个类别,这些类别显示在组列表的 “源 ”列中
| 来源 | DESCRIPTION |
|---|---|
| 帐户 | 可以授予对 Unity Catalog 元存储中的数据的访问权限、在服务主体和组中分配角色的权限以及工作区的访问权限。 这些是用于跨 Azure Databricks 帐户管理访问权限的主要组。 |
| 外部 | 在 Azure Databricks 中通过标识提供者创建。 这些组与 IdP(例如 Microsoft Entra ID)保持同步。 外部组也被视为帐户组。 |
| 系统 | 由 Azure Databricks 创建和维护。 每个帐户都包含一个 account users 组,其中包含所有用户和服务主体。 每个工作区都有两个系统组: users (所有工作区成员)和 admins (工作区管理员)。 系统组无法删除。 |
| 工作空间 | 创建于某一工作区内的这些遗留组被称为工作区本地组,仅在该工作区内使用。 无法分配到其他工作区、获得对 Unity Catalog 数据的访问权限,也无法获得帐户级别角色。 Databricks 建议将工作区本地组转换为帐户组以获取更广泛的功能。 |
启用自动标识管理后,帐户控制台和工作区管理员设置页上会显示来自Microsoft Entra ID 的组。 其状态反映其Microsoft Entra ID 与 Azure Databricks 之间的活动和状态。 请参阅 “用户”和“组”状态。
谁可以管理组?
若要在 Azure Databricks 中创建组,必须:
- 帐户管理员
- 工作区管理员
若要管理 Azure Databricks 中的组,必须在组上具有 组管理员 角色(公共预览版)。 此角色允许你:
- 管理组成员身份
- 删除组
- 将组管理员角色分配给其他用户
默认情况下:
- 帐户管理员自动拥有所有组的组管理员角色。
- 工作区管理员在创建的组上自动具有组管理员角色。
可以通过以下方式配置组管理器角色:
- 使用帐户控制台的帐户管理员
- 工作区管理员,使用工作区管理员设置页
- 使用帐户访问控制 API 的非管理员组管理员
工作区管理员还可以创建和管理旧的 工作区本地组。
将 Microsoft Entra ID 中的组同步到 Azure Databricks 帐户
Databricks 建议将组从 Microsoft Entra ID 同步到 Azure Databricks 帐户。
可以从 Microsoft Entra ID 自动同步组,也可以使用 SCIM 预配连接器进行同步。
使用自动标识管理 ,可以将用户、服务主体和组从 Microsoft Entra ID 添加到 Azure Databricks 中,而无需在 Microsoft Entra ID 中配置应用程序。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 自动标识管理支持嵌套组。 默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。 有关详细信息,请参阅 从 Microsoft Entra ID 自动同步用户和组。
SCIM 预配 使你可以在 Microsoft Entra ID 中配置企业应用程序,使用户和组与 Microsoft Entra ID 保持同步。 SCIM 预配不支持嵌套组。 有关说明,请参阅 使用 SCIM 从 Microsoft Entra ID 同步用户和组。