通过

管理工作区本地组(旧版)

  • 项目

本文介绍管理员如何创建和管理工作区本地组。 有关帐户组的概述,请参阅管理组

什么是工作区本地组?

工作区本地组是旧组。 这些组在工作区管理员设置页中标识为“工作区本地”。 工作区本地组不会作为帐户组同步到帐户。 您可以在定义时所在的工作区中使用工作区本地组,但无法使用帐户级界面对其进行管理。 不能将它们分配给其他工作区,也不能向它们授予对 Unity Catalog 元存储中数据的访问权限。 不能向工作区本地组授予帐户级角色。 若要利用集中式标识,Databricks 建议使用帐户组而不是工作区本地组。

工作区管理员可以使用工作区管理员设置页、标识提供者的预配连接器和工作区组 API 来添加和管理工作区本地组。

要管理工作区本地组的访问权限,请参阅身份验证和访问控制

注意

在标识联合工作区中,只能使用工作区组 API 管理工作区本地组。 如果你的帐户是在 2023 年 11 月 9 日之后创建的,则联合身份验证将在所有新工作区上默认启用,并且无法禁用。

将工作区本地组迁移到帐户组

Databricks 建议将工作区本地组转换为帐户组以进行集中的标识管理。

步骤 1:将工作区级 SCIM 预配迁移到帐户

Databricks 建议你配置帐户级 SCIM 预配,以便将组从标识提供者同步到 Azure Databricks。 如果你当前为工作区设置了工作区级 SCIM 预配,则必须禁用工作区级 SCIM 预配程序。 否则,工作区级 SCIM 将继续创建和更新工作区本地组。 若要为帐户设置新的 SCIM 预配连接器并禁用工作区级 SCIM,请参阅将工作区级 SCIM 预配迁移到帐户级别

步骤 2:更改工作区本地组的名称

工作区中的两个组不能具有相同的名称。 必须更改工作区本地组的名称,才能向工作区中添加具有相同名称的新帐户组。 这些步骤建议将 (workspace) 添加到该组名称。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“组”选项卡,选择要转换为帐户组的工作区本地组。
  4. 在“名称”下,将 (workspace) 添加到该组名称的末尾。
  5. 单击“ 保存”。

步骤 3:向帐户组授予权限

向新预配的帐户组授予访问权限,使其能够访问其工作区本地对应项具有的相同功能。 对于每个新帐户组:

  1. 向组授予对你的工作区的访问权限。 请参阅使用帐户控制台将组分配到工作区
  2. 按照管理组上的权利中的说明,在新帐户组上分配工作区权利。
  3. 使用 UCX 实用工具组迁移工作流将工作区级组对工作区级对象的权限迁移到新帐户组。 请参阅步骤 2.运行组迁移工作流。 还可以使用权限 API 手动迁移权限。

步骤 4:删除工作区本地组

你已将工作区本地组迁移到帐户,现在可将工作区本地组删除。

  1. 在“组”选项卡上,选择已转换为帐户组的工作区本地组。
  2. 单击“x 删除”,然后单击“删除”以确认。

使用 API 管理工作区本地组

工作区管理员可以使用工作区级 SCIM API 添加和管理工作区本地组。 在标识联合工作区中,只能使用 API 管理工作区本地组。 有关说明,请参阅工作区组 API

使用管理员设置页管理工作区本地组

工作区管理员可以使用非标识联合工作区中的工作区管理员设置页来添加和管理工作区本地组。

使用管理员设置页创建工作区本地组

若要使用管理设置将工作区本地组添加到工作区,请执行以下操作:

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”

  3. 单击“标识和访问”选项卡

  4. 在“组”旁边,单击“管理”

  5. 单击“创建组”

  6. 输入组名称,然后单击“创建”。

    组名称必须是唯一的。 你无法更改组名称。 如果要更改某个组名称,则必须删除该组,然后使用新名称重新创建它。

使用管理员设置页将成员添加到工作区本地组

注意

不能向 admins 组添加子组。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”

  3. 单击“标识和访问”选项卡

  4. 在“组”旁边,单击“管理”

  5. 选择要更新的组。

  6. 在“成员”选项卡上,单击“添加用户、组或服务主体”。

  7. 在对话框中,浏览或搜索要添加的用户、服务主体和组,并选择它们。

  8. 单击“确认” 。

    可能需要单击选择器中的向下箭头来隐藏下拉列表并显示“确认”按钮。

从工作区本地组中删除用户、组或服务主体

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要更新的组。
  6. 在“成员”选项卡上,找到要删除的用户、组或服务主体,然后单击“操作”列中的“X”。
  7. 单击“删除成员”以进行确认。

注意

还可以转到要删除的组的“父级”选项卡,从其父工作区本地组中删除子工作区本地组。 找到要从中删除子工作区本地组的父组,然后单击“操作”列中的“X”。

查看父级工作区本地组

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要管理的组。
  6. 在“父组”选项卡上,查看你的组的父组

更改组的名称

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要管理的组。
  6. 在“名称”下,更新名称。
  7. 单击“ 保存”。

从 Microsoft Entra ID(以前称为 Azure Active Directory)租户同步工作区本地组

可以使用工作区级 SCIM 预配连接器,将组从 Microsoft Entra ID(以前称为 Azure Active Directory)租户同步到 Azure Databricks 工作区。 工作区级 SCIM 预配过程会创建只能在工作区中使用的工作区本地组。 Databricks 建议改用帐户级 SCIM 预配。