分享方式:

管理工作區本機群組 (舊版)

  • 文章

本文說明管理員如何建立和管理工作區本機群組。 如需帳戶群組的概觀,請參閱管理群組

什麼是工作區本機群組?

工作區本機群組是舊版群組。 這些群組在工作區管理員設定頁面中標識為 [工作區本機]。 工作區本機群組不會像帳戶群組一樣同步至帳戶。 您可以在定義的工作區中使用工作區本機群組,但無法使用帳戶層級介面進行管理。 它們無法指派給其他工作區,也不能授與 Unity 目錄中繼存放區中的資料存取權。 工作區本機群組不能授與帳戶層級的角色。 為了利用集中式身分識別,Databricks 建議您使用帳戶群組,而不是工作區本機群組。

工作區管理員可以使用工作區系統管理員設定頁面、身分識別提供者的佈建連接器和 工作區群組 API,來新增和管理工作區本機群組。

若要管理工作區本機群組的存取權,請參閱驗證和存取控制

注意

在識別身分同盟工作區中,工作區本機群組只能使用工作區群組 API 進行管理。 Databricks 於 2023 年 11 月 9 日自動為識別身分同盟和 Unity Catalog 啟用了新工作區,並逐步跨帳戶推出。 如果您的工作區預設為識別身分同盟啟用,則無法停用。 如需了解更多資訊,請參閱自動啟用 Unity 目錄

將工作區本機群組移轉到帳戶群組

Databricks 建議將工作區本機群組轉換為帳戶群組,以進行集中式身分識別管理。

步驟 1:請參閱將工作區層級 SCIM 佈建移轉至帳戶

Databricks 建議您設定帳戶層級 SCIM 佈建,以將群組從識別提供者同步至 Azure Databricks。 如果您目前已為工作區設定工作區層級 SCIM 佈建,必須停用工作區層級 SCIM 佈建器。 否則,工作區層級 SCIM 會繼續建立及更新工作區本機群組。 若要為您的帳戶設定新的 SCIM 佈建連接器,並停用工作區層級 SCIM,請參閱將工作區層級 SCIM 佈建移轉至帳戶層級

步驟 2:變更工作區本機群組的名稱

工作區中的兩個群組不能有相同的名稱。 您必須變更工作區本機群組的名稱,才能將新的帳戶群組新增至具有相同名稱的工作區。 這些步驟建議將 (workspace) 新增至群組名稱。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按下 [群組] 索引標籤,然後選取您要轉換成帳戶群組的工作區本機群組。
  4. 在 [名稱] 底下,將 (workspace) 新增至群組名稱的結尾。
  5. 按一下 [儲存]

步驟 3:授與帳戶群組權限

授與新佈建帳戶群組對其工作區本機對應專案相同功能的存取權。 針對每個新的帳戶群組:

  1. 然後授與群組對工作區的存取權。 請參閱使用帳戶主控台將群組指派給工作區
  2. 依照管理群組上的權利中的指示,在新帳戶群組上指派工作區權利。
  3. 使用 UCX 公用程式群組移轉工作流程,將工作區層級群組的權限移轉至新的帳戶群組。 請參閱步驟 2. 執行群組移轉工作流程。 您也可以使用權限 API 手動移轉權限。

步驟 4:刪除工作區本機群組

現在您已將工作區本機群組移轉至帳戶,而且可以刪除工作區本機群組。

  1. 在 [群組] 索引標籤上,選取您要轉換成帳戶群組的工作區本機群組。
  2. 按下 [x 刪除],然後按下 [刪除] 以確認。

使用 API 管理工作區本機群組

工作區管理員可以使用工作區層級 SCIM API 來新增和管理工作區本機群組。 在識別身分同盟工作區中,工作區本機群組只能使用 API 進行管理。 如需指示,請參閱工作區群組 API

使用管理員設定頁面管理工作區本機群組

工作區管理員可以使用工作區管理員設定頁面,在非識別身分同盟工作區中新增和管理工作區本機群組。

使用管理員設定頁面建立工作區本機群組

若要使用管理員設定將工作區本機群組新增至工作區,請執行下列動作:

  1. 身為工作區管理員,登入 Azure Databricks 工作區。

  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]

  3. 按一下 [身分識別與存取] 索引標籤。

  4. 在 [群組] 旁邊,按一下 [管理]

  5. 按下 [建立群組]

  6. 輸入群組名稱,然後按下 建立

    群組名稱不得重複。 您無法變更群組名稱。 如果您想要變更群組名稱,您必須刪除群組,並使用新的名稱重新建立群組。

使用管理員設定頁面新增成員至工作區本機群組

注意

您無法將子群組新增至 admins 群組。

  1. 身為工作區管理員,登入 Azure Databricks 工作區。

  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]

  3. 按一下 [身分識別與存取] 索引標籤。

  4. 在 [群組] 旁邊,按一下 [管理]

  5. 選取您要更新的群組。

  6. 在 [成員] 索引標籤上,按下 [新增使用者、群組或服務主體]

  7. 在對話方塊中,瀏覽或搜尋您要新增的使用者、服務主體和群組,並將其選定。

  8. 按一下確認

    您可能需要按下選取器中的向下鍵,以隱藏下拉式清單,並顯示 [確認] 按鈕。

從工作區本機群組移除使用者、群組或服務主體

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取您要更新的群組。
  6. 在 [成員] 索引標籤上,尋找要移除的使用者、群組或服務主體,然後按下 [動作] 資料行中的 [X]
  7. 按下 [移除成員] 以確認。

注意

您也可以移至要移除之群組的 [父] 索引標籤,從其父工作區本機群組移除子工作區本機群組。 尋找您要從中移除子工作區本機群組的父群組,然後按下 [動作] 資料行中的 [X]

檢視父工作區本機群組

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取您想要監視的群組。
  6. 在 [父群組] 索引標籤上,檢視群組的父群組。

變更群組名稱

  1. 身為工作區管理員,登入 Azure Databricks 工作區。
  2. 按下 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]
  3. 按一下 [身分識別與存取] 索引標籤。
  4. 在 [群組] 旁邊,按一下 [管理]
  5. 選取您想要監視的群組。
  6. 在 [名稱] 底下,更新名稱。
  7. 按一下 [儲存]

從您的 Microsoft Entra ID 租用戶同步工作區本機群組

您可以使用工作區層級 SCIM 佈建連接器,將群組從 Microsoft Entra ID 租用戶同步至 Azure Databricks 工作區。 工作區層級 SCIM 佈建會建立工作區本機群組,而該群組只能在工作區中使用。 Databricks 建議改用帳戶層級 SCIM 佈建。