Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описаны общие сведения о группах в Azure Databricks. Сведения об управлении группами см. в разделе "Управление группами".
Группы упрощают управление идентификацией, упрощая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все идентичности Databricks можно назначать членами групп.
Группировать источники
Группы Azure Databricks классифицируются по четырем категориям на основе их источника, который отображается в столбце "Источник " списка групп
| Исходный материал | Описание |
|---|---|
| Учетная запись | Можно предоставить доступ к данным в метахранилище Unity Catalog, назначить роли служебным принципам и группам, а также дать разрешения для рабочей области с федерацией удостоверений. Это основные группы для управления доступом к учетной записи Azure Databricks. |
| внешние | Создано в Azure Databricks у вашего поставщика удостоверений. Эти группы синхронизируются с провайдером удостоверений (например, Microsoft Entra ID). Внешние группы также считаются группами учетных записей. |
| Система | Создано и поддерживается Azure Databricks. Каждая учетная запись включает группу account users , содержащую всех пользователей. Каждая рабочая область имеет две системные группы: users (все члены рабочей области) и admins (администраторы рабочей области). Не удается удалить системные группы. |
| Рабочая область | Известные как локальные группы рабочей области, являются устаревшими группами, которые использовались только в рабочей области, в которой они были созданы. Они не могут быть назначены другим рабочим областям, предоставлен доступ к данным каталога Unity или назначенным ролям на уровне учетной записи. Databricks рекомендует преобразовать локальные группы рабочей области в группы учетных записей для более широких функциональных возможностей. |
Кто может управлять группами?
Чтобы создать группы в Azure Databricks, необходимо:
- Администратор учетной записи
- Администратор в рабочей области с федеративной идентификацией
Для управления группами в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Эта роль позволяет:
- Управление членством в группах
- Удаление групп
- Назначение роли диспетчера групп другим пользователям
По умолчанию:
- Администраторы учетных записей автоматически имеют роль диспетчера групп для всех групп.
- Администраторы рабочей области автоматически имеют роль диспетчера групп в группах, которые они создают.
Роли диспетчера групп можно настроить следующим образом:
- Администраторы учетных записей, используя консоль учетной записи
- Администраторы рабочей области с помощью страницы параметров администратора рабочей области
- Диспетчеры групп, не являющихся администраторами, с помощью API управления доступом учетных записей
Администраторы рабочей области также могут создавать устаревшие группы рабочей области и управлять ими.
Синхронизируйте группы с учетной записью в Azure Databricks из Microsoft Entra ID
Databricks рекомендует синхронизировать группы из идентификатора Microsoft Entra с учетной записью Azure Databricks.
Вы можете синхронизировать группы из идентификационной системы Microsoft Entra автоматически или с помощью коннектора для подготовки SCIM.
автоматическое управление удостоверениями (общедоступная предварительная версия) позволяет добавлять пользователей, служебных принципалов и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Эта предварительная версия поддерживает вложенные группы. Дополнительные сведения см. в статье Синхронизация пользователей и групп автоматически из идентификатора Microsoft Entra ID.
Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.