Поделиться через

Управление группами

На этой странице объясняется, как управлять группами для учетной записи и рабочих областей Azure Databricks.

Общие сведения о группах см. в разделе "Группы".

Синхронизация групп с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra

Группы можно синхронизировать из вашего клиента Microsoft Entra ID с учетной записью Azure Databricks автоматически или с помощью коннектора обеспечения SCIM.

Автоматическое управление идентификацией (общедоступная предварительная версия) позволяет добавлять пользователей, служебные принципы и группы из Microsoft Entra ID в Azure Databricks без настройки приложения в Microsoft Entra ID. Databricks использует идентификатор Microsoft Entra в качестве источника записи, поэтому любые изменения членства пользователей или групп учитываются в Azure Databricks. Эта предварительная версия поддерживает вложенные группы. Для получения дополнительной информации см. раздел "Автоматическая синхронизация пользователей и групп из Microsoft Entra ID".

Подготовка SCIM позволяет настроить корпоративное приложение в Microsoft Entra ID для синхронизации пользователей и групп с Microsoft Entra ID. Предоставление SCIM не поддерживает вложенные группы. Инструкции см. в разделе Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Добавление групп в учетную запись

Администраторы учетных записей и администраторы рабочей области могут добавлять группы в учетную запись Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.

Консоль учетной записи

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните " Управление пользователями".
  3. На странице Группы нажмите кнопку Добавить группу.
  4. Ввод наименования для группы.
  5. Нажмите кнопку Подтвердить.
  6. При появлении запроса добавьте пользователей, субъектов-служб и группы в группу.

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Перейдите на вкладку Идентификация и доступ.
  4. Рядом с группами нажмите кнопку "Управление".
  5. Щелкните Добавить группу.
  6. Нажмите кнопку "Добавить новую".
  7. Ввод наименования для группы.
  8. Нажмите кнопку Добавить.

Добавление участников в группу

Администраторы учетных записей и администраторы рабочей области могут добавлять группы в учетную запись Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области. Диспетчеры групп, которые не являются администраторами рабочих областей, должны управлять членством в группах с помощью API групп учетных записей.

Консоль учетной записи

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните " Управление пользователями".
  3. На вкладке Группы выберите группу, которую вы хотите обновить.
  4. Нажмите кнопку "Добавить участников".
  5. Найдите пользователя, группу или учетную запись службы, которую вы хотите добавить, и выберите её.
  6. Нажмите кнопку Добавить.

Между обновлением группы из учетной записи и обновлением этой группы в рабочих областях существует задержка в несколько минут.

Параметры администратора рабочей области

Замечание

Добавить дочернюю группу в группу admins нельзя. Нельзя добавлять локальные группы рабочей области или системные группы в качестве членов групп учетных записей.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Перейдите на вкладку Идентификация и доступ.
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.
  6. На вкладке "Члены" нажмите кнопку "Добавить участников".
  7. В диалоговом окне просмотрите или найдите пользователей, субъектов-служб и группы, которые вы хотите добавить и выбрать.
  8. Нажмите кнопку Подтвердить.

Изменение имени группы

Администраторы учетных записей могут обновить имя групп с помощью консоли учетной записи и диспетчеров групп могут обновить имя групп с помощью API групп учетных записей. Для синхронизации внешних групп с идентификатором Microsoft Entra нельзя обновить имя внешних групп в консоли учетной записи по умолчанию.

Консоль учетной записи

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните " Управление пользователями".
  3. На вкладке Группы выберите группу, которую вы хотите обновить.
  4. Щелкните Сведения о группе.
  5. В разделе "Имя" обновите имя.
  6. Нажмите кнопку Сохранить.

API групп учетных записей

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Назначьте группу рабочей области

Администраторы учетных записей и администраторы рабочей области могут назначать группы рабочей области Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.

Консоль учетной записи

Чтобы добавить группы в рабочую область с помощью консоли учетной записи, рабочая область должна поддерживать федерацию идентичности. Локальные группы рабочей области не могут быть назначены рабочим областям.

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Рабочие области".
  3. Нажмите на имя рабочей области.
  4. На вкладке "Разрешения" нажмите кнопку "Добавить разрешения".
  5. Найдите и выберите группу, назначьте уровень разрешений (рабочая область пользователь или администратор), а затем нажмите кнопку Сохранить.

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Перейдите на вкладку Идентификация и доступ.
  4. Рядом с группами нажмите кнопку "Управление".
  5. Щелкните Добавить группу.
  6. Выберите существующую группу для назначения рабочей области.
  7. Нажмите кнопку Добавить.

Удаление группы из рабочей области

Если группа учетных записей удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если позже группу добавить обратно в рабочую область, она восстановит свои предыдущие разрешения.

Администраторы учетных записей и администраторы рабочей области могут удалить группу из рабочей области Azure Databricks с помощью консоли учетной записи или страницы параметров администратора рабочей области.

Консоль учетной записи

Чтобы удалить группы в рабочей области с помощью консоли учетной записи , рабочая область должна быть активирована для федерации удостоверений . Локальные группы рабочей области нельзя удалить из рабочих областей с помощью консоли учетной записи.

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните "Рабочие области".
  3. Нажмите на имя рабочей области.
  4. На вкладке "Разрешения" найдите группу.
  5. Щелкните значок меню в правой части строки группы и выберите "Удалить".
  6. В диалоговом окне подтверждения нажмите кнопку "Удалить".

Параметры администратора рабочей области

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Перейдите на вкладку Идентификация и доступ.
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу и щелкните x Удалить
  6. Нажмите кнопку "Удалить ", чтобы подтвердить.

Управление ролями в группе

Это важно

Эта функция доступна в общедоступной предварительной версии.

Администраторы учетных записей могут предоставлять роли в группах в консоли учетной записи, а администратор рабочей области может управлять ролями групп с помощью страницы параметров администратора рабочей области. Менеджеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API управления доступом к учетной записи.

Консоль учетной записи

  1. Войдите в консоль учетной записи с правами администратора учетных записей.
  2. На боковой панели щелкните " Управление пользователями".
  3. На вкладке "Группы" найдите и щелкните имя группы.
  4. Выберите вкладку Разрешения .
  5. Щелкните Предоставить доступ.
  6. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.
  7. Нажмите кнопку Сохранить.

Параметры администратора рабочей области

Нельзя назначать роли групп рабочих областей или системных групп в группах учетных записей.

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Перейдите на вкладку Идентификация и доступ.
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.
  6. Выберите вкладку Разрешения .
  7. Щелкните Предоставить доступ.
  8. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль Группа: Менеджер.
  9. Нажмите кнопку Сохранить.

Назначение ролей администратора учетной записи группе

Роли администратора учетной записи нельзя назначить группе с помощью консоли учетной записи, но ее можно назначить группам с помощью API групп учетных записей. Рассмотрим пример.

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье Авторизация доступа к ресурсам Azure Databricks.

Просмотр родительских групп

  1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
  2. Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
  3. Щелкните вкладку "Удостоверение" и "Доступ ".
  4. Рядом с группами нажмите кнопку "Управление".
  5. Выберите группу, которую вы хотите просмотреть.
  6. На вкладке "Родительская группа" просмотрите родительские группы для вашей группы.

Удаление групп из учетной записи Azure Databricks

Администраторы учетных записей могут удалять группы из учетной записи Azure Databricks. Руководители групп также могут удалять группы из учетной записи с помощью API групп учетных записей, см. раздел "Управление группами" с помощью API. При удалении группы с помощью консоли учетной записи, вы должны также удалить группу с помощью соединителей предоставления SCIM или приложений API SCIM, которые были настроены для учетной записи. Если вы этого не сделаете, SCIM просто добавит группу и ее участников в следующий раз при синхронизации. См. раздел Синхронизация пользователей и групп из идентификатора Microsoft Entra с помощью SCIM.

Это важно

При удалении группы все пользователи в этой группе удаляются из учетной записи и теряют доступ к любым рабочим областям, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к учетной записи или любым рабочим областям). Databricks рекомендует воздержаться от удаления групп на уровне учетной записи, если только вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

  • Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks.
  • Задания, принадлежащие пользователю, завершаются сбоем.
  • Кластеры, принадлежащие пользователю, останавливаются.
  • Библиотеки, установленные этим пользователем, недопустимы и должны быть переустановлены.
  • Запросы или панели мониторинга, созданные пользователем и использующие учетные данные запуска от имени владельца, должны быть назначены новому владельцу, чтобы предотвратить ошибку при общем доступе.

Чтобы удалить группу с помощью консоли учетной записи, сделайте следующее:

  1. Войдите в консоль учетной записи в качестве администратора учетной записи.
  2. На боковой панели щелкните " Управление пользователями".
  3. На вкладке группы найдите группу, которую нужно удалить.
  4. Щелкните значок меню Kebab в конце строки пользователя и выберите "Удалить".
  5. В диалоговом окне подтверждения нажмите кнопку "Подтвердить удаление".

Замечание

При включении автоматического управления удостоверениями группы, которые находятся в Microsoft Entra ID, отображаются в консоли учетной записи. Их статус отображается как Неактивное: Нет использования, и они не могут быть удалены из списка групп. Они не активны в учетной записи и не засчитываются в лимиты.

Управление группами с помощью API

Администраторы учетных записей и администраторы рабочей области и руководители групп могут добавлять, удалять и управлять группами в учетной записи Azure Databricks с помощью API групп учетных записей. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

  • Администраторы учетных записей используют {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Администраторы рабочей области и руководители групп используют {workspace-domain}/api/2.0/account/scim/v2/.

Дополнительные сведения см. в API групп учетных записей.

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочих областей для назначения групп рабочим областям, поддерживающим федерацию идентификаций. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

  • Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

См. API назначения рабочей области.

Управление ролями для группы с помощью API

Это важно

Эта функция доступна в общедоступной предварительной версии.

Менеджеры групп могут управлять ролями групп с помощью API управления доступом к учетным записям. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

  • Администраторы учетных записей используют {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Администраторы рабочей области и руководители групп используют {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

См. API контроля доступа к учетной записи и прокси-API контроля доступа к учетным записям рабочей области.

Примеры API для управления группами

В следующих примерах показано, как администраторы рабочей области могут использовать API групп учетных записей и API назначения рабочей области для управления группами. Администраторы рабочей области проходят проверку подлинности в своей рабочей области с помощью маркера API.

Создание группы учетных записей

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

Возвращает идентификатор группы для новой группы учетных записей. Сохраните его для ссылки в следующих примерах API.

Добавьте группу в рабочую область

В следующем примере в рабочую область добавляется группа с разрешениями пользователя рабочей области. Вы также можете задать значение permissions ["ADMIN"] для предоставления группе роли администратора рабочей области.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

Удаление группы из рабочей области

В следующем примере группа удаляется из рабочей области. Удаление группы из рабочей области не удаляет группу из учетной записи.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

Добавление участника в группу

curl --location --request PATCH '{workspace-domain}/api/2.0/accounts/{account_id}/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'