Ändern des Standardzugriffs auf Arbeitsbereiche auf Konsumentenzugriff

Auf dieser Seite wird erläutert, wie Arbeitsbereichsadministratoren den Standardmäßigen Arbeitsbereichszugriff für neue Benutzer mithilfe von Gruppen-Klonen auf Verbraucherzugriff ändern können. Mit diesem Feature können Sie das Onboarding von Kunden in großem Maßstab optimieren und gleichzeitig die entsprechenden Zugriffsstufen für Benutzer beibehalten, die Berechtigungen zur Erstellung von Inhalten benötigen.

Überblick

Standardmäßig wird jeder Benutzer, der einem Arbeitsbereich hinzugefügt wird, Mitglied der Systemgruppe users . Diese Gruppe verfügt in der Regel über Arbeitsbereichszugriff oder SQL-Zugriffsberechtigungen für Databricks, die Erstellungsberechtigungen sind, die Benutzern das Erstellen und Ändern von Arbeitsbereichsobjekten ermöglichen.

Um Benutzern eine nur-Anzeige-Verbrauchererfahrung zu bieten, darf die users Gruppe nur über Berechtigungen verfügen. Berechtigungen sind additiv, sodass der Verbraucherzugriff nur dann die vereinfachte Ansichtserfahrung bietet, wenn es sich um die alleinige Berechtigung handelt, die einem Benutzer zugewiesen ist. Mithilfe von Gruppenklonen können Sie diese Änderung vornehmen, ohne vorhandene Benutzer zu stören, die Autorenrechte benötigen. Sie erstellt eine neue Gruppe für vorhandene Benutzer und aktualisiert die Standardgruppe users für neue Benutzer.

Weitere Informationen zum Verbraucherzugriff und seinen Funktionen finden Sie unter Was ist der Verbraucherzugriff?. Weitere Informationen zu Berechtigungen finden Sie unter Verwalten von Berechtigungen.

Wann dieses Feature verwendet werden soll

Verwenden Sie dieses Feature in folgenden Fällen:

• Sie möchten, dass neue Arbeitsbereichsbenutzer standardmäßig nur den Consumerzugriff haben.
• Sie müssen Benutzer trennen, die Berechtigungen zum Erstellen (Arbeitsbereich oder Databricks SQL-Zugriff) von schreibgeschützten Verbrauchern benötigen.
• Sie möchten das Onboarding von Verbrauchern im großen Maßstab optimieren.

Wie das Klonen von Gruppen funktioniert

Die Systemgruppe users wird automatisch von Azure Databricks verwaltet und umfasst alle Arbeitsbereichsbenutzer. Diese Gruppe kann nicht gelöscht werden. Weitere Informationen zu Systemgruppen finden Sie unter "Gruppenquellen".

Wenn Sie die users Gruppe klonen:

1. Eine neue Gruppe wird mit den gleichen Berechtigungen erstellt, über die die users Gruppe derzeit verfügt.
2. Alle vorhandenen Arbeitsbereichsbenutzer werden automatisch in die geklonte Gruppe verschoben, um sicherzustellen, dass sie ihre aktuellen Zugriffsebenen beibehalten.
3. Die users Gruppe wird aktualisiert, um nur über die Endnutzerberechtigung zu verfügen.
4. Zukünftige Benutzer, die dem Arbeitsbereich hinzugefügt werden, werden automatisch Mitglieder der users Gruppe und erhalten nur Verbraucherberechtigungen.

Wenn die users Gruppe geschachtelte Gruppen enthält, die zu tief geschachtelt sind (Gruppen, die Mitglieder anderer Gruppen sind), können Sie auswählen, wie sie behandelt werden:

• Fügen Sie alle Gruppenmitglieder direkt hinzu (empfohlen): Fügt alle Mitglieder der geschachtelten Gruppe direkt zur geklonten Gruppe hinzu. Dies vereinfacht die Gruppenstruktur.
• Ausschließen: Überspringt die geschachtelte Gruppe vollständig. Mitglieder der ausgeschlossenen geschachtelten Gruppe werden der geklonten Gruppe nicht hinzugefügt.

Anforderungen

Um den Standardmäßigen Arbeitsbereichszugriff zu ändern, müssen Sie ein Arbeitsbereichsadministrator sein.

Ändern des Standardarbeitsbereichzugriffs mithilfe der Benutzeroberfläche

So ändern Sie den Standardarbeitsbereichszugriff auf den Verbraucherzugriff:

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

2. Klicken Sie in der oberen Leiste des Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.

3. Klicken Sie auf die Registerkarte Erweitert.

4. Klicken Sie unter "Zugriffskontrolle" neben "Standardarbeitsbereichszugriff auf Verbraucherzugriff ändern" auf "Öffnen".

5. Geben Sie im Dialogfeld einen Namen für die geklonte Gruppe ein. Diese Gruppe enthält alle vorhandenen Benutzer, die ihre aktuellen Berechtigungen beibehalten müssen.

   

6. Klicken Sie auf "Gruppe erstellen und klonen".

   Das System erstellt die neue Gruppe und beginnt mit dem Klonvorgang. Schließen Sie das Modalfenster nicht, während der Klonvorgang läuft.

7. Wenn die users Gruppe geschachtelte Gruppen enthält, die zu tief geschachtelt sind, werden Sie aufgefordert, sie zu behandeln.

   • Wählen Sie "Alle Gruppenmitglieder direkt hinzufügen" (empfohlen) aus, um die Gruppe zu flachen, indem Sie alle Mitglieder der geschachtelten Gruppe direkt zur geklonten Gruppe hinzufügen.
   • Wählen Sie "Diese Gruppe ausschließen " aus, um diese geschachtelte Gruppe zu überspringen.
   • Wählen Sie optional diese Entscheidung auf alle zukünftigen Gruppen anwenden, die das Schachtelungstiefelimit überschreiten , um ihre Wahl für alle zukünftigen geschachtelten Gruppen während dieses Vorgangs zu verwenden.

8. Im letzten Schritt: Verschieben von Berechtigungen zum Erstellen und Ändern des Standardzugriffs klicken Sie auf "Fertig stellen".

   Das System aktualisiert die users Gruppe so, dass sie nur über Verbraucherberechtigungen verfügt und der geklonten Gruppe die ursprünglichen Berechtigungen zuweist.

9. Überprüfen Sie die Zusammenfassung, und klicken Sie auf "Fertig".

   

Überprüfen der Änderungen

Überprüfen Sie nach Abschluss des Vorgangs, ob die Änderungen ordnungsgemäß angewendet wurden:

1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
2. Klicken Sie in der oberen Leiste auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
3. Klicken Sie auf die Registerkarte "Identität und Zugriff ".
4. Klicken Sie neben Gruppen auf Verwalten.
5. Überprüfen Sie Folgendes:
   • Die geklonte Gruppe ist vorhanden und hat dieselbe Anzahl von Benutzern wie die ursprüngliche users Gruppe.
   • Die users Gruppe verfügt jetzt nur über die Berechtigung "Verbraucher".

Überlegungen und bewährte Methoden

Berücksichtigen Sie beim Ändern des Standardarbeitsbereichszugriffs Folgendes:

• Auswirkungen auf neue Benutzer: Nachdem Sie den Standardzugriff geändert haben, erhalten alle neuen Benutzer, die dem Arbeitsbereich hinzugefügt wurden, nur Verbraucherberechtigungen. Sie können Dashboards, Genie-Räume und Databricks-Apps anzeigen und mit ihnen interagieren, aber keine neuen Arbeitsbereichsobjekte erstellen. Die Standardmäßige Databricks-Startseite ist die Databricks One-Seite. Weitere Informationen finden Sie unter Was ist der Verbraucherzugriff? Und was ist Databricks One?.

• Gewährung von Autorenrechten: Wenn Sie neuen Benutzern höhere Rechte gewähren müssen, müssen Sie sie manuell zur geklonten Gruppe hinzufügen oder zusätzliche Zugriffsberechtigungen einzeln zuweisen. Anweisungen zum Verwalten der Gruppenmitgliedschaft finden Sie unter "Verwalten von Gruppen".

• Wiederherstellen der Änderungen: Wenn Sie diese Konfiguration wiederherstellen müssen, gewähren Sie Arbeitsbereichszugriff und SQL-Zugriffsberechtigungen für Databricks wieder der users Gruppe. Neue Benutzer erhalten diese Berechtigungen standardmäßig. Sie können die geklonte Gruppe beibehalten oder löschen, je nachdem, ob Sie sie für die Organisation von Benutzern noch benötigen.

• Koordination mit Identitätsanbietern: Wenn Sie SCIM-Bereitstellung oder automatische Identitätsverwaltung verwenden, um Benutzer und Gruppen zu synchronisieren, koordinieren Sie diese Änderung mit Ihren Identitätsverwaltungsprozessen. Siehe hierzu Synchronisieren von Benutzern und Gruppen aus Microsoft Entra ID mithilfe von SCIM.

Automatisieren des Gruppenduplizierens mithilfe des SDK

Für Massenvorgänge oder Automatisierung in mehreren Arbeitsbereichen können Sie das Databricks SDK für Python verwenden, um den Gruppen-Klonprozess zu automatisieren. Diese Methode ist nützlich, wenn Sie dieselbe Konfiguration für mehrere Arbeitsbereiche anwenden oder Gruppen-Klonen in Infrastruktur-as-Code-Workflows integrieren müssen.

Das folgende Python-Skript automatisiert das Duplizieren der users Gruppe und weist entsprechende Berechtigungen zu. Es verwendet das Databricks SDK für Python und benötigt ein Dienstkennzeichen mit Administratorberechtigungen für das Konto und die Arbeitsumgebung, die über OAuth authentifiziert werden. Siehe Autorisieren des Benutzerzugriffs auf Azure Databricks mit OAuth.

Voraussetzungen

• Dienstprinzipal mit Administratorrechten
• Umgebungsvariablen festlegen:
  • DATABRICKS_ACCOUNT_ID (UUID aus der URL der Kontokonsole)
  • DATABRICKS_WORKSPACE_ID (numerische ID aus der Arbeitsbereichs-URL)
  • DATABRICKS_CLIENT_ID (Dienstprinzipal Client ID)
  • DATABRICKS_CLIENT_SECRET (Dienstprinzipal Client Secret)

Beispielskript

import os
import databricks.sdk as dbx
from databricks.sdk.service import iam

# Set the Databricks account host URL for your account's cloud
DATABRICKS_HOST = "https://accounts.azuredatabricks.net"

# Fetch credentials from environment variables
DATABRICKS_ACCOUNT_ID = os.getenv("DATABRICKS_ACCOUNT_ID")
DATABRICKS_WORKSPACE_ID = os.getenv("DATABRICKS_WORKSPACE_ID")
DATABRICKS_CLIENT_ID = os.getenv("DATABRICKS_CLIENT_ID")
DATABRICKS_CLIENT_SECRET = os.getenv("DATABRICKS_CLIENT_SECRET")

# Initialize Databricks account client
account_client = dbx.AccountClient(
    host=DATABRICKS_HOST,
    account_id=DATABRICKS_ACCOUNT_ID,
    client_id=DATABRICKS_CLIENT_ID,
    client_secret=DATABRICKS_CLIENT_SECRET,
)

print(f"Authenticated to Databricks account {DATABRICKS_ACCOUNT_ID}")

# Get workspace and initialize workspace client
workspace = account_client.workspaces.get(workspace_id=DATABRICKS_WORKSPACE_ID)
workspace_name = workspace.workspace_name
workspace_client = account_client.get_workspace_client(workspace)

print(f"Authenticated to Databricks workspace {DATABRICKS_WORKSPACE_ID}, '{workspace_name}'")

def get_workspace_group(group_name):
    """
    Fetches the workspace group with the given name.
    """
    group = list(workspace_client.groups.list(filter=f"displayName eq '{group_name}'"))[0]
    print(f"Found workspace group: {group.display_name}")
    print(f"Workspace {group.display_name} has {len(group.members)} members")
    return group

def clone_workspace_group_to_account(workspace_group_name, new_account_group_name):
    workspace_group = get_workspace_group(workspace_group_name)
    group = account_client.groups.create(
        display_name=new_account_group_name, members=workspace_group.members
    )
    print(f"Created account group: {new_account_group_name}")
    print(f"Cloned workspace group {workspace_group.display_name} to account group {group.display_name}")
    print(f"Account {group.display_name} has {len(group.members)} members")
    return group

def add_account_group_to_workspace(account_group, workspace):
    permissions = account_client.workspace_assignment.update(
        workspace_id=workspace.workspace_id,
        principal_id=account_group.id,
        permissions=[iam.WorkspacePermission.USER],
    )
    print(f"Added account group {account_group.display_name} to workspace {workspace.workspace_id}, {workspace.workspace_name}")
    return permissions

# Clone workspace 'users' group to new account group '{workspace_name}-contributors'
account_group = clone_workspace_group_to_account(
    "users", f"{workspace_name}-contributors"
)

# Add account group '{workspace_name}-contributors' to the workspace
permissions = add_account_group_to_workspace(account_group, workspace)

Nachdem Sie das Skript ausgeführt haben, um Ihre vorhandenen Gruppen zu duplizieren und Berechtigungen neu zuzuweisen, gewähren Sie Consumer Zugriff auf die users Gruppe, damit neue Benutzer automatisch diesen Zugriff erhalten.

Was kommt als nächstes

Nachdem Sie den Standardarbeitsbereichszugriff geändert haben, sollten Sie folgende Aktionen ausführen:

• Verwalten Sie die Gruppenmitgliedschaft, um neuen Benutzern Berechtigungen zum Erstellen zu gewähren, indem Sie sie der geklonten Gruppe hinzufügen. Weitere Informationen finden Sie unter Verwalten von Gruppen.
• Überprüfen und Anpassen von Berechtigungen für einzelne Benutzer oder Gruppen. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.
• Erfahren Sie mehr über die Benutzerzugriffserfahrung. Siehe Was ist Verbraucherzugriff? und Was ist Databricks One?.
• Konfigurieren Sie Kontrollmechanismen der Datengovernance für Verbraucher. Siehe Zeilenfilter und Spaltenmasken.