Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se proporciona información general sobre los grupos de Azure Databricks. Para obtener información sobre cómo administrar grupos, consulte Administrar grupos.
Los grupos simplifican la administración de identidades facilitando la asignación del acceso a áreas de trabajo, datos y otros objetos protegibles. Todas las identidades de Databricks se pueden asignar como miembros de grupos.
Nota:
En esta página se supone que el área de trabajo tiene habilitada la federación de identidades, que es el valor predeterminado para la mayoría de las áreas de trabajo. Para obtener información sobre las áreas de trabajo heredadas sin federación de identidades, consulte Áreas de trabajo heredadas sin federación de identidades.
Fuentes de grupo
Los grupos de Azure Databricks se clasifican en cuatro categorías en función de su origen, que se muestra en la columna Origen de la lista de grupos
| Fuente | Descripción |
|---|---|
| Cuenta | Se puede conceder acceso a los datos de un metastore de Catálogo de Unity, asignar roles en entidades de servicio y grupos, y conceder permisos para áreas de trabajo. Estos son los grupos principales para administrar el acceso en la cuenta de Azure Databricks. |
| Externo | Creado en Azure Databricks desde su proveedor de identidades. Estos grupos permanecen sincronizados con su IdP (como el ID de Microsoft Entra). Los grupos externos también se consideran grupos de cuentas. |
| Sistema | Creado y mantenido por Azure Databricks. Cada cuenta incluye un account users grupo que contiene a todos los usuarios. Cada espacio de trabajo tiene dos grupos de sistemas: users (todos los miembros del espacio de trabajo) y admins (administradores del espacio de trabajo). Los grupos de sistemas no se pueden eliminar. |
| Área de trabajo | Conocidos como grupos locales del área de trabajo, estos son grupos heredados que se usaban solo dentro del área de trabajo en la que se crearon. No se pueden asignar a otros espacios de trabajo, no se les puede otorgar acceso a los datos de Unity Catalog ni se les pueden asignar roles de nivel de cuenta. Databricks recomienda convertir grupos locales del área de trabajo en grupos de cuentas para una funcionalidad más amplia. |
Cuando la administración automática de identidades está habilitada, los grupos de Microsoft Entra ID están visibles en la consola de la cuenta y en la página de configuración del administrador del área de trabajo. Su estado refleja su actividad y estado entre el identificador de Entra de Microsoft y Azure Databricks. Consulte Estado de usuario y grupo.
¿Quién puede gestionar grupos?
Para crear grupos en Azure Databricks, debe ser:
- Un administrador de cuentas
- Un administrador del área de trabajo
Para administrar grupos en Azure Databricks, debe tener el rol de administrador de grupos (versión preliminar pública) en un grupo. Este rol le permite:
- Administración de pertenencia al grupo
- Eliminación de grupos
- Asignar el rol de administrador de grupo a otros usuarios
De manera predeterminada:
- Los administradores de cuentas tienen automáticamente el rol de administrador de grupo para todos los grupos.
- Los administradores del espacio de trabajo tienen automáticamente el rol de administrador de grupo en los grupos que crean.
Los roles de administrador de grupo se pueden configurar mediante:
- Administradores de cuentas, mediante la consola de cuentas
- Administradores del espacio de trabajo, mediante la página de configuración del administrador del espacio de trabajo
- Administradores de grupos que no son administradores, mediante la API de control de acceso de cuentas
Los administradores del espacio de trabajo también pueden crear y administrar grupos locales del espacio de trabajo heredados.
Sincronización de grupos con la cuenta de Azure Databricks desde el identificador de Microsoft Entra
Databricks recomienda sincronizar grupos desde el identificador de Microsoft Entra con la cuenta de Azure Databricks.
Puede sincronizar grupos desde su identificador de Microsoft Entra automáticamente o mediante un conector de aprovisionamiento SCIM.
La administración automática de identidades permite agregar usuarios, entidades de servicio y grupos de Microsoft Entra ID a Azure Databricks sin configurar una aplicación en microsoft Entra ID. Databricks usa microsoft Entra ID como origen de registro, por lo que los cambios en los usuarios o pertenencias a grupos se respetan en Azure Databricks. La administración automática de identidades admite grupos anidados. La administración automática de identidades está habilitada de forma predeterminada para las cuentas creadas después del 1 de agosto de 2025. Para obtener más información, consulte Sincronizar usuarios y grupos automáticamente desde Microsoft Entra ID.
El aprovisionamiento de SCIM le permite configurar una aplicación empresarial en el identificador de Microsoft Entra para mantener a los usuarios y grupos sincronizados con el identificador de Microsoft Entra. El aprovisionamiento SCIM no admite grupos anidados. Para obtener instrucciones, consulte Sincronizar usuarios y grupos de Microsoft Entra ID mediante SCIM.