Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie wyjaśniono, jak zarządzać grupami dla konta i obszarów roboczych usługi Azure Databricks.
Aby zapoznać się z omówieniem grup, zobacz Grupy.
Note
Na tej stronie założono, że obszar roboczy ma włączoną federację tożsamości, która jest domyślna dla większości obszarów roboczych. Aby uzyskać informacje o starszych obszarach roboczych bez federacji tożsamości, zobacz Starsze obszary robocze bez federacji tożsamości.
Synchronizuj grupy z kontem Azure Databricks z dzierżawy Microsoft Entra ID
Możesz automatycznie synchronizować grupy z dzierżawy Microsoft Entra ID do swojego konta Azure Databricks lub za pomocą łącznika aprowizacji SCIM.
Automatyczne zarządzanie tożsamościami umożliwia dodawanie użytkowników, jednostek usługi i grup z identyfikatora Entra firmy Microsoft do usługi Azure Databricks bez konfigurowania aplikacji w usłudze Microsoft Entra ID. Usługa Databricks używa Microsoft Entra ID jako podstawowego źródła informacji, więc wszelkie zmiany dotyczące użytkowników lub członkostwa w grupach zostają uwzględnione w usłudze Azure Databricks. Automatyczne zarządzanie tożsamościami obsługuje grupy zagnieżdżone. Automatyczne zarządzanie tożsamościami jest domyślnie włączone dla kont utworzonych po 1 sierpnia 2025 r. Aby uzyskać szczegółowe informacje, zobacz Automatyczna synchronizacja użytkowników i grup z Microsoft Entra ID.
Aprowizacja SCIM umożliwia skonfigurowanie aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID w celu zachowania synchronizacji użytkowników i grup z identyfikatorem Entra firmy Microsoft. Udostępnianie SCIM nie obsługuje grup zagnieżdżonych. Aby uzyskać instrukcje, zobacz Synchronizowanie użytkowników i grup z Microsoft Entra ID za pomocą protokołu SCIM.
Dodawanie grup do konta
Administratorzy konta i administratorzy obszaru roboczego mogą dodawać grupy do konta usługi Azure Databricks przy użyciu konsoli konta lub strony ustawień administratora obszaru roboczego.
Konsola konta
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
- Na karcie Grupy kliknij pozycję Dodaj grupę.
- Wprowadź nazwę grupy.
- Kliknij przycisk Potwierdź.
- Po wyświetleniu monitu dodaj użytkowników, jednostki usługi i grupy do grupy.
Ustawienia administratora obszaru roboczego
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Kliknij pozycję Dodaj grupę.
- Kliknij pozycję Dodaj nowy.
- Wprowadź nazwę grupy.
- Kliknij przycisk Dodaj.
Dodawanie członków do grupy
Administratorzy konta i administratorzy obszaru roboczego mogą dodawać grupy do konta usługi Azure Databricks przy użyciu konsoli konta lub strony ustawień administratora obszaru roboczego. Menedżerowie grup, którzy nie są administratorami obszarów roboczych, muszą zarządzać członkostwem w grupie przy użyciu interfejsu API grup kont.
Note
Aby zachować synchronizację grup zewnętrznych z identyfikatorem Entra firmy Microsoft, nie można domyślnie zarządzać członkostwem grup zewnętrznych w konsoli konta. Aby zaktualizować członkostwo w grupie zewnętrznej z poziomu interfejsu użytkownika usługi Azure Databricks, administrator konta może wyłączyć niezmiennych grup zewnętrznych w wersji zapoznawczej na stronie wersji zapoznawczej konsoli konta. Grupy zewnętrzne zarządzane przy użyciu automatycznego zarządzania tożsamościami nie mogą być aktualizowane w usłudze Azure Databricks nawet wtedy, gdy niezmienialna wersja zapoznawcza grup zewnętrznych jest wyłączona.
Konsola konta
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
- Na karcie Grupy wybierz grupę, którą chcesz zaktualizować.
- Kliknij pozycję Dodaj członków.
- Wyszukaj użytkownika, grupę lub jednostkę usługi, którą chcesz dodać, i wybierz ją.
- Kliknij przycisk Dodaj.
Przekazywanie członkostwa w grupie do wszystkich systemów ma opóźnienie wynoszące kilka minut od momentu aktualizacji grupy.
Ustawienia administratora obszaru roboczego
Note
Nie można dodać grupy podrzędnej do grupy admins. Nie można dodać grup lokalnych obszaru roboczego ani grup systemowych jako członków grup kont.
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Wybierz grupę, którą chcesz zaktualizować. Aby ją zaktualizować, musisz mieć rolę menedżera grupy w grupie.
- Na karcie Członkowie kliknij pozycję Dodaj członków.
- W oknie dialogowym przeglądaj lub wyszukaj użytkowników, jednostki usługi i grupy, które chcesz dodać i wybrać.
- Kliknij przycisk Potwierdź.
Zmienianie nazwy grupy
Administratorzy kont mogą zaktualizować nazwę grup przy użyciu konsoli konta, a menedżerowie grup mogą zaktualizować nazwę grup przy użyciu interfejsu API grup kont. Aby zachować synchronizację grup zewnętrznych z identyfikatorem Entra firmy Microsoft, nie można domyślnie zaktualizować nazwy grup zewnętrznych w konsoli konta.
Konsola konta
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
- Na karcie Grupy wybierz grupę, którą chcesz zaktualizować.
- Kliknij pozycję Informacje o grupie.
- W obszarze Nazwa zaktualizuj nazwę.
- Kliknij przycisk Zapisz.
API grupy konta
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
Aby uzyskać informacje na temat uwierzytelniania w interfejsie API grup kont, zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks.
Przypisywanie grupy do obszaru roboczego
Administratorzy konta i administratorzy obszaru roboczego mogą przypisywać grupy do obszaru roboczego usługi Azure Databricks przy użyciu konsoli konta lub strony ustawień administratora obszaru roboczego.
Konsola konta
Grupy lokalne obszaru roboczego nie mogą być przypisywane do obszarów roboczych za pomocą konsoli konta.
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Obszary robocze.
- Kliknij nazwę obszaru roboczego.
- Na karcie Uprawnienia kliknij pozycję Dodaj uprawnienia.
- Wyszukaj i wybierz grupę, przypisz poziom uprawnień ( użytkownik lub administrator obszaru roboczego), a następnie kliknij przycisk Zapisz.
Ustawienia administratora obszaru roboczego
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Kliknij pozycję Dodaj grupę.
- Wybierz istniejącą grupę, która ma zostać przypisana do obszaru roboczego.
- Kliknij przycisk Dodaj.
Usuwanie grupy z obszaru roboczego
Gdy grupa kont zostanie usunięta z obszaru roboczego, członkowie grupy nie będą już mogli uzyskać dostępu do obszaru roboczego, jednak uprawnienia są zachowywane w grupie. Jeśli grupa zostanie później dodana z powrotem do obszaru roboczego, grupa odzyska poprzednie uprawnienia.
Administratorzy konta i administratorzy obszaru roboczego mogą usunąć grupę z obszaru roboczego usługi Azure Databricks przy użyciu konsoli konta lub strony ustawień administratora obszaru roboczego.
Konsola konta
Nie można usunąć grup lokalnych w obrębie obszaru roboczego z obszarów roboczych wykorzystując konsolę konta.
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Obszary robocze.
- Kliknij nazwę obszaru roboczego.
- Na karcie Uprawnienia znajdź grupę.
- Kliknij
menu kebab po prawej stronie wiersza grupy i wybierz pozycję Usuń. - W oknie dialogowym potwierdzenia kliknij przycisk Usuń.
Ustawienia administratora obszaru roboczego
Note
Nie można usunąć grup, które są pośrednio przypisane do obszaru roboczego za pośrednictwem członkostwa w innej grupie. Aby usunąć te grupy, musisz usunąć je z grupy nadrzędnej lub usunąć je na poziomie konta.
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Wybierz grupę i kliknij pozycję x Usuń
- Kliknij przycisk Usuń , aby potwierdzić.
Zarządzanie rolami w grupie
Important
Ta funkcja jest dostępna w publicznej wersji testowej.
Administratorzy konta mogą udzielać ról grupom w konsoli konta, a administrator obszaru roboczego może zarządzać rolami grupy przy użyciu strony ustawień administratora obszaru roboczego. Menedżerowie grup, którzy nie są administratorami obszarów roboczych, mogą zarządzać rolami grup przy użyciu interfejsu API kontroli dostępu do konta.
Konsola konta
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
- Na karcie Grupy znajdź i kliknij nazwę grupy.
- Kliknij kartę Uprawnienia .
- Kliknij pozycję Udziel dostępu.
- Wyszukaj i wybierz użytkownika, jednostkę usługi lub grupę, a następnie wybierz rolę Grupa: Menedżer .
- Kliknij przycisk Zapisz.
Ustawienia administratora obszaru roboczego
Nie można przypisać ról grupom lokalnym obszaru roboczego ani grupom systemowym w grupach kont.
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Wybierz grupę, którą chcesz zaktualizować. Aby ją zaktualizować, musisz mieć rolę menedżera grupy w grupie.
- Kliknij kartę Uprawnienia .
- Kliknij pozycję Udziel dostępu.
- Wyszukaj i wybierz użytkownika, jednostkę usługi lub grupę, a następnie wybierz rolę Grupa: Menedżer .
- Kliknij przycisk Zapisz.
Przypisywanie ról administratora konta do grupy
Nie można przypisać ról administratora konta do grupy przy użyciu konsoli konta, ale można przypisać je do grup przy użyciu interfejsu API grup kont. Przykład:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
Aby uzyskać informacje na temat uwierzytelniania w interfejsie API grup kont, zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks.
Wyświetlanie grup nadrzędnych
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego usługi Azure Databricks i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- Obok pozycji Grupy kliknij pozycję Zarządzaj.
- Wybierz grupę, którą chcesz wyświetlić.
- Na karcie Grupa nadrzędna wyświetl grupy nadrzędne dla twojej grupy.
Usuwanie grup z konta usługi Azure Databricks
Administratorzy konta mogą usuwać grupy z konta usługi Azure Databricks. Menedżerowie grup mogą również usuwać grupy z konta przy użyciu interfejsu API grup kont. Zobacz Zarządzanie grupami przy użyciu interfejsu API. Jeśli usuniesz grupę przy użyciu konsoli konta, upewnij się, że usuniesz ją również za pomocą wszelkich łączników provisioning SCIM lub aplikacji API SCIM skonfigurowanych dla konta. Jeśli tego nie zrobisz, aprowizacja SCIM po prostu doda grupę i jej członków ponownie przy następnej synchronizacji. Zobacz Synchronizuj użytkowników i grupy z Microsoft Entra ID za pomocą SCIM.
Important
Gdy usuniesz grupę, wszyscy użytkownicy w tej grupie zostaną usunięci z konta i utracą dostęp do wszystkich obszarów roboczych, do których mieli dostęp (chyba że są członkami innej grupy lub otrzymali bezpośrednio dostęp do konta lub dowolnych obszarów roboczych). Usługa Databricks zaleca powstrzymanie się od usuwania grup na poziomie konta, chyba że chcesz, aby utraciły dostęp do wszystkich obszarów roboczych na koncie. Należy pamiętać o następujących konsekwencjach usuwania użytkowników:
- Aplikacje lub skrypty korzystające z tokenów generowanych przez użytkownika nie mogą już uzyskiwać dostępu do interfejsów API usługi Databricks.
- Zadania należące do użytkownika kończą się niepowodzeniem.
- Klastry należące do użytkownika zatrzymują się.
- Biblioteki zainstalowane przez tego użytkownika są nieprawidłowe i muszą zostać ponownie zainstalowane.
- Zapytania lub pulpity nawigacyjne utworzone przez użytkownika i udostępnione z użyciem poświadczeń właściciela muszą być przypisane do nowego właściciela, aby zapobiec niepowodzeniu udostępniania.
Aby usunąć grupę przy użyciu konsoli konta, wykonaj następujące czynności:
- Jako administrator konta zaloguj się do konsoli konta.
- Na pasku bocznym kliknij pozycję Zarządzanie użytkownikami.
- Na karcie Grupy znajdź grupę, którą chcesz usunąć.
- Kliknij menu kebab po prawej stronie wiersza użytkownika i wybierz pozycję Usuń.
- W oknie dialogowym potwierdzenia kliknij pozycję Potwierdź usunięcie.
Note
Po włączeniu automatycznego zarządzania tożsamościami grupy, które znajdują się w identyfikatorze Microsoft Entra ID, są widoczne w konsoli konta. Grupa wyświetla się jako Nieaktywna: nieużywane jeśli nie została dodana do obszaru roboczego. Tych grup nie można usunąć z listy grup. Nie są one liczone względem limitów grup.
Zarządzanie grupami przy użyciu interfejsu API
Administratorzy kont i administratorzy obszarów roboczych oraz menedżerowie grup mogą dodawać, usuwać grupy i zarządzać nimi na koncie usługi Azure Databricks przy użyciu interfejsu API grup kont. Administratorzy kont i administratorzy obszaru roboczego oraz menedżerowie grup muszą wywołać interfejs API przy użyciu innego adresu URL punktu końcowego:
- Administratorzy kont korzystają z
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/. - Administratorzy obszaru roboczego i menedżerowie grup używają
{workspace-domain}/api/2.0/account/scim/v2/.
Aby uzyskać szczegółowe informacje, zobacz API grup kont.
Administratorzy kont i obszarów roboczych mogą używać interfejsu API przypisywania obszaru roboczego do przypisywania grup do obszarów roboczych. Interfejs API do przypisywania obszarów roboczych jest obsługiwany w ramach konta i przestrzeni roboczych usługi Azure Databricks.
- Administratorzy kont korzystają z
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments. - Administratorzy obszaru roboczego używają
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.
Zobacz API przypisania przestrzeni roboczej.
Zarządzanie rolami dla grupy przy użyciu interfejsu API
Important
Ta funkcja jest dostępna w publicznej wersji testowej.
Menedżerowie grup mogą zarządzać rolami grup przy użyciu interfejsu API kontroli dostępu kont. Administratorzy kont i administratorzy obszaru roboczego oraz menedżerowie grup muszą wywołać interfejs API przy użyciu innego adresu URL punktu końcowego:
- Administratorzy kont korzystają z
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles. - Administratorzy obszaru roboczego i menedżerowie grup używają
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.
Zobacz Interfejs API kontroli dostępu do konta i Interfejs API serwera proxy kontroli dostępu kont.
Przykłady interfejsu API do zarządzania grupami
W poniższych przykładach pokazano, jak administratorzy obszaru roboczego mogą zarządzać grupami przy użyciu interfejsu API grup kont i interfejsu API przypisywania obszaru roboczego . Administratorzy obszaru roboczego uwierzytelniają się w swoim obszarze roboczym przy użyciu tokenu interfejsu API.
Tworzenie grupy kont
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
To zwraca identyfikator grupy dla nowej grupy kont. Zapisz go jako odniesienie w poniższych przykładach API.
Dodawanie grupy do obszaru roboczego
Poniższy przykład dodaje grupę do obszaru roboczego z uprawnieniami użytkownika obszaru roboczego. Możesz również ustawić wartość permissions ["ADMIN"], aby przyznać grupie rolę administratora obszaru roboczego.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
Usuwanie grupy z obszaru roboczego
Poniższy przykład usuwa grupę z obszaru roboczego. Usunięcie grupy z obszaru roboczego nie powoduje usunięcia grupy z konta.
Note
Nie można usunąć grup, które są pośrednio przypisane do obszaru roboczego za pośrednictwem członkostwa w innej grupie. Aby usunąć te grupy, musisz usunąć je z grupy nadrzędnej lub usunąć je na poziomie konta.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
Dodawanie członka do grupy
curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'