Compartilhar via

Gerenciar grupos

Esta página explica como gerenciar grupos para sua conta e workspaces do Azure Databricks.

Para obter uma visão geral dos grupos, consulte Grupos.

Note

Esta página pressupõe que seu workspace tenha a federação de identidade habilitada, que é o padrão para a maioria dos workspaces. Para obter informações sobre workspaces herdados sem federação de identidade, consulte workspaces herdados sem federação de identidade.

Sincronizar grupos com sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID

Você pode sincronizar grupos do locatário do Microsoft Entra ID com sua conta do Azure Databricks automaticamente ou usando um conector de provisionamento do SCIM.

O gerenciamento automático de identidade permite adicionar usuários, entidades de serviço e grupos da ID do Microsoft Entra ao Azure Databricks sem configurar um aplicativo na ID do Microsoft Entra. O Databricks usa a ID do Microsoft Entra como fonte de registro, portanto, todas as alterações nos usuários ou associações de grupo são respeitadas no Azure Databricks. O gerenciamento automático de identidade dá suporte a grupos aninhados. O gerenciamento automático de identidade é habilitado por padrão para contas criadas após 1º de agosto de 2025. Para obter detalhes, consulte Sincronizar usuários e grupos automaticamente da ID do Microsoft Entra.

O provisionamento SCIM permite configurar um aplicativo empresarial no Microsoft Entra ID para manter usuários e grupos sincronizados com o Microsoft Entra ID. O provisionamento do SCIM não dá suporte a grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos da ID do Microsoft Entra usando SCIM.

Adicionar grupos à sua conta

Administradores de conta e administradores de workspace podem adicionar grupos à conta do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Console da conta

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Grupos, clique em Adicionar grupo.
  4. Insira um nome para o grupo.
  5. Clique em Confirmar.
  6. Quando solicitado, adicione usuários, entidades de serviço e grupos ao grupo.

Configurações de administrador do workspace

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Clique em Adicionar Grupo.
  6. Clique em Adicionar novo.
  7. Insira um nome para o grupo.
  8. Clique em Adicionar.

Adicionar membros a um grupo

Administradores de conta e administradores de workspace podem adicionar grupos à conta do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace devem gerenciar a associação de grupo usando a API de Grupos de Contas.

Note

Para manter grupos externos em sincronia com a ID do Microsoft Entra, você não pode gerenciar a associação de grupos externos no console da conta por padrão. Para atualizar a associação de grupos externos na interface do usuário do Azure Databricks, um administrador de conta pode desabilitar Versão prévia de grupos externos imutáveis na página de versão prévia do console da conta. Grupos externos gerenciados usando o gerenciamento automático de identidade não podem ser atualizados no Azure Databricks mesmo quando a visualização de grupos externos imutáveis está desabilitada.

Console da conta

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Grupos, selecione o grupo que você deseja atualizar.
  4. Clique em Adicionar membros.
  5. Pesquise pelo usuário, grupo ou entidade de serviço que você deseja adicionar e selecione-a.
  6. Clique em Adicionar.

Há um atraso de alguns minutos entre a atualização de um grupo e a associação de grupo que está sendo totalmente propagada em todos os sistemas.

Configurações de administrador do workspace

Note

Não é possível adicionar um grupo filho ao grupo admins. Você não pode adicionar grupos locais de workspace ou grupos de sistema como membros de grupos de contas.

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
  6. Na guia Membros, clique em Adicionar membro.
  7. Na caixa de diálogo, procure ou pesquise os usuários, entidades de serviço e grupos que você deseja adicionar e selecioná-los.
  8. Clique em Confirmar.

Alterar o nome de um grupo

Os administradores de conta podem atualizar o nome dos grupos usando o console da conta e os gerentes de grupo podem atualizar o nome dos grupos usando a API de Grupos de Contas. Para manter grupos externos em sincronia com a ID do Microsoft Entra, você não pode atualizar o nome de um grupo externo no console da conta por padrão.

Console da conta

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Grupos, selecione o grupo que você deseja atualizar.
  4. Clique em Informações do grupo.
  5. Em Nome, atualize o nome.
  6. Clique em Salvar.

API de Grupos de Contas

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autorizar o acesso aos recursos do Azure Databricks.

Atribuir um grupo a um espaço de trabalho

Administradores de conta e administradores de workspace podem atribuir grupos a um workspace do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Console da conta

Grupos locais de espaço de trabalho não podem ser atribuídos a espaços de trabalho utilizando o console da conta.

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Espaços de Trabalho.
  3. Clique no nome do seu workspace.
  4. Na guia Permissões, clique em Adicionar permissões.
  5. Pesquise e selecione o grupo, atribua o nível de permissão (usuário do workspace ou Administrador) e, em seguida, clique em Salvar.

Configurações de administrador do workspace

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Clique em Adicionar Grupo.
  6. Selecione um grupo existente para atribuir ao workspace.
  7. Clique em Adicionar.

Remover um grupo de um espaço de trabalho

Quando um grupo de contas é removido de um workspace, os membros do grupo não podem mais acessar o workspace; no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente a um workspace, o grupo recuperará suas permissões anteriores.

Administradores de conta e administradores de workspace podem remover um grupo de um workspace do Azure Databricks usando o console da conta ou a página de configurações de administrador do workspace.

Console da conta

Grupos locais do espaço de trabalho não podem ser removidos de espaços de trabalho usando o console da conta.

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Espaços de Trabalho.
  3. Clique no nome do seu workspace.
  4. Na guia Permissões, localize o grupo.
  5. Clique no ícone do menu Kebab. No menu kebab à direita da linha do grupo, selecione Remover.
  6. Na caixa de diálogo de confirmação, clique em Remover.

Configurações de administrador do workspace

Note

Você não pode remover grupos que são atribuídos indiretamente à área de trabalho por meio da associação a outro grupo. Para remover esses grupos, você deve removê-los do grupo pai ou removê-los ao nível da conta.

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo e clique em x Excluir
  6. Clique em Excluir para confirmar.

Gerenciar funções em um grupo

Important

Esse recurso está em Visualização Pública.

Os administradores de conta podem conceder funções em grupos no console da conta e o administrador do workspace pode gerenciar funções de grupo usando a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso a Contas.

Console da conta

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Grupos , localize e clique no nome do grupo.
  4. Clique na guia Permissões.
  5. Clique em Conceder acesso.
  6. Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.
  7. Clique em Salvar.

Configurações de administrador do workspace

Você não pode atribuir funções de grupos locais do espaço de trabalho ou grupos do sistema em grupos de contas.

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
  6. Clique na guia Permissões.
  7. Clique em Conceder acesso.
  8. Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.
  9. Clique em Salvar.

Atribuir funções de administrador de conta a um grupo

Você não pode atribuir as funções de administrador de conta a um grupo usando o console da conta, mas pode atribuí-la a grupos usando a API de Grupos de Contas. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como autenticar na API de Grupos de Contas, consulte Autorizar o acesso aos recursos do Azure Databricks.

Visualizar grupos pai

  1. Como administrador do workspace, faça login no workspace do Azure Databricks.
  2. Clique no nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que deseja exibir.
  6. Na guia Grupo principal, visualize os grupos principais do seu grupo.

Remover grupos da conta do Azure Databricks

Os administradores da conta podem remover grupos de uma conta do Azure Databricks. Os gerentes de grupo também podem remover grupos da conta usando a API de Grupos de Contas, consulte Gerenciar grupos usando a API. Se você remover um grupo usando o console da conta, lembre-se de também remover o grupo usando quaisquer conectores de provisionamento do SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez que for sincronizado. Consulte Sincronizar usuários e grupos do Microsoft Entra ID usando SCIM.

Important

Quando um grupo é removido, todos os usuários desse grupo são excluídos da conta e perdem o acesso a quaisquer workspaces aos quais tinham acesso, a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace. O Databricks recomenda que você se abstenha de excluir grupos no nível da conta, a menos que queira que eles percam acesso a todos os workspaces da conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar APIs do Databricks.
  • Os trabalhos de propriedade do usuário falham.
  • Clusters pertencentes ao usuário param.
  • As bibliotecas instaladas por esse usuário são inválidas e devem ser reinstaladas.
  • Consultas ou dashboards criados pelo usuário e compartilhados usando a credencial Executar como Proprietário precisam ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.

Para remover um grupo usando o console da conta, faça o seguinte:

  1. Como administrador de conta, faça logon no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários.
  3. Na guia Grupos, localize o grupo que você deseja remover.
  4. Clique no ícone do menu Kebab. Menu kebab à direita da linha do usuário e selecione Excluir.
  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Note

Quando o gerenciamento automático de identidade está habilitado, os grupos que estão na ID do Microsoft Entra ficam visíveis no console da conta. Um grupo é mostrado como Inativo: nenhum uso se ele não tiver sido adicionado a um workspace. Esses grupos não podem ser removidos da lista de grupos. Eles não contam em relação aos limites de grupo.

Gerenciar grupos usando a API

Os administradores de conta e os administradores do workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Azure Databricks usando a API de Grupos de Contas. Administradores de conta, administradores de workspace e gerentes de grupo devem utilizar a API usando uma URL de endpoint diferente:

  • Os administradores da conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Administradores de workspace e gerentes de grupo usam {workspace-domain}/api/2.0/account/scim/v2/.

Para obter detalhes, consulte a API de Grupos de Contas.

Os administradores de conta e de workspace podem usar a API de Atribuição de Espaço de Trabalho para atribuir grupos a workspaces. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.

  • Os administradores da conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de Atribuição do Espaço de Trabalho.

Gerenciar funções para um grupo usando a API

Important

Esse recurso está em Visualização Pública.

Os gerentes de grupos podem gerenciar funções de grupo usando a API de Controle de Acesso contas. Administradores de conta, administradores de workspace e gerentes de grupo devem utilizar a API usando uma URL de endpoint diferente:

  • Os administradores da conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Administradores de workspace e gerentes de grupo usam {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Veja API de controle de acesso à conta e API de proxy do espaço de trabalho de controle de acesso às contas.

Exemplos de API para gerenciar grupos

Os exemplos a seguir mostram como os administradores do workspace podem usar a API de Grupos de Contas e a API de Atribuição de Workspace para gerenciar grupos. Os administradores do workspace autenticam-se em seu workspace usando um token de API.

Criar um grupo de contas

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

Isso retorna uma ID de grupo para o novo grupo de contas. Salve-o para referência nos exemplos de API a seguir.

Adicionar um grupo ao seu workspace

O exemplo a seguir adiciona um grupo ao seu workspace com permissões de usuário do workspace. Você também pode definir permissions como ["ADMIN"] para conceder ao grupo a função de administrador do workspace.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

Remover um grupo do espaço de trabalho

O exemplo a seguir remove um grupo da sua área de trabalho. Remover um grupo do workspace não exclui o grupo da conta.

Note

Você não pode remover grupos que são atribuídos indiretamente à área de trabalho por meio da associação a outro grupo. Para remover esses grupos, você deve removê-los do grupo pai ou removê-los ao nível da conta.

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

Adicionar um membro a um grupo

curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
  • Last updated on