管理工作区本地组(旧版)

本文介绍管理员如何创建和管理工作区本地组。 有关帐户组的概述,请参阅管理组

什么是工作区本地组?

工作区本地组是旧组。 这些组在工作区管理员设置页中标识为“工作区本地”。 工作区本地组不会作为帐户组同步到帐户。 您可以在定义时所在的工作区中使用工作区本地组,但无法使用帐户级界面对其进行管理。 不能将它们分配给其他工作区,也不能向它们授予对 Unity Catalog 元存储中数据的访问权限。 不能向工作区本地组授予帐户级角色。 若要利用集中式标识,Databricks 建议使用帐户组而不是工作区本地组。

工作区管理员可以使用工作区管理员设置页、标识提供者的预配连接器和工作区组 API 来添加和管理工作区本地组。

要管理工作区本地组的访问权限,请参阅身份验证和访问控制

注意

在标识联合工作区中,只能使用工作区组 API 管理工作区本地组。 如果你的帐户是在 2023 年 11 月 9 日之后创建的,则联合身份验证将在所有新工作区上默认启用,并且无法禁用。

将工作区本地组迁移到帐户组

Databricks 建议将工作区本地组转换为帐户组,以便利用集中位置管理标识。 要将工作区本地组转换为帐户组,需要创建新的帐户组,然后删除现有的工作区本地组,请执行以下步骤:

步骤 1:更改工作区本地组的名称

工作区中的两个组不能具有相同的名称。 需要更改工作区本地组的名称才能将新帐户组添加到具有相同名称的工作区。 这些步骤建议将 (workspace) 添加到组的名称。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“组”选项卡,选择要转换为帐户组的工作区本地组。
  4. 在名称下,将 (workspace) 添加到组名称的末尾。
  5. 单击“ 保存”。

步骤 2:创建新的帐户组

  1. 在“组”选项卡上,单击“添加组”。
  2. 单击“新增”
  3. 输入要转换的工作区本地组的名称。
  4. 单击“添加” 。
  5. 在“成员”选项卡上,单击“添加用户、组或服务主体”。
  6. 在对话框中,浏览或搜索是你工作区本地组成员的用户、服务主体和组,然后选择它们。
  7. 单击“确认” 。

步骤 3:向帐户组授予访问权限

必须授权新帐户组访问工作区级别对象,以及工作区本地组最初有权访问的功能,以便组成员保持该访问权限。 按照管理权利中的说明将工作区权利分配给新帐户组,并使用权限 API 授权组访问工作区中的对象。 有关访问控制的详细信息,请参阅访问控制列表

步骤 4:删除工作区本地组

现已将工作区本地组迁移到帐户,可将工作区本地组删除。

  1. 在“组”选项卡上,选择要转换为帐户组的工作区本地组。
  2. 单击“x 删除”,然后单击“删除”以确认。

使用 API 管理工作区本地组

工作区管理员可以使用工作区级 SCIM API 添加和管理工作区本地组。 在标识联合工作区中,只能使用 API 管理工作区本地组。 有关说明,请参阅工作区组 API

使用管理员设置页管理工作区本地组

工作区管理员可以使用非标识联合工作区中的工作区管理员设置页来添加和管理工作区本地组。

使用管理员设置页创建工作区本地组

若要使用管理设置将工作区本地组添加到工作区,请执行以下操作:

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”

  3. 单击“标识和访问”选项卡

  4. 在“组”旁边,单击“管理”

  5. 单击“创建组”

  6. 输入组名称,然后单击“创建”。

    组名称必须是唯一的。 你无法更改组名称。 如果要更改某个组名称,则必须删除该组,然后使用新名称重新创建它。

使用管理员设置页将成员添加到工作区本地组

注意

不能向 admins 组添加子组。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”

  3. 单击“标识和访问”选项卡

  4. 在“组”旁边,单击“管理”

  5. 选择要更新的组。

  6. 在“成员”选项卡上,单击“添加用户、组或服务主体”。

  7. 在对话框中,浏览或搜索要添加的用户、服务主体和组,并选择它们。

  8. 单击“确认” 。

    可能需要单击选择器中的向下箭头来隐藏下拉列表并显示“确认”按钮。

从工作区本地组中删除用户、组或服务主体

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要更新的组。
  6. 在“成员”选项卡上,找到要删除的用户、组或服务主体,然后单击“操作”列中的“X”。
  7. 单击“删除成员”以进行确认。

注意

还可以转到要删除的组的“父级”选项卡,从其父工作区本地组中删除子工作区本地组。 找到要从中删除子工作区本地组的父组,然后单击“操作”列中的“X”。

查看父级工作区本地组

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要管理的组。
  6. 在“父组”选项卡上,查看你的组的父组

更改组的名称

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要管理的组。
  6. 在“名称”下,更新名称。
  7. 单击“ 保存”。

从 Microsoft Entra ID(以前称为 Azure Active Directory)租户同步工作区本地组

可以使用工作区级 SCIM 预配连接器,将组从 Microsoft Entra ID(以前称为 Azure Active Directory)租户同步到 Azure Databricks 工作区。 工作区级 SCIM 预配过程会创建只能在工作区中使用的工作区本地组。 Databricks 建议改用帐户级 SCIM 预配。