本页介绍 Azure Databricks 中的组概述。 有关如何管理组,请参阅 “管理组”。
组简化了标识管理,使分配对工作区、数据和其他安全对象的访问权限变得更加容易。 所有 Databricks 标识都可以被分配为组的成员。
组源
Azure Databricks 组根据其源分类为四个类别,这些类别显示在组列表的 “源 ”列中
| 来源 | Description |
|---|---|
| 帐户 | 可以授予对 Unity 目录元存储中的数据、服务主体和组上分配的角色以及对标识联合工作区的权限的访问权限。 这些是用于跨 Azure Databricks 帐户管理访问权限的主要组。 |
| 外部 | 从标识提供者在 Azure Databricks 中创建。 这些组与 IdP 保持同步(如Microsoft Entra ID)。 外部组也被视为帐户组。 |
| System | 由 Azure Databricks 创建和维护。 每个帐户都包含一个 account users 包含所有用户的组。 每个工作区都有两个系统组: users (所有工作区成员)和 admins (工作区管理员)。 系统组无法删除。 |
| Workspace | 这些组称为工作区本地组,这些组仅在创建工作区内使用。 无法将其分配给其他工作区、授予对 Unity 目录数据的访问权限或分配的帐户级角色。 Databricks 建议将工作区本地组转换为帐户组以获取更广泛的功能。 |
谁可以管理组?
若要在 Azure Databricks 中创建组,必须:
- 帐户管理员
- 标识联合工作区中的工作区管理员
若要管理 Azure Databricks 中的组,必须在组上具有 组管理员 角色(公共预览版)。 此角色允许你:
- 管理组成员身份
- 删除组
- 将组管理员角色分配给其他用户
默认情况下:
- 帐户管理员自动拥有所有组的组管理员角色。
- 工作区管理员在创建的组上自动具有组管理员角色。
可以通过以下方式配置组管理器角色:
- 使用帐户控制台的帐户管理员
- 使用工作区管理员设置页的工作区管理员
- 使用帐户访问控制 API 的非管理员组管理员
工作区管理员还可以创建和管理旧的 工作区本地组。
从 Microsoft Entra ID 将组同步到 Azure Databricks 帐户
Databricks 建议将组从 Microsoft Entra ID 同步到 Azure Databricks 帐户。
可以从Microsoft Entra ID 自动同步组。
使用自动标识管理 ,可以将用户、服务主体和组从 Microsoft Entra ID 添加到 Azure Databricks 中,而无需在 Microsoft Entra ID 中配置应用程序。 Databricks 使用 Microsoft Entra ID 作为记录源,因此在 Azure Databricks 中尊重对用户或组成员身份所做的任何更改。 自动标识管理支持嵌套组。 默认情况下,为在 2025 年 8 月 1 日之后创建的帐户启用自动标识管理。 有关详细信息,请参阅 从 Microsoft Entra ID 自动同步用户和组。