グループの管理

このページでは、Databricks アカウントとワークスペースのグループを管理する方法について説明します。

グループの概要については、「 グループ」を参照してください。

注記

このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。これは、ほとんどのワークスペースにとって確実です。 ID フェデレーションのないレガシー ワークスペースについては、 「ID フェデレーションのないレガシー ワークスペース」を参照してください。

ID プロバイダーから Databricks アカウントにグループを同期する

自動 ID 管理またはSCIMプロビジョニング コネクタを使用して、グループを ID プロバイダー (IdP) からDatabricksアカウントに同期できます。

自動ID管理 （パブリックプレビュー）を使用すると、IDプロバイダーからユーザー、サービスプリンシパル、およびグループをDatabricksに追加できます。DatabricksはIDプロバイダーを記録のソースとして使用するため、ユーザーやグループメンバーシップへの変更はDatabricksにも反映されます。自動ID管理はネストされたグループをサポートします。詳細については、 「自動ID管理」を参照してください。

SCIMプロビジョニングを 使用すると、グループをアイデンティティ プロバイダー (IdP) からDatabricksアカウントに同期できます。 手順については、 「ユーザーとグループをDatabricksアカウントに同期する」を参照してください。

アカウントにグループを追加する

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース admin 設定ページを使用して、 Databricks アカウントにグループ を追加できます。

Account console

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、[ グループの追加 ] をクリックします。
4. グループの名前を入力します。
5. 確認 をクリックします。
6. プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。

Workspace admin settings

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. [ グループを追加 ]をクリックします。
6. [ 新規追加 ] をクリックします。
7. グループの名前を入力します。
8. [ 追加 ] をクリックします。

グループにメンバーを追加する

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース admin 設定ページを使用して、 Databricks アカウントにグループ を追加できます。 ワークスペース管理者ではないグループ マネージャーは、アカウント グループ APIを使用してグループ メンバーシップを管理する必要があります。

注記

外部グループを ID プロバイダと同期させるために、デフォルトではアカウントコンソールで外部グループのメンバーシップを管理することはできません。Databricks UI から外部グループ メンバーシップを更新するには、アカウント管理者がアカウント コンソールのプレビュー ページで Immutable external グループ プレビュー を無効にすることができます。自動 ID 管理を使用して管理されている外部グループは、不変の外部グループのプレビューが無効になっている場合でも、Databricks で更新することはできません。

Account console

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、更新するグループを選択します。
4. [ メンバーを追加 ]をクリックします。
5. 追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
6. [ 追加 ] をクリックします。

グループを更新してから、グループ・メンバーシップがすべてのシステムに完全に伝播されるまでに、数分の遅延があります。

Workspace admin settings

注記

子グループを admins グループに追加することはできません。ワークスペース・ローカル・グループまたはシステム・グループをアカウント・グループのメンバーとして追加することはできません。

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
6. [ メンバー ] タブで、[ メンバーの追加 ] をクリックします。
7. ダイアログで、追加するユーザー、サービスプリンシパル、およびグループを参照または検索し、それらを選択します。
8. 確認 をクリックします。

グループの名前を変更する

アカウント 管理者はアカウント コンソールを使用してグループの名前を更新でき、グループ マネージャーは アカウント グループ APIを使用してグループの名前を更新できます。 外部グループを ID プロバイダーと同期させるために、デフォルトではアカウントコンソールで外部グループの名前を更新することはできません。

Account console

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、更新するグループを選択します。
4. [ グループ情報 ]をクリックします。
5. [ 名前 ]で名前を更新します。
6. 保存 をクリックします。

Account Groups API

Bash

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

アカウント グループAPIへの認証方法については、 Databricksリソースへのアクセスを承認する」を参照してください。

ワークスペースにグループを割り当てる

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、グループ を Databricks ワークスペースに割り当てることができます。

Account console

ワークスペース-local グループは、アカウント コンソールを使用してワークスペースに割り当てることはできません。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、 ワークスペース をクリックします。
3. ワークスペース名をクリックします。
4. [ 権限 ] タブで、[ 権限を追加 ] をクリックします。
5. グループを検索して選択し、権限レベル（ワークスペース ユーザー または 管理者 ）を割り当て、 [保存] をクリックします。

Workspace admin settings

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. [ グループを追加 ]をクリックします。
6. ワークスペースに割り当てる既存のグループを選択します。
7. [ 追加 ] をクリックします。

ワークスペースからグループを削除する

アカウント グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。グループが後でワークスペースに再度追加された場合、グループは以前の権限を取り戻します。

注記

今後のリリースでは、アカウントグループのメンバーシップがワークスペースオブジェクトのアクセス許可にも影響するようになります。メンバーは、そのグループがワークスペースに割り当てられているかどうかに関係なく、メンバーであるすべてのアカウント グループから、ジョブ、ノートブック、フォルダーなどのワークスペース オブジェクトに対する権限を継承します。 孤立した権限の分析ノートブックを使用して、ワークスペース内の権限付与状況を確認してください。ワークスペースオブジェクトのアクセス許可は、まもなくすべてのアカウントグループから継承されるようになります。

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、 Databricks ワークスペースからグループを削除できます。

Account console

ワークスペース-local グループは、アカウント コンソールを使用してワークスペースから削除することはできません。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、 ワークスペース をクリックします。
3. ワークスペース名をクリックします。
4. [アクセス許可 ] タブで、グループを見つけます。
5. グループ行の右端にある ケバブメニューをクリックし、「 削除 」を選択します。
6. 確認ダイアログで、 [削除の確認] をクリックします。

Workspace admin settings

注記

別のグループのメンバーシップを通じてワークスペースに間接的に割り当てられているグループを削除することはできません。 これらのグループを削除するには、親グループから削除するか、アカウント レベルで削除する必要があります。

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. グループを選択し、[ x 削除 ] をクリックします
6. 削除 をクリックして確定します。

グループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

アカウント 管理者は、アカウント コンソールでグループの役割を付与でき、ワークスペース管理者は [ワークスペース管理者設定] ページを使用してグループの役割を管理できます。 ワークスペース管理者ではないグループ マネージャーは、 アカウント アクセス制御 APIを使用してグループの役割を管理できます。

Account console

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ]タブで、グループ名を見つけてクリックします。
4. 「 権限 」タブをクリックします。
5. [ アクセス権を付与 ] をクリックします。
6. ユーザー、サービスプリンシパル、またはグループを検索して選択し、 グループ:マネージャー ロールを選択します。
7. 保存 をクリックします。

Workspace admin settings

アカウント グループには、ワークスペース ローカル グループまたはシステム グループの役割を割り当てることはできません。

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
6. 「 権限 」タブをクリックします。
7. [ アクセス権を付与 ] をクリックします。
8. ユーザー、サービスプリンシパル、またはグループを検索して選択し、 グループ:マネージャー ロールを選択します。
9. 保存 をクリックします。

アカウント管理者の役割をグループに割り当てる

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ]タブで、グループ名を見つけてクリックします。
4. [ロール] タブをクリックします。
5. アカウント管理者 を選択します。

アカウント コンソールを使用して、請求管理者ロールまたはMarketplace管理者ロールをグループに割り当てることはできません。 これらのロールをグループに割り当てるには、次のロール識別子を使用してアカウント アクセス制御 API を使用します。

• roles/billing.admin 請求管理者向け
• roles/marketplace.admin Marketplace管理者向け

親グループの表示

1. ワークスペース管理者として、Databricksワークスペースにログインします。
2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. 表示するグループを選択します。
6. [親グループ ] タブで、グループの親グループを表示します。

Databricks アカウントからグループを削除する

アカウント 管理者は、 Databricks アカウントからグループ を削除できます。 グループ マネージャーは、 アカウント グループ APIを使用してアカウントからグループ を削除することもできます (「APIを使用してグループを管理する」を参照してください。アカウントコンソールを使用してグループを削除する場合は、アカウントに設定されている SCIM プロビジョニングコネクタまたは SCIM API アプリケーションを使用してグループも削除する必要があります。そうしないと、SCIM プロビジョニングは、次回の同期時にグループとそのメンバーを再び追加するだけです。「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

重要

グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います（別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く）。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。

• ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、 Databricks API.
• ユーザーが所有するジョブは失敗します。
• ユーザーが所有するクラスターが停止します。
• そのユーザーがインストールしたライブラリは無効であるため、再インストールする必要があります。
• ユーザーが作成し、所有者として実行資格情報を使用して共有されたクエリまたはダッシュボードは、共有が失敗するのを防ぐために、新しい所有者に割り当てる必要があります。

アカウントコンソールを使ってグループを削除するには、次の手順を実行します。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、削除するグループを選択します。
4. ユーザー行の右端にあるケバブメニューをクリックし、［ 削除 ］を選択します。
5. 確認ダイアログボックスで、[ 削除を確認 ] をクリックします。

注記

自動ID管理が有効になっている場合、IDプロバイダーのグループがアカウントコンソールに表示されます。ワークスペースに追加されていないグループは 、「非アクティブ：使用されていません」 と表示されます。これらのグループはグループリストから削除できません。それらはグループ人数制限には含まれません。

API を使用したグループの管理

アカウント管理者、ワークスペース管理者、およびグループマネージャーは、アカウントグループAPIを使用して、Databricksアカウント内のグループを追加、削除、管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

• アカウント管理者は{account-domain}/api/2.1/accounts/{account_id}/scim/v2/を使用します。
• ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/account/scim/v2/を使用します。

詳細については、「アカウントグループAPI」を参照してください。

アカウントおよびワークスペースの管理者は、ワークスペース割り当てAPIを使用して、グループをワークスペースに割り当てることができます。 ワークスペース割り当てAPI 、 Databricksアカウントおよびワークスペースを通じてサポートされています。

• アカウント管理者は{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentsを使用します。
• ワークスペース管理者は{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}を使用します。

「ワークスペース割り当てAPI」を参照してください。

API を使用してグループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

グループ管理者は、アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

• アカウント管理者は{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-rolesを使用します。
• ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-rolesを使用します。

アカウントアクセスコントロールAPI、およびアカウントアクセスコントロールワークスペースプロキシAPI を参照してください。

グループを管理するための API の例

次の例は、ワークスペース管理者が アカウント グループ API と ワークスペースの割り当て API を使用してグループを管理する方法を示しています。 ワークスペース管理者は、 API トークンを使用してワークスペースに認証します。

アカウント グループを作成する

Bash

curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

これにより、新しいアカウント グループのグループ ID が返されます。次の API の例で参照できるように保存してください。

ワークスペースにグループを追加する

次の例では、ワークスペース ユーザー権限を持つグループをワークスペースに追加します。また、 permissions を["ADMIN"]に設定して、グループにワークスペース管理者ロールを付与することもできます。

Bash

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

ワークスペースからグループを削除する

次の例では、ワークスペースからグループを削除します。ワークスペースからグループを削除しても、アカウントからはグループは削除されません。

注記

別のグループのメンバーシップを通じてワークスペースに間接的に割り当てられているグループを削除することはできません。 これらのグループを削除するには、親グループから削除するか、アカウント レベルで削除する必要があります。

Bash

curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

グループにメンバーを追加する

Bash

curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'