Grupos
Esta página apresenta uma visão geral dos grupos no Databricks. Para saber como gerenciar grupos, consulte gerenciar grupos.
Grupos simplificam a gestão de identidades, tornando mais fácil atribuir acesso o workspace, dados e outros objetos seguráveis.Todas as identidades do Databricks podem ser atribuídas como membros de grupos.
Esta página pressupõe que seu workspace tenha a federação de identidades ativada, que é a default para a maioria dos espaços de trabalho. Para obter informações sobre o espaço de trabalho legado sem federação de identidades, consulte Espaço de trabalho legado sem federação de identidades.
Fontes do grupo
Os grupos de Databricks são classificados em quatro categorias com base em sua origem, que é mostrada na coluna Source (Origem) da lista de grupos
Origem | Descrição |
|---|---|
Conta | É possível conceder acesso a dados em um metastore Unity Catalog , atribuir funções em entidades de serviço e grupos, além de permissões para espaços de trabalho e objetos workspace . Os membros herdam as permissões de objeto workspace de todos os grupos account dos quais fazem parte, independentemente de o grupo estar atribuído ao workspace. Esses são os principais grupos para gerenciar o acesso em toda a account do Databricks . |
Externo | Criado no Databricks a partir do seu provedor de identidade. Esses grupos permanecem em sincronia com seu IdP (como o Microsoft Entra ID). Os grupos externos também são considerados grupos account. |
Sistema | Criado e mantido pela Databricks. Cada account inclui um grupo |
Workspace | Conhecidos como workspace-local groups, esses são grupos legados que são usados somente dentro do workspace no qual foram criados. Eles não podem ser atribuídos a outro espaço de trabalho, receber acesso aos dados do site Unity Catalog ou atribuir funções de nível account. Databricks recomenda a conversão de workspace-local groups para account groups para uma funcionalidade mais ampla. |
Em uma versão futura, os grupos de sistemas workspace (users e admins) terão concessões de direitos fixas que não podem ser modificadas. O grupo users não terá direitos e o grupo admins terá todos os direitos workspace . Os direitos existentes no grupo users são migrados automaticamente para um grupo clonado, para que os usuários atuais mantenham seu acesso. Para mais informações, consulte: Os grupos de sistemas de espaço de trabalho em breve terão concessões de direitos fixas.
Quando o gerenciamento automático de identidades está ativado, os grupos do seu provedor de identidade ficam visíveis no console account e na página de configurações de administração workspace . O status deles reflete a atividade e o estado deles entre o seu provedor de identidade e o Databricks. Consulte Status de usuários e grupos.
Quem pode gerenciar grupos?
Para criar grupos na Databricks, o senhor deve ser um dos dois:
- Um administrador do account
- Um administrador workspace
Para gerenciar grupos na Databricks, o senhor deve ter a função de gerente de grupo (Public Preview) em um grupo. Essa função permite que você:
- gerenciar a associação do grupo
- Excluir grupos
- Atribuir a função de gerente de grupo a outros usuários
Por padrão:
- Os administradores de conta têm automaticamente a função de gerente de grupo para todos os grupos.
- Os administradores do espaço de trabalho têm automaticamente a função de gerente de grupo nos grupos que criam.
As funções de gerente de grupo podem ser configuradas por:
- administradores de conta, usando o console account
- administradores de workspace, usando a página de configurações de administração workspace
- Gerentes de grupo não administradores, usando a conta Access Control API
Os administradores do workspace também podem criar e gerenciar workspacegrupos locais herdados do.
Sincronize grupos com o site Databricks account a partir de um provedor de identidade
Você pode sincronizar grupos do seu provedor de identidade (IdP) com sua account Databricks usando o gerenciamento automático de identidade ou um conector de provisionamento SCIM .
O gerenciamento automático de identidades (Prévia Pública) permite adicionar usuários, entidades de serviço e grupos do seu provedor de identidade ao Databricks. O Databricks utiliza seu provedor de identidade como fonte de registro, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Databricks. O gerenciamento automático de identidades suporta grupos aninhados. Para obter detalhes, consulte Gerenciamento automático de identidade.
O provisionamentoSCIM permite sincronizar grupos de um provedor de identidade com sua account Databricks . O provisionamento SCIM não suporta grupos aninhados. Para obter instruções, consulte Sincronizar usuários e grupos com sua account Databricks.
