Pular para o conteúdo principal

gerenciar grupos

Esta página explica como gerenciar grupos para seu Databricks account e espaço de trabalho.

Para uma visão geral dos grupos, consulte Grupos.

Sincronize grupos com o site Databricks account a partir de um provedor de identidade

O senhor pode sincronizar grupos do seu provedor de identidade (IdP) com o site Databricks account usando um conector de provisionamento SCIM. Para obter instruções, consulte Sincronizar usuários e grupos com o site Databricks account .

Adicione grupos ao seu account

Os administradores de conta e os administradores do workspace podem adicionar grupos ao Databricks account usando o console account ou a página de configurações de administração workspace.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , clique em Adicionar grupo .
  4. Insira um nome para o grupo.
  5. Clique em Confirmar .
  6. Quando solicitado, adicione usuários, princípios de serviço e grupos ao grupo.

Adicionar membros a um grupo

Os administradores de conta e os administradores do workspace podem adicionar grupos ao Databricks account usando o console account ou a página de configurações de administração workspace. Os gerentes de grupo que não são administradores do site workspace devem gerenciar a associação do grupo usando a conta Groups API.

nota

Para manter os grupos externos sincronizados com o provedor de identidade, o senhor não pode gerenciar a associação de grupos externos no console account pelo endereço default. Para atualizar a associação de grupos externos na interface do usuário Databricks, um administrador do account pode desativar a visualização de grupos externos imutáveis na página de visualização do console account. Os grupos externos que são gerenciados usando o gerenciamento automático de identidade não podem ser atualizados em Databricks, mesmo quando a visualização imutável de grupos externos está desativada.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , selecione o grupo que deseja atualizar.
  4. Clique em Adicionar membros .
  5. Pesquise o usuário, grupo ou principal de serviço que você deseja adicionar e selecione-o.
  6. Clique em Adicionar .

Há um atraso de alguns minutos entre a atualização de um grupo em um site account e a atualização do grupo no espaço de trabalho.

Alterar o nome de um grupo

Os administradores de conta podem atualizar o nome dos grupos usando o console account e os gerentes de grupo podem atualizar o nome dos grupos usando a conta Groups API. Para manter os grupos externos sincronizados com o provedor de identidade, não é possível atualizar o nome de um grupo externo no console account pelo endereço default.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , selecione o grupo que deseja atualizar.
  4. Clique em Informações do grupo .
  5. Em Nome , atualize o nome.
  6. Clique em Salvar .

Atribuir um grupo a um workspace

Os administradores de conta e os administradores de workspace podem atribuir grupos a um Databricks workspace usando o console account ou a página de configurações de administração workspace.

Para adicionar grupos a um workspace usando o consoleaccount, o workspace deve estar habilitado para a federação de identidade. Os grupos locais do espaço de trabalho não podem ser atribuídos ao espaço de trabalho.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Workspaces .
  3. Clique no nome do workspace.
  4. Na guia Permissões , clique em Adicionar permissões .
  5. Procure e selecione o grupo, atribua o nível de permissão ( usuário ou administrador do espaço de trabalho) e clique em Salvar .

Remover um grupo de um workspace

Quando um grupo account é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente a um workspace, o grupo recuperará suas permissões anteriores.

Os administradores de conta e os administradores de workspace podem remover um grupo de um Databricks workspace usando o console account ou a página de configurações de administração workspace.

Para remover grupos de um workspace usando o consoleaccount, o workspace deve estar habilitado para a federação de identidade. os grupos locais do espaço de trabalho não podem ser removidos do espaço de trabalho usando o console account.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Workspaces .
  3. Clique no nome do workspace.
  4. Em Permissions (Permissões ) tab, localize o grupo.
  5. Clique no Menu Kebab menu de kebab na extremidade direita da linha do grupo e selecione Remover.
  6. Na caixa de diálogo de confirmação, clique em Remover .

gerenciar funções em um grupo

info

Visualização

Esse recurso está em Public Preview.

Os administradores de conta podem conceder funções em grupos no console account e o administrador workspace pode gerenciar funções de grupo usando a página de configurações do administrador workspace. Os gerentes de grupo que não são administradores do workspace podem gerenciar funções de grupo usando o controle de acesso à conta API.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , localize e clique no nome do grupo.
  4. Clique na guia Permissões .
  5. Clique em Conceder acesso .
  6. Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .
  7. Clique em Salvar .

Atribuir funções de administrador do account a um grupo

Não é possível atribuir as funções de administrador do account a um grupo usando o console account, mas o senhor pode atribuí-las a grupos usando a conta Groups API. Por exemplo:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como se autenticar em grupos de contas API, consulte Autorização de acesso ao recurso Databricks.

visualizar grupos de pais

  1. Como administrador do workspace, faça login no workspace do Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Groups , clique em gerenciar .
  5. Selecione o grupo que o senhor deseja view.
  6. Em Parent group (Grupo pai) tab, view os grupos pais do seu grupo.

Remover grupos de seu site Databricks account

Os administradores de contas podem remover grupos de um site Databricks account. Os gerentes de grupo também podem remover grupos do site account usando a conta Groups API, consulte gerenciar grupos usando o site API. Se o senhor remover um grupo usando o console account, deverá certificar-se de que também removerá o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos SCIM API que tenham sido configurados para o account. Se o senhor não fizer isso, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez que for sincronizado. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

important

Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso aos workspaces aos quais tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace). A Databricks recomenda que você evite excluir grupos no nível da conta, a menos que queira que percam o acesso a todos os workspaces na conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar as APIs da Databricks.
  • Os trabalhos pertencentes ao usuário falham.
  • de clustering pertencentes ao usuário stop.
  • biblioteca instalados por esse usuário são inválidos e devem ser reinstalados.
  • As consultas ou painéis criados pelo usuário e compartilhados usando a credencial de execução como proprietário devem ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.

Para remover um grupo usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , encontre o grupo que deseja remover.
  4. Clique no Menu Kebab menu de kebab na extremidade direita da linha do usuário e selecione Excluir.
  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão .

gerenciar grupos usando o API

Os administradores de conta e os administradores de workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Databricks usando a API de grupos de conta. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/account/scim/v2/

Para obter detalhes, consulte a API de grupos de contas.

Administradores de contas e workspaces podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidades. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.

  • Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de atribuição de workspace.

gerenciar funções para um grupo usando o API

info

Visualização

Esse recurso está em Public Preview.

Os gerentes de grupo podem gerenciar funções de grupo usando a API de controle de acesso de contas. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles

Consulte API de controle de acesso a contas e API de proxy de workspace de controle de acesso a contas.

Exemplos de API para gerenciar grupos

Os exemplos a seguir mostram como os administradores do site workspace podem usar a conta Groups API e o espaço de trabalho Assignment API para gerenciar grupos. Os administradores do workspace se autenticam no site workspace usando tokens API.

Criar um grupo account

Bash
curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

Isso retorna um ID de grupo para o novo grupo account. Salve-o para referência nos exemplos de API a seguir.

Adicione um grupo ao seu workspace

O exemplo a seguir adiciona um grupo ao site workspace com permissões de usuário workspace. O senhor também pode definir permissions como ["ADMIN"] para conceder ao grupo a função de administrador workspace.

Bash
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

Remover um grupo do seu workspace

O exemplo a seguir remove um grupo do site workspace. A remoção de um grupo do site workspace não exclui o grupo do site account.

Bash
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

Adicionar um membro a um grupo

Bash
curl --location --request PATCH '{workspace-domain}/api/2.0/accounts/{account_id}/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
Última atualização em