ワークスペースローカル グループの管理 (レガシー)
この記事では、管理者がワークスペース ローカル グループを作成および管理する方法について説明します。 アカウント グループの概要については、 「グループの管理」を参照してください。
ワークスペースローカルグループとは何ですか?
ワークスペース ローカル グループはレガシー グループです。 これらのグループは、ワークスペース管理者設定ページでワークスペース ローカルとして識別されます。 ワークスペース ローカル グループは、アカウント グループとしてアカウントに同期されません。 ワークスペース ローカル グループは、定義されているワークスペース内で使用できますが、アカウント レベルのインターフェイスを使用して管理することはできません。 追加のワークスペースに割り当てたり、 Unity Catalogメタストア内のデータへのアクセス権を付与したりすることはできません。 ワークスペース ローカル グループにはアカウント レベルのロールを付与できません。 一元化された ID を活用するために、Databricks では、ワークスペース ローカル グループではなくアカウント グループを使用することをお勧めします。
ワークスペース管理者は、ワークスペース管理者設定ページ、アイデンティティ プロバイダー用の Apple コネクタ、およびワークスペース グループAPIを使用して、ワークスペース ローカル グループを追加および管理できます。
ワークスペース ローカル グループのアクセスを管理するには、 「認証とアクセス制御」を参照してください。
注:
ID フェデレーション ワークスペースでは、ワークスペース-ローカル グループは、ワークスペース グループ APIを使用してのみ管理できます。Databricks は、2023 年 11 月 8 日に ID フェデレーションと Unity Catalog の新しいワークスペースを自動的に有効にし始め、アカウント全体で徐々にロールアウトが進んでいます。 ワークスペースで ID フェデレーションがデフォルトで有効になっている場合、無効にすることはできません。 詳細については、「Unity Catalogの自動有効化」を参照してください。
ワークスペースローカルグループをアカウントグループに移行する
Databricks では、集中 ID 管理のためにワークスペース ローカル グループをアカウント グループに変換することをお勧めします。
ステップ1: ワークスペースレベルのSCIMコンポーネントをアカウントに移行する
Databricks では、ID プロバイダーから Databricks にグループを同期するようにアカウント レベルの SCIM プロビジョニングを構成することをお勧めします。 現在、ワークスペースにワークスペース レベルのSCIMツールが設定されている場合は、ワークスペース レベルのSCIMツールを無効にする必要があります。 それ以外の場合、ワークスペース レベルの SCIM は、ワークスペース ローカル グループの作成と更新を続行します。 アカウントに新しい SCIM プロビジョニング コネクタを設定し、ワークスペース レベルの SCIM を無効にするには、「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。
ステップ2: ワークスペースローカルグループの名前を変更する
ワークスペース内の 2 つのグループに同じ名前を付けることはできません。 同じ名前の新しいアカウント グループをワークスペースに追加するには、ワークスペース ローカル グループの名前を変更する必要があります。 これらのステップでは、グループの名前に(workspace)
を追加することをお勧めします。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[グループ]タブをクリックし、アカウント グループに変換するワークスペース ローカル グループを選択します。
「名前」の下で、グループ名の末尾に
(workspace)
を追加します。[保存]をクリックします。
ステップ3: アカウントグループに権限を付与する
新しくプロビジョニングされたアカウント グループに、ワークスペース ローカルのアカウント グループと同じ機能へのアクセス権を付与します。 新しいアカウント グループごとに:
グループにワークスペースへのアクセス権を付与します。 「アカウント コンソールを使用してワークスペースにグループを割り当てる」を参照してください。
「グループの権限の管理」の手順に従って、新しいアカウント グループにワークスペース権限を割り当てます。
UCX ユーティリティ グループ移行ツールを使用して、ワークスペース レベルのグループのアクセス許可をワークスペース レベルのオブジェクトに対して新しいアカウント グループに移行します。 「ステップ 2. グループ移行ワークフローを実行する」を参照してください。 Permissions APIを使用して権限を手動で移行することもできます。
APIを使用してワークスペースローカルグループを管理する
ワークスペース管理者は、ワークスペースレベルのSCIM APIを使用して、ワークスペースローカル グループを追加および管理できます。 ID フェデレーション ワークスペースでは、ワークスペース ローカル グループはAPI使用してのみ管理できます。 手順については、 「ワークスペース グループAPI 」を参照してください。
管理者設定ページを使用してワークスペースローカルグループを管理する
ワークスペース管理者は、非 ID フェデレーション ワークスペースのワークスペース管理者設定ページを使用して、ワークスペース ローカル グループを追加および管理できます。
管理者設定ページを使用してワークスペースローカルグループを作成する
管理者設定を使用してワークスペースにワークスペースローカル グループを追加するには、次の手順を実行します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
「グループの作成」をクリックします。
グループ名を入力し、 「作成」をクリックします。
グループ名は一意である必要があります。 グループ名は変更できません。 グループ名を変更する場合は、グループを削除し、新しい名前で再作成する必要があります。
管理者設定ページを使用してワークスペースローカルグループにメンバーを追加する
注:
admins
グループに子グループを追加することはできません。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
更新するグループを選択します。
[メンバー] タブで、[ユーザー、グループ、またはサービスプリンシパルの追加] をクリックします。
ダイアログで、追加したいユーザー、サービスプリンシパル、グループを参照または検索し、選択します。
[確認]をクリックします。
セレクタの下向き矢印をクリックして、ドロップダウンリストを非表示にし、[ 確認] ボタンを表示する必要がある場合があります。
ワークスペースローカルグループからユーザー、グループ、またはサービス プリンシパルを削除します
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
更新するグループを選択します。
[メンバー]タブで、削除するユーザー、グループ、またはサービスプリンシパルを見つけて、 [アクション]列の [ X]をクリックします。
[ メンバーの削除 ] をクリックして確定します。
注:
削除するグループの「親」タブに移動して、子ワークスペース ローカル グループを親ワークスペース ローカル グループから削除することもできます。 子ワークスペース ローカル グループを削除する親グループを見つけて、 [アクション]列の[X]をクリックします。
ID プロバイダーからワークスペースローカル グループを同期する
ワークスペース レベルの SCIM プロビジョニング コネクタを使用して、ID プロバイダー (IdP) から Databricks ワークスペースにグループを同期できます。 ワークスペース レベルのSCIMは、ワークスペース内でのみ使用できるワークスペース ローカル グループを作成します。 Databricks では、代わりにアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。
手順については、 「Databricks ワークスペースへの ID のプロビジョニング (レガシー)」を参照してください。