グループの管理

この記事では、管理者が SAP Databricks グループを作成および管理する方法について説明します。

グループのアクセスを管理するには、「 認証とアクセス制御」を参照してください。

グループ経営の概要

グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。

SAP Databricks のグループのタイプ

SAP Databricks には 4 種類のグループがあり、ソースに基づいて分類されています。

• アカウント グループ には、 Unity Catalog メタストア内のデータへのアクセス権を付与したり、サービスプリンシパル とグループに対するロールを付与したり、ワークスペースへのアクセス許可を付与したりできます。
• 外部グループは 、IdP から SAP Databricks で作成されるグループです。これらのグループは、 SCIM プロビジョニング コネクタを使用して作成され、SAP Cloud Identity サービスとの同期を維持します。 By Default は、SAP Databricks アカウント コンソールまたはワークスペース管理設定ページから外部グループ メンバーシップを更新することはできません。 外部グループはアカウントグループです。
• システムグループは 、SAP Databricks によって作成および保守されます。各アカウントには、すべてのユーザーを含む account usersというアカウント システム グループがあります。各ワークスペースには、 users と adminsの 2 つのワークスペース レベルのシステム グループがあります。ワークスペースのすべてのメンバーは users グループに属し、ワークスペース管理者も admins グループのメンバーです。システムグループは削除できません。

アカウントグループを管理できるのは誰ですか?

SAP Databricks でアカウント グループを作成するには、アカウント管理者またはワークスペース管理者である必要があります。

SAP Databricksでアカウント グループを管理するには、グループに対して グループ マネージャー ロール (パブリック プレビュー) が必要です。 グループマネージャーは、グループメンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループ マネージャーの役割を割り当てることもできます。アカウント管理者は アカウントコンソールを使用してグループの役割を管理でき、ワークスペース管理者は ワークスペース管理者設定ページを使用してグループの役割を管理できます。 ワークスペース管理者ではないグループマネージャーは、アカウントアクセス制御 APIを使用してグループの役割を管理できます。

アカウント管理者はアカウントレベルのグループ管理者ロールを持ちます。これは、アカウント内の全てのグループのグループ管理者ロールを持つことを意味します。ワークスペース管理者は、作成したアカウントグループに対しグループマネージャーのロールを持ちます。

アカウントコンソールを使用してアカウントグループを管理する

アカウント 管理者は、Databricks アカウント コンソールを使用して、SAP アカウントのグループ を追加および管理できます。ワークスペース管理者とグループ マネージャーは、ワークスペース設定ページと Databricks APIを使用してグループを管理できます。

アカウントコンソールを使用してアカウントにグループを追加する

アカウントコンソールを使用してアカウントにグループを追加するには、次の手順を実行します。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、[ グループの追加 ] をクリックします。
4. グループの名前を入力します。
5. 確認 をクリックします。
6. プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。

アカウントコンソールを使用してグループにメンバーを追加する

外部グループを IdP と同期させるために、デフォルトではアカウントコンソールで外部グループのメンバーシップを管理することはできません。アカウントコンソールを使用して、ユーザー、サービスプリンシパル、およびグループをグループに追加するには、次の操作を行います。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、更新するグループを選択します。
4. [ メンバーを追加 ]をクリックします。
5. 追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
6. [ 追加 ] をクリックします。

アカウントからグループを更新してから、ワークスペースでグループが更新されるまでには数分の遅延があります。

グループの名前を変更する

外部グループを IdP と同期させるために、デフォルトではアカウントコンソールで外部グループの名前を更新することはできません。アカウント 管理者は、アカウント コンソールを使用してアカウント グループの名前を更新できます。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、更新するグループを選択します。
4. [ グループ情報 ]をクリックします。
5. [ 名前 ]で名前を更新します。
6. 保存 をクリックします。

グループ管理者は、アカウントコンソールを使用してグループ名を変更することはできません。

アカウントコンソールを使用してワークスペースにグループを割り当てる

アカウントコンソールを使用してワークスペースにグループを追加するには:

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、 ワークスペース をクリックします。
3. ワークスペース名をクリックします。
4. [ 権限 ] タブで、[ 権限を追加 ] をクリックします。
5. グループを検索して選択し、権限レベル（ワークスペース ユーザー または 管理者 ）を割り当て、 [保存] をクリックします。

アカウントコンソールを使用してワークスペースからグループを削除する

アカウント グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。グループが後でワークスペースに再度追加された場合、グループは以前の権限を取り戻します。

アカウントコンソールを使用してワークスペースにグループを削除するには:

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、 ワークスペース をクリックします。
3. ワークスペース名をクリックします。
4. [アクセス許可 ] タブで、グループを見つけます。
5. グループ行の右端にある ケバブメニューをクリックし、「 削除 」を選択します。
6. 確認ダイアログで、 削除の確認 をクリックします。

SAP Databricks アカウントからグループを削除する

アカウントコンソールを使用してグループを削除する場合は、SAP Cloud Identity サービスである Identity プロビジョニングを使用してグループも削除する必要があります。 そうしないと、SCIM プロビジョニングは、次回の同期時にグループとそのメンバーを再び追加するだけです。

important

グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います（別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く）。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。

アカウントコンソールを使ってグループを削除するには、次の手順を実行します。

1. アカウント管理者として、アカウントコンソールにログインします。
2. サイドバーで、[ ユーザー管理 ] をクリックします。
3. [ グループ ] タブで、削除するグループを選択します。
4. ユーザー行の右端にあるケバブメニューをクリックし、［ 削除 ］を選択します。
5. 確認ダイアログボックスで、[ 削除を確認 ] をクリックします。

メタストア管理者を割り当てる

メタストア管理者は、慎重に配布する必要がある高い特権ロールです。これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。Databricks では、グループをメタストア管理者として指名することをお勧めします。これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには:

1. アカウント管理者として、アカウントコンソールにログインします。
2. [カタログ] をクリックします。
3. メタストアの名前をクリックして、そのプロパティを開きます。
4. メタストア管理者 で、 編集 をクリックします。
5. ドロップダウンからグループを選択します。フィールドにテキストを入力して、オプションを検索できます。
6. 保存 をクリックします。

ワークスペースの管理者設定ページを使用してアカウントグループを管理する

ワークスペース管理者は、ワークスペース管理設定ページを使用して、IDフェデレーションワークスペースでアカウントグループを作成および管理できます。

注記

ワークスペースからアカウントグループを更新してから、アカウントでグループが更新されるまでには数分の遅延があります。

ワークスペース管理者設定ページを使用して、ワークスペースにグループを作成または割り当てる

ワークスペース管理者設定ページを使用してワークスペースにアカウントグループを割り当てる、または作成するには、次の手順を実行します。

1. ワークスペース管理者として、SAP Databricks ワークスペースにログインします。
2. SAP Databricks ワークスペースの上部バーでユーザー名をクリックし、[ 設定 ] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. [ グループを追加 ]をクリックします。
6. ワークスペースに割り当てる既存のグループを選択するか、[ 新規追加 ] をクリックして新しいアカウント グループを作成します。

ワークスペースの管理者設定ページを使用してグループにメンバーを追加する

ワークスペース管理者設定ページを使用して、ユーザー、サービスプリンシパル、およびグループをアカウント グループに追加するには、ワークスペース管理者である必要があります。 管理できるのは、グループマネージャーの役割を持つグループのメンバーのみです。外部グループを SAP Cloud Identity サービスと同期させるため、ワークスペース管理設定ページで外部グループのメンバーシップをデフォルト別に管理することはできません。

注記

子グループを admins グループに追加することはできません。システム・グループをアカウント・グループのメンバーとして追加することはできません。

1. ワークスペース管理者として、SAP Databricks ワークスペースにログインします。
2. SAP Databricks ワークスペースの上部バーでユーザー名をクリックし、[ 設定 ] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
6. [ メンバー ] タブで、[ メンバーの追加 ] をクリックします。
7. ダイアログで、追加したいユーザー、サービスプリンシパル、グループを参照または検索し、選択します。
8. 確認 をクリックします。

親グループの表示

1. ワークスペース管理者として、SAP Databricks ワークスペースにログインします。
2. SAP Databricks ワークスペースの上部バーでユーザー名をクリックし、[ 設定 ] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. 表示するグループを選択します。
6. [親グループ ] タブで、グループの親グループを表示します。

ワークスペース管理設定ページを使用してワークスペースからグループを削除する

ワークスペースからグループを削除しても、アカウント内のグループは削除されません。ワークスペースからグループを削除すると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。グループが後でワークスペースに再度追加されると、グループは以前の権限を取り戻します。

1. ワークスペース管理者として、SAP Databricks ワークスペースにログインします。
2. SAP Databricks ワークスペースの上部バーでユーザー名をクリックし、[ 設定 ] を選択します。
3. [ IDとアクセス ] タブをクリックします。
4. [グループ] の横にある [管理] をクリックします。
5. グループを選択し、[ 削除 ] をクリックします