Compartilhar via


Gerenciar grupos locais de workspace (herdado)

Este artigo explica como os administradores criam e gerenciam grupos locais do espaço de trabalho. Para obter uma visão geral dos grupos de contas, consulte Gerenciar grupos.

O que são grupos locais de workspace?

Os grupos locais de workspace são grupos herdados. Esses grupos são identificados como workspace-local na página de configurações do administrador do workspace. Grupos locais de workspace não são sincronizados com a conta como grupos de contas. Você pode usar grupos locais do espaço de trabalho no espaço de trabalho em que estão definidos, mas não pode gerenciá-los usando interfaces no nível da conta. Eles não podem ser atribuídos a espaços de trabalho adicionais ou receber acesso a dados em um metastore do Catálogo do Unity. Os grupos locais de workspace não podem receber funções no nível da conta. Para aproveitar a identidade centralizada, o Databricks recomenda que você use grupos de contas em vez de grupos locais de workspace.

Os administradores do workspace podem adicionar e gerenciar grupos locais do workspace usando a página de configurações do administrador do workspace, um conector de provisionamento para seu provedor de identidade e a API de grupos do workspace.

Para gerenciar o acesso a grupos locais de workspace, consulte Autenticação e controle de acesso.

Observação

Em espaços de trabalho federados por identidade, os grupos locais do espaço de trabalho só podem ser gerenciados usando a API de grupos do workspace. O Databricks começou a habilitar novos workspaces para o Catálogo do Unity automaticamente em 9 de novembro de 2023, com uma distribuição gradual entre contas. Se o workspace estiver habilitado para federação de identidades por padrão, ele não poderá ser desabilitado. Para obter mais informações, confira Habilitação automática do Catálogo do Unity.

Migrar os grupos locais de workspace para grupos de contas

O Databricks recomenda converter grupos locais de espaço de trabalho em grupos de contas para administração de identidade centralizada.

Etapa 1: migrar o provisionamento SCIM no nível do espaço de trabalho para a conta

O Databricks recomenda que você configure o provisionamento SCIM no nível da conta para sincronizar grupos do provedor de identidade com o Azure Databricks. Se atualmente você tiver o provisionamento SCIM no nível do espaço de trabalho configurado para seus espaços de trabalho, será necessário desabilitar o provisionador SCIM no nível do espaço de trabalho. Caso contrário, o SCIM no nível do espaço de trabalho continuará a criar e atualizar grupos locais de espaço de trabalho. Para configurar um novo conector de provisionamento SCIM para sua conta e desabilitar o SCIM no nível do workspace, confira Migrar o provisionamento SCIM no nível do workspace para o nível da conta.

Etapa 2: alterar o nome dos grupos locais do espaço de trabalho

Dois grupos em um workspace não podem ter o mesmo nome. Você deve alterar o nome dos grupos locais do espaço de trabalho para adicionar um novo grupo de contas ao espaço de trabalho com o mesmo nome. Essas etapas recomendam adicionar (workspace) ao nome do grupo.

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Grupos e selecione o grupo local do workspace que você deseja converter em um grupo de contas.
  4. Em Nome, adicione (workspace) ao final do nome do grupo.
  5. Clique em Save (Salvar).

Etapa 3: conceder permissões aos grupos de contas

Conceda aos grupos de contas provisionados acesso às mesmas funcionalidades que seus equivalentes locais de espaço de trabalho tinham. Para cada novo grupo de contas:

  1. Conceda ao grupo acesso ao seu espaço de trabalho. Confira Atribuir um grupo a um workspace usando o console da conta.
  2. Atribua direitos de workspace nos novos grupos de contas seguindo as instruções em Gerenciar direitos em grupos.
  3. Use o fluxo de trabalho de migração de grupo de utilitários UCX para migrar as permissões dos grupos no nível do espaço de trabalho para objetos no nível do espaço de trabalho para os novos grupos de contas. Consulte a Etapa 2. Execute o fluxo de trabalho de migração de grupo. Você também pode migrar permissões manualmente usando a API de Permissões.

Etapa 4: excluir os grupos locais de espaço de trabalho

Agora que você migrou seu grupo local de espaço de trabalho para a conta e pode excluir seus grupos locais de espaço de trabalho.

  1. Na guia Grupos, selecione o grupo local do workspace que você converteu em um grupo de contas.
  2. Clique em x Excluir e clique em Excluir para confirmar.

Gerenciar grupos locais de workspace usando a API

Os administradores do workspace podem adicionar e gerenciar grupos locais de workspace usando a API SCIM no nível do workspace. Em workspaces federados por identidade, os grupos locais de workspace só podem ser gerenciados usando a API. Para instruções, consulte API de grupos do workspace.

Gerenciar grupos locais de workspace usando a página de configurações de administrador

Os administradores do workspace podem adicionar e gerenciar grupos locais de workspace usando a página de configurações de administrador do workspace em workspaces não federados de identidade.

Crie um grupo local de espaço de trabalho usando a página de configurações do administrador

Para adicionar um grupo local de workspace a um workspace usando as configurações de administração, faça o seguinte:

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

  3. Clique na guia Identidade e acesso.

  4. Ao lado de Grupos, clique em Gerenciar.

  5. Clique em Criar grupo.

  6. Insira um nome de grupo e clique em Criar.

    Os nomes de grupos precisam ser exclusivos. Não é possível alterar o nome do grupo. Se você quiser alterar um nome de grupo, deverá excluir o grupo e recriá-lo com o novo nome.

Adicionar membros a um grupo local do espaço de trabalho usando a página de configurações do administrador

Observação

Não é possível adicionar um grupo filho ao grupo admins.

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

  3. Clique na guia Identidade e acesso.

  4. Ao lado de Grupos, clique em Gerenciar.

  5. Selecione o grupo que deseja atualizar.

  6. Na guia Membros, clique em Adicionar usuários, grupos ou entidades de serviço.

  7. Na caixa de diálogo, procure ou pesquise os usuários, as entidades de serviço e os grupos que você deseja adicionar e selecione-os.

  8. Clique em Confirmar.

    Talvez seja necessário clicar na seta para baixo no seletor para ocultar a lista suspensa e exibir o botão Confirmar.

Remover um usuário, um grupo ou uma entidade de serviço de um grupo local de workspace

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que deseja atualizar.
  6. Na guia Membros, encontre o usuário, o grupo ou a entidade de serviço que você deseja remover e clique no X na coluna Ações.
  7. Clique Remover membro para confirmar.

Observação

Também é possível remover um grupo local de workspace filho do seu grupo local de workspace pai acessando a guia Pais no grupo que você deseja remover. Localize o grupo pai do qual você deseja remover o grupo local do workspace filho e clique no X na coluna Ações.

Exibir grupos locais de workspace pai

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que você deseja exibir.
  6. Na guia Grupos pai, exiba os grupos pai do grupo.

Alterar o nome de um grupo

  1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
  3. Clique na guia Identidade e acesso.
  4. Ao lado de Grupos, clique em Gerenciar.
  5. Selecione o grupo que você deseja exibir.
  6. Em Nome, atualize o nome.
  7. Clique em Save (Salvar).

Sincronizar grupos locais de workspace do seu locatário do Microsoft Entra ID

Você pode sincronizar grupos do seu locatário do Microsoft Entra ID com o seu workspace do Azure Databricks usando um conector de provisionamento do SCIM. O provisionamento SCIM no nível do workspace cria grupos locais de workspace que só podem ser usados em seu workspace. Em vez disso, o Databricks recomenda usar o provisionamento SCIM no nível da conta.