Verwalten von arbeitsbereichslokalen Gruppen (Legacy)

In diesem Artikel erfahren Sie, wie Administrator*innen arbeitsbereichslokale Gruppen erstellen und verwalten. Eine Übersicht über Kontogruppen finden Sie unter Verwalten von Gruppen.

Was sind arbeitsbereichslokale Gruppen?

Arbeitsbereichslokale Gruppen sind Legacy-Gruppen. Diese Gruppen werden auf der Seite mit den Administratoreinstellungen des Arbeitsbereichs als arbeitsbereichslokal identifiziert. Arbeitsbereichslokale Gruppen werden nicht wie Kontogruppen mit dem Konto synchronisiert. Sie können arbeitsbereichslokale Gruppen in dem Arbeitsbereich verwenden, in dem sie definiert sind, aber Sie können sie nicht mithilfe von Schnittstellen auf Kontoebene verwalten. Sie können nicht zusätzlichen Arbeitsbereichen zugewiesen werden oder Zugriff auf Daten in einem Unity Catalog-Metastore erhalten. Arbeitsbereichslokalen Gruppen können keine Rollen auf Kontoebene zugewiesen werden. Um die Vorteile der zentralisierten Identität zu nutzen, empfiehlt Databricks die Verwendung von Kontogruppen anstelle von arbeitsbereichslokalen Gruppen.

Arbeitsbereichsadministrator*innen können arbeitsbereichslokale Gruppen über die Seite mit den Einstellungen für Arbeitsbereichsadministrator*innen, einen Bereitstellungsconnector für Ihren Identitätsanbieter und die Arbeitsbereichsgruppen-API hinzufügen und verwalten.

Informationen zum Verwalten des Zugriffs für arbeitsbereichslokale Gruppen finden Sie unter Authentifizierung und Zugriffssteuerung.

Hinweis

In Identitätsverbundarbeitsbereichen können arbeitsbereichslokale Gruppen nur mithilfe der Arbeitsbereichsgruppen-API verwaltet werden. Databricks begann am 9. November 2023, automatisch neue Arbeitsbereiche für den Identitätsverbund und Unity Catalog zu aktivieren, wobei ein Rollout schrittweise über Konten hinweg fortgesetzt wird. Wenn Ihr Arbeitsbereich standardmäßig für den Identitätsverbund aktiviert ist, kann er nicht deaktiviert werden. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog.

Migrieren von lokalen Gruppen des Workspaces zu Kontogruppen

Databricks empfiehlt, arbeitsbereichslokale Gruppen in Kontogruppen für die zentrale Identitätsverwaltung zu konvertieren.

Schritt 1: Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene

Databricks empfiehlt, die SCIM-Bereitstellung auf Kontoebene so zu konfigurieren, dass Gruppen von Ihrem Identitätsanbieter mit Azure Databricks synchronisiert werden. Wenn Sie derzeit die SCIM-Bereitstellung auf Arbeitsbereichsebene für Ihre Arbeitsbereiche eingerichtet haben, müssen Sie die SCIM-Bereitstellung auf Arbeitsbereichsebene deaktivieren. Andernfalls werden mit SCIM auf Arbeitsbereichsebene weiterhin arbeitsbereichslokale Gruppen erstellt und aktualisiert. Weitere Informationen zum Einrichten eines neuen Connectors zur SCIM-Bereitstellung für Ihr Konto und zum Deaktivieren von SCIM auf Arbeitsbereichsebene finden Sie unter Migrieren der SCIM-Bereitstellung auf Arbeitsbereichsebene auf die Kontoebene.

Schritt 2: Ändern des Namens Ihrer arbeitsbereichslokalen Gruppen

Zwei Gruppen in einem Arbeitsbereich können nicht denselben Namen haben. Sie müssen den Namen Ihrer arbeitsbereichslokalen Gruppen ändern, um dem Arbeitsbereich eine neue Kontogruppe mit demselben Namen hinzuzufügen. Diese Schritte empfehlen, (workspace) dem Namen der Gruppe hinzuzufügen.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Gruppen und wählen Sie die arbeitsbereichslokale Gruppe aus, die Sie in eine Kontogruppe konvertieren möchten.
  4. Fügen Sie unter Name (workspace) am Ende des Gruppennamens ein.
  5. Klicken Sie auf Speichern.

Schritt 3: Zuweisen der Kontogruppenberechtigungen

Gewähren Sie den neu bereitgestellten Kontogruppen Zugriff auf dieselben Funktionen, die ihre arbeitsbereichslokalen Entsprechungen hatten. Für jede neue Kontogruppe:

  1. Gewähren Sie der Gruppe Zugriff auf Ihren Arbeitsbereich. Siehe Zuweisen einer Gruppe zu einem Arbeitsbereich mithilfe der Kontokonsole.
  2. Weisen Sie Arbeitsbereichsberechtigungen für die neuen Kontogruppen zu, und folgen Sie den Anweisungen im Abschnitt Verwalten von Berechtigungen für Gruppen.
  3. Verwenden Sie den Gruppenmigrationsworkflow der UCX-Hilfsprogramme, um die Gruppenberechtigungen auf Arbeitsbereichsebene für Objekte auf Arbeitsbereichsebene zu den neuen Kontogruppen zu migrieren. Siehe Schritt 2: Ausführen des Gruppenmigrationsworkflows. Sie können Berechtigungen auch manuell mithilfe der API für Berechtigungen migrieren.

Schritt 4: Löschen der arbeitsbereichslokalen Gruppen

Sie haben nun Ihre arbeitsbereichslokalen Gruppen auf die Kontoebene migriert und können jetzt Ihre arbeitsbereichslokalen Gruppen löschen.

  1. Wählen Sie auf der Registerkarte Groups (Gruppen) die arbeitsbereichslokale Gruppe aus, die Sie in eine Kontogruppe konvertiert haben.
  2. Klicken Sie auf x Löschen und zur Bestätigung auf Löschen.

Verwalten von arbeitsbereichslokalen Gruppen mithilfe der API

Arbeitsbereichsadministratoren können arbeitsbereichslokale Gruppen über die SCIM-API auf Arbeitsbereichsebene hinzufügen und verwalten. In Identitätsverbundarbeitsbereichen können lokale Arbeitsbereichsgruppen nur mithilfe der API verwaltet werden. Anweisungen finden Sie unter Workspace Groups API.

Verwalten arbeitsbereichslokaler Gruppen mithilfe der Seite „Administratoreinstellungen“

Arbeitsbereichsadministratoren können in nicht identitätsbasierten Verbundarbeitsbereichen über die Seite Einstellungen für Arbeitsbereichsadministratoren arbeitsbereichslokale Gruppen hinzufügen und verwalten.

Erstellen einer arbeitsbereichslokalen Gruppe mithilfe der Seite „Administratoreinstellungen“

Gehen Sie wie folgt vor, um einem Arbeitsbereich über die Admin Einstellungen eine arbeitsbereichslokale Gruppe hinzuzufügen:

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

  3. Klicken Sie auf die Registerkarte Identität und Zugriff.

  4. Klicken Sie neben Gruppen auf Verwalten.

  5. Klicken Sie auf Gruppe erstellen.

  6. Geben Sie einen Gruppennamen ein und klicken Sie auf Erstellen.

    Gruppennamen müssen eindeutig sein. Sie können einen Gruppennamen nicht ändern. Wenn Sie den Namen einer Gruppe ändern möchten, müssen Sie die Gruppe löschen und eine neue Gruppe mit dem neuen Namen erstellen.

Hinzufügen von Mitgliedern zu einer arbeitsbereichslokalen Gruppe mithilfe der Seite „Administratoreinstellungen“

Hinweis

Sie können der Gruppe admins keine untergeordnete Gruppe hinzufügen.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.

  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.

  3. Klicken Sie auf die Registerkarte Identität und Zugriff.

  4. Klicken Sie neben Gruppen auf Verwalten.

  5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten.

  6. Klicken Sie auf der Registerkarte Mitglieder auf Benutzer, Gruppen oder Dienstprinzipale hinzufügen.

  7. Suchen Sie im Dialogfeld nach den Benutzern, Dienstprinzipalen und Gruppen, die Sie hinzufügen möchten, und wählen Sie sie aus.

  8. Klicken Sie auf Confirm (Bestätigen).

    Möglicherweise müssen Sie auf die NACH-UNTEN-TASTE in der Auswahl klicken, um die Dropdownliste auszublenden und die Schaltfläche Bestätigen anzuzeigen.

Entfernen eines Benutzers, einer Gruppe oder eines Dienstprinzipals aus einer arbeitsbereichslokalen Gruppe

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Gruppen auf Verwalten.
  5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten.
  6. Suchen Sie auf der Registerkarte Mitglieder den Benutzer, die Gruppe oder den Dienstprinzipal, den bzw. die Sie entfernen möchten, und klicken Sie in der Spalte Aktionen auf das X.
  7. Klicken Sie auf Mitglied entfernen, um dies zu bestätigen.

Hinweis

Sie können auch eine untergeordnete arbeitsbereichslokale Gruppe von ihrer übergeordneten arbeitsbereichslokalen Gruppe entfernen, indem Sie zur übergeordneten Registerkarte für die Gruppe wechseln, die Sie entfernen möchten. Suchen Sie die übergeordnete Gruppe, aus der Sie die untergeordnete arbeitsbereichslokale Gruppe entfernen möchten, und klicken Sie auf das X in der Spalte Aktionen.

Anzeigen übergeordneter arbeitsbereichslokaler Gruppen

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Gruppen auf Verwalten.
  5. Wählen Sie die Gruppe aus, die Sie anzeigen möchten.
  6. Zeigen Sie auf der Registerkarte Übergeordnete Gruppen die übergeordneten Gruppen für Ihre Gruppe an.

Ändern des Namens einer Gruppe

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Gruppen auf Verwalten.
  5. Wählen Sie die Gruppe aus, die Sie anzeigen möchten.
  6. Aktualisieren den unter Name angezeigten Namen.
  7. Klicken Sie auf Speichern.

Synchronisieren von arbeitsbereichslokalen Gruppen aus Ihrem Microsoft Entra ID-Mandanten

Sie können Gruppen aus Ihrem Microsoft Entra ID-Mandanten mit Ihrem Azure Databricks-Arbeitsbereich synchronisieren, indem Sie einen SCIM-Bereitstellungsconnector verwenden. Die SCIM-Bereitstellung auf Arbeitsbereichsebene erstellt arbeitsbereichbezogene Gruppen, die nur in Ihrem Arbeitsbereich verwendet werden können. Databricks empfiehlt stattdessen die Verwendung der SCIM-Bereitstellung auf Kontoebene.