Gestire i gruppi locali dell'area di lavoro (legacy)

  • Articolo

Questo articolo illustra come gli amministratori creano e gestiscono gruppi locali dell'area di lavoro. Per una panoramica dei gruppi di account, consultare Gestire i gruppi.

Che cosa sono i gruppi locali dell'area di lavoro?

I gruppi locali dell'area di lavoro sono gruppi legacy. Questi gruppi vengono identificati come locali di area di lavoro nella pagina delle impostazioni di amministrazione dell'area di lavoro. I gruppi locali dell'area di lavoro non vengono sincronizzati con l'account come gruppi di account. È possibile usare i gruppi locali dell'area di lavoro nell'area di lavoro in cui sono definiti, ma non è possibile gestirli usando interfacce a livello di account. Non è possibile assegnarli ad aree di lavoro aggiuntive o concedere l'accesso ai dati in un metastore del catalogo Unity. I gruppi locali dell'area di lavoro non possono essere concessi ruoli a livello di account. Per sfruttare i vantaggi dell'identità centralizzata, Databricks consiglia di usare gruppi di account anziché gruppi locali dell'area di lavoro.

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro, un connettore di provisioning per il provider di identità e l'API Gruppi di aree di lavoro.

Per gestire l'accesso per gruppi locali dell'area di lavoro, consultare Autenticazione e controllo degli accessi.

Nota

Nelle aree di lavoro federate di identità, i gruppi locali dell'area di lavoro possono essere gestiti solo usando l'API Gruppi di aree di lavoro. Databricks ha iniziato ad abilitare automaticamente le nuove aree di lavoro per la federazione delle identità e il catalogo Unity il 9 novembre 2023, con un'implementazione graduale tra gli account. Se l'area di lavoro è abilitata per la federazione delle identità per impostazione predefinita, non può essere disabilitata. Per altre informazioni, consultare Abilitazione automatica del catalogo Unity.

Eseguire la migrazione dei gruppi locali dell'area di lavoro ai gruppi di account

Databricks consiglia di convertire i gruppi locali dell'area di lavoro in gruppi di account per l'amministrazione centralizzata delle identità.

Passaggio 1: Eseguire la migrazione del provisioning SCIM dal livello di area di lavoro all'account.

Databricks consiglia di configurare il provisioning SCIM a livello di account per sincronizzare i gruppi dal provider di identità ad Azure Databricks. Se attualmente è configurato il provisioning SCIM a livello di area di lavoro per le aree di lavoro, è necessario disabilitare il provisioner SCIM a livello di area di lavoro. In caso contrario, SCIM a livello di area di lavoro continua a creare e aggiornare i gruppi locali dell'area di lavoro. Per configurare un nuovo connettore di provisioning SCIM per l'account e disabilitare SCIM a livello di area di lavoro, consultare Eseguire la migrazione del provisioning SCIM a livello di area di lavoro al livello di account.

Passaggio 2: Modificare il nome dei gruppi locali dell'area di lavoro

Due gruppi in un'area di lavoro non possono avere lo stesso nome. È necessario modificare il nome dei gruppi locali dell'area di lavoro per aggiungere un nuovo gruppo di account all'area di lavoro con lo stesso nome. Questi passaggi consigliano di aggiungere (workspace) al nome del gruppo.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Gruppi e selezionare il gruppo locale dell'area di lavoro da convertire in un gruppo di account.
  4. In Nome aggiungere (workspace) alla fine del nome del gruppo.
  5. Fare clic su Salva.

Passaggio 3: Concedere le autorizzazioni per i gruppi di account

Concedere ai gruppi di account di cui è stato appena effettuato il provisioning l'accesso alle stesse funzionalità delle controparti locali dell'area di lavoro. Per ogni nuovo gruppo di account:

  1. Concedere l'accesso del gruppo alla propria area di lavoro. Consultare Assegnare un gruppo a un'area di lavoro usando la console dell'account.
  2. Assegnare i diritti dell'area di lavoro ai nuovi gruppi di account seguendo le istruzioni riportate in Gestire i diritti per i gruppi.
  3. Usare il flusso di lavoro di migrazione dei gruppi di utilità UCX per eseguire la migrazione delle autorizzazioni dei gruppi a livello di area di lavoro agli oggetti a livello di area di lavoro ai nuovi gruppi di account. Vedere Passaggio 2. Eseguire il flusso di lavoro di migrazione del gruppo. È anche possibile eseguire manualmente la migrazione delle autorizzazioni usando l'API Autorizzazioni.

Passaggio 4: Eliminare i gruppi locali dell'area di lavoro

Ora che è stata eseguita la migrazione del gruppo locale dell'area di lavoro all'account, è possibile eliminare i gruppi locali dell'area di lavoro.

  1. Nella scheda Gruppi, selezionare il gruppo locale dell'area di lavoro da convertire in un gruppo di account.
  2. Fare clic su x Elimina e quindi su Elimina per confermare.

Gestire i gruppi locali dell'area di lavoro utilizzando l'API

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando l'API SCIM a livello di area di lavoro. Nelle aree di lavoro federate di identità, i gruppi locali dell'area di lavoro possono essere gestiti solo usando l'API. Per istruzioni, vedere API Gruppi di aree di lavoro.

Gestire i gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Gli amministratori dell'area di lavoro possono aggiungere e gestire gruppi locali dell'area di lavoro usando la pagina delle impostazioni di amministrazione dell'area di lavoro in aree di lavoro non federate con identità.

Creare un gruppo locale dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Per aggiungere un gruppo locale dell'area di lavoro a un'area di lavoro usando le impostazioni di amministratore, eseguire le operazioni seguenti:

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.

  3. Fare clic sulla scheda Identità e accesso.

  4. Accanto a Gruppi, fare clic su Gestisci.

  5. Fare clic su Crea gruppo.

  6. Immettere un Nome gruppo e fare clic su Crea.

    I nomi gruppo devono essere univoci. Non è possibile modificare il nome di un gruppo. Se si desidera modificare il nome di un gruppo, è necessario eliminare il gruppo e ricrearlo con il nuovo nome.

Aggiungere membri a un gruppo locale dell'area di lavoro usando la pagina delle impostazioni di amministrazione

Nota

Non è possibile aggiungere un gruppo figlio al gruppo admins.

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.

  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.

  3. Fare clic sulla scheda Identità e accesso.

  4. Accanto a Gruppi, fare clic su Gestisci.

  5. Selezionare il gruppo da aggiornare.

  6. Nella scheda Membri, fare clic su Aggiungere utenti, gruppi o entità servizio.

  7. Nella finestra di dialogo cercare gli utenti, le entità servizio e i gruppi da aggiungere e selezionarli.

  8. Cliccare su Conferma.

    Potrebbe essere necessario fare clic sulla freccia giù nel selettore per nascondere l'elenco a discesa e visualizzare il pulsante Conferma.

Rimuovere un utente, un gruppo o un'entità servizio da un gruppo locale dell'area di lavoro

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Gruppi, fare clic su Gestisci.
  5. Selezionare il gruppo da aggiornare.
  6. Nella scheda Membri, individuare l'utente, il gruppo o l'entità servizio da rimuovere e fare clic sulla X nella colonna Azioni.
  7. Fare clic su Rimuovi membro per confermare.

Nota

È anche possibile rimuovere un gruppo locale dell'area di lavoro figlio dal relativo gruppo locale dell'area di lavoro padre passando alla scheda Padre per il gruppo che si vuole rimuovere. Trovare il gruppo padre da cui si vuole rimuovere il gruppo locale dell'area di lavoro figlio e fare clic sulla X nella colonna Azioni.

Visualizzare i gruppi locali dell'area di lavoro padre

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Gruppi, fare clic su Gestisci.
  5. Selezionare il gruppo che si vuole visualizzare.
  6. Nella scheda Gruppi padre, visualizzare i gruppi padre per il gruppo.

Modificare il nome di un gruppo

  1. Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
  2. Fare clic sul nome utente nella barra superiore dell’area di lavoro di Azure Databricks e selezionare Impostazioni.
  3. Fare clic sulla scheda Identità e accesso.
  4. Accanto a Gruppi, fare clic su Gestisci.
  5. Selezionare il gruppo che si vuole visualizzare.
  6. In Nome, aggiornare il nome.
  7. Fare clic su Salva.

Sincronizzare i gruppi locali dell'area di lavoro dal tenant di Microsoft Entra ID

È possibile sincronizzare i gruppi dal tenant di Microsoft Entra ID all'area di lavoro di Azure Databricks usando un connettore di provisioning SCIM a livello di area di lavoro. Il provisioning SCIM a livello di area di lavoro crea gruppi locali dell'area di lavoro che possono essere usati solo nell'area di lavoro. Databricks consiglia invece di usare il provisioning SCIM a livello di account.