Gerenciar grupos locais de workspace (herdado)

Este artigo explica como os administradores criam e gerenciam grupos locais do espaço de trabalho. Para obter uma visão geral dos grupos de contas, consulte Gerenciar grupos.

O que são grupos locais de workspace?

Os grupos locais de workspace são grupos herdados. Esses grupos são identificados como workspace-local na página de configurações do administrador do workspace. Grupos locais de workspace não são sincronizados com a conta como grupos de contas. Você pode usar grupos locais do espaço de trabalho no espaço de trabalho em que estão definidos, mas não pode gerenciá-los usando interfaces no nível da conta. Eles não podem ser atribuídos a espaços de trabalho adicionais ou receber acesso a dados em um metastore do Catálogo do Unity. Os grupos locais de workspace não podem receber funções no nível da conta. Para aproveitar a identidade centralizada, o Databricks recomenda que você use grupos de contas em vez de grupos locais de workspace.

Os administradores do workspace podem adicionar e gerenciar grupos locais do workspace usando a página de configurações do administrador do workspace, um conector de provisionamento para seu provedor de identidade e a API de grupos do workspace.

Para gerenciar o acesso a grupos locais de workspace, consulte Autenticação e controle de acesso.

Observação

Em espaços de trabalho federados por identidade, os grupos locais do espaço de trabalho só podem ser gerenciados usando a API de grupos do workspace. Se sua conta tiver sido criada após 9 de novembro de 2023, a federação de identidade será habilitada em todos os novos workspaces por padrão e não poderá ser desabilitada.

Migrar os grupos locais de workspace para grupos de contas

O Databricks recomenda converter grupos locais de workspace em grupos de contas para aproveitar um local central para administrar a identidade. Para converter grupos locais de workspace em grupos de contas, você deve criar um novo grupo de contas e, em seguida, excluir o grupo local do workspace existente, seguindo essas etapas:

Etapa 1: Alterar o nome do grupo local do workspace

Dois grupos em um workspace não podem ter o mesmo nome. Você deve alterar o nome do grupo local do workspace para adicionar um novo grupo de contas ao workspace com o mesmo nome. Essas etapas recomendam adicionar (workspace) ao nome do grupo.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Grupos e selecione o grupo local do workspace que você deseja converter em um grupo de contas.
4. Em Nome, adicione (workspace) ao final do nome do grupo.
5. Clique em Save (Salvar).

Etapa 2: Criar um novo grupo de contas

1. Na guia Grupos, clique em Adicionar grupo.
2. Clique em Adicionar Novo.
3. Insira o nome do grupo local do workspace que você deseja converter.
4. Clique em Adicionar.
5. Na guia Membros, clique em Adicionar usuários, grupos ou entidades de serviço.
6. Na caixa de diálogo, navegue ou pesquise os usuários, entidades de serviço e grupos que são membros do grupo local do workspace e selecione-os.
7. Clique em Confirmar.

Etapa 3: Conceder acesso ao grupo de contas

Você precisa conceder ao novo grupo de contas acesso aos objetos no nível do workspace e a funcionalidade à qual o grupo local do workspace teve acesso originalmente para que os membros do grupo mantenham esse acesso. Siga as instruções descritas em Gerenciar direitos para atribuir direitos de workspace aos novos grupos de contas e use a API de Permissões para permitir ao grupo acesso aos objetos dentro do workspace. Para obter mais informações sobre o controle de acesso, consulte Listas de controle de acesso.

Etapa 4: Excluir o grupo local do workspace

Agora você migrou o grupo local do workspace para a conta e pode excluir o grupo local do workspace.

1. Na guia Grupos, selecione o grupo local do workspace que você deseja converter em um grupo de contas.
2. Clique em x Excluir e clique em Excluir para confirmar.

Gerenciar grupos locais de workspace usando a API

Os administradores do workspace podem adicionar e gerenciar grupos locais de workspace usando a API SCIM no nível do workspace. Em workspaces federados por identidade, os grupos locais de workspace só podem ser gerenciados usando a API. Para instruções, consulte API de grupos do workspace.

Gerenciar grupos locais de workspace usando a página de configurações de administrador

Os administradores do workspace podem adicionar e gerenciar grupos locais de workspace usando a página de configurações de administrador do workspace em workspaces não federados de identidade.

Crie um grupo local de espaço de trabalho usando a página de configurações do administrador

Para adicionar um grupo local de workspace a um workspace usando as configurações de administração, faça o seguinte:

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

3. Clique na guia Identidade e acesso.

4. Ao lado de Grupos, clique em Gerenciar.

5. Clique em Criar grupo.

6. Insira um nome de grupo e clique em Criar.

   Os nomes de grupos precisam ser exclusivos. Não é possível alterar o nome do grupo. Se você quiser alterar um nome de grupo, deverá excluir o grupo e recriá-lo com o novo nome.

Adicionar membros a um grupo local do espaço de trabalho usando a página de configurações do administrador

Observação

Não é possível adicionar um grupo filho ao grupo admins.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.

3. Clique na guia Identidade e acesso.

4. Ao lado de Grupos, clique em Gerenciar.

5. Selecione o grupo que deseja atualizar.

6. Na guia Membros, clique em Adicionar usuários, grupos ou entidades de serviço.

7. Na caixa de diálogo, procure ou pesquise os usuários, as entidades de serviço e os grupos que você deseja adicionar e selecione-os.

8. Clique em Confirmar.

   Talvez seja necessário clicar na seta para baixo no seletor para ocultar a lista suspensa e exibir o botão Confirmar.

Remover um usuário, um grupo ou uma entidade de serviço de um grupo local de workspace

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que deseja atualizar.
6. Na guia Membros, encontre o usuário, o grupo ou a entidade de serviço que você deseja remover e clique no X na coluna Ações.
7. Clique Remover membro para confirmar.

Observação

Também é possível remover um grupo local de workspace filho do seu grupo local de workspace pai acessando a guia Pais no grupo que você deseja remover. Localize o grupo pai do qual você deseja remover o grupo local do workspace filho e clique no X na coluna Ações.

Exibir grupos locais de workspace pai

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que você deseja exibir.
6. Na guia Grupos pai, exiba os grupos pai do grupo.

Alterar o nome de um grupo

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que você deseja exibir.
6. Em Nome, atualize o nome.
7. Clique em Save (Salvar).

Sincronizar grupos locais de workspace do seu locatário do Microsoft Entra ID (antigo Azure Active Directory)

Você pode sincronizar grupos do seu locatário do Microsoft Entra ID (antigo Azure Active Directory) para o seu workspace do Azure Databricks usando um conector de provisionamento do SCIM. O provisionamento SCIM no nível do workspace cria grupos locais de workspace que só podem ser usados em seu workspace. Em vez disso, o Databricks recomenda usar o provisionamento SCIM no nível da conta.