管理組

這篇文章解釋了管理員創建和管理數據磚組。磚的身份模式的概述,請參閱磚的身份和角色

組管理的概述

組織簡化身份管理,使其更容易分配進入工作區,數據,和其他可獲得的對象。磚的身份可以被指定為所有成員的組。

賬戶組和workspace-local組之間的區別

當用戶和服務主體在工作區中創建水平自動同步到賬戶、組在工作區中創建水平。相反,磚的概念賬戶組workspace-local組

  • 賬戶組可以授予訪問數據統一目錄metastore授予角色在服務主體和權限身份聯合工作區。可以創建賬戶組隻有賬戶管理員使用帳戶控製台和SCIM REST API(帳戶)。

  • Workspace-local組被遺留的組中。這些團體被認為是workspace-local在工作區中管理設置頁麵。Workspace-local組不能被分配給其他工作區或授權訪問數據統一目錄metastore。Workspace-local組不能被授予角色服務主體。

請注意

在身份聯合工作區,workspace-local組隻能由工作區管理管理員使用組API

磚推薦使用的賬戶組而不是workspace-local組。你必須使你的工作區聯合身份驗證使用帳戶組。如果你啟用聯合身份驗證現有的工作空間,您可以使用賬戶組和workspace-local組並排,但是磚建議把workspace-local組考慮組利用集中的空間分配和使用統一數據訪問管理目錄。看到workspace-local組遷移到帳戶組

誰能管理組織?

管理組在磚,你一定是一個賬戶管理或者一個工作空間管理

  • 賬戶管理員可以向帳戶添加組和管理小組成員。他們還可以為他們分配小組工作空間和配置數據訪問在工作區,隻要這些工作區使用聯合身份驗證

  • 工作空間管理員可以添加賬戶組聯邦工作區和管理他們的身份訪問對象和功能在工作區中,如創建集群的能力或池。工作空間管理員不能創建或管理帳戶組。工作空間管理員可以創建和管理workspace-local組。在身份聯合工作區,workspace-local組隻能使用API進行管理。

工作空間管理員的成員管理員集團在工作區中,這是一個保留組,不能刪除。

組添加到您的帳戶

作為一個賬戶管理,您可以添加組磚賬戶使用賬戶控製台、配置連接器為你的身份提供者或SCIM(賬戶)的API。

組添加到您的帳戶使用帳戶控製台

一組添加到賬戶使用帳戶控製台,做到以下幾點:

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊用戶管理

  3. 選項卡上,單擊添加組

  4. 輸入一個名稱的組。

  5. 點擊確認

  6. 當出現提示時,添加用戶、服務主體和組織。

添加用戶、服務主體和組織現有的組使用帳戶控製台

添加用戶、服務主體和組對現有集團使用帳戶控製台,做到以下幾點:

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊用戶管理

  3. 選項卡上,選擇您希望更新。

  4. 點擊添加成員

  5. 搜索用戶、組或服務主要你想添加和選擇它。

  6. 點擊添加

給小組成員訪問一個工作空間,您需要使用聯合身份驗證組添加到工作區。看到組添加到工作區

同步組磚賬戶從一個身份提供者

你從身份提供商可以同步組(IdP)磚賬戶使用SCIM配置連接器。說明,請參閱提供身份磚賬戶

重要的

如果你已經有SCIM連接器同步身份直接到您的工作區聯合身份驗證和工作區被啟用,我們建議您禁用這些SCIM連接器啟用帳戶級別SCIM連接器時。如果你有工作,不使用聯合身份驗證,你必須繼續使用任何SCIM連接器配置為工作區,運行在並行與帳戶級別SCIM連接器。

組添加到您的帳戶使用SCIM api

賬戶管理員可以添加和管理組的磚賬戶使用SCIM API的賬戶。

工作空間管理員不能使用這個API添加組,但他們可以列表和視圖組。為此,他們必須使用不同的端點URL調用API:

  • 賬戶管理員使用accounts.gcp.www.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /

  • 工作空間管理員使用{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /

詳情,請參閱賬戶組API

帳戶管理角色分配給一組

你不能將賬戶管理角色分配給一組使用帳戶控製台,但是你可以將它分配給組賬戶使用SCIM API。看到賬戶組API

從你的磚賬戶刪除組

從磚帳戶的帳戶管理員可以刪除組。工作空間管理員不能。

重要的

當你刪除一個群體,所有用戶組刪除帳戶和失去任何工作區訪問,除非他們是另一組的成員或直接授予訪問帳戶或任何工作區。我們建議你不要刪除帳戶級別組,除非你想讓他們失去所有的工作區帳戶。請注意以下的後果刪除用戶:

  • 應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API

  • 工作由用戶將會失敗

  • 集群所擁有的用戶將會停止

  • 查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

刪除一組使用帳戶控製台,做到以下幾點:

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊用戶管理

  3. 選項卡,找到你想要刪除的組。

  4. 單擊烤肉串菜單烤肉串菜單在用戶行和選擇的權利刪除

  5. 在確認對話框中,單擊確認刪除

如果刪除一組使用帳戶控製台,你必須確保你也刪除該集團使用任何SCIM供應連接器或SCIM API的應用程序建立了賬戶。如果你不,SCIM供應隻會添加該組織及其成員的下次同步。看到同步用戶和組身份提供商

從一個磚帳戶刪除一組使用SCIM api,明白了提供身份磚賬戶賬戶組API

workspace-local組遷移到帳戶組

本節僅適用於支持工作區聯合身份驗證

組在工作區中創建水平(workspace-local組)並不自動同步到帳戶,帳戶組。在工作區中您可以使用workspace-local組中定義的,但你不能使用帳戶級別接口管理它們,您不能使用它們來管理數據使用統一訪問在工作區目錄。因此磚建議您將它們轉換為帳戶組。

您可以使用下列方法workspace-local組遷移到帳戶級別:

  • 手動將其轉換。創建一個新帳戶組使用帳戶控製台,並將每個成員添加到新帳戶。然後使用工作區管理設置頁麵刪除workspace-local組。

    看到組添加到您的帳戶使用帳戶控製台

  • 將其轉換使用SCIM配置連接器。設置或修改SCIM配置連接器一組添加到賬戶,複製workspace-local組。然後刪除該集團使用工作區管理設置頁麵或工作空間層SCIM(集團)API。如果你有一個活躍的SCIM工作區配置連接器,你應該關閉它。你應該提供所有用戶和組帳戶。

    看到同步用戶和組身份提供商

  • 將其轉換使用SCIM api。使用SCIM(賬戶)API來將一組添加到賬戶,複製workspace-local組。然後刪除該集團使用工作區管理設置頁麵或工作空間層SCIM(集團)API。

    看到賬戶組API工作區組API

workspace-local組遷移到賬戶後,您需要為新賬戶組授予訪問工作區和對象,和workspace-local集團最初訪問的功能,以便小組成員認為,訪問。遵循組添加到工作區權限分配工作空間到新賬戶組,並使用權限API授予訪問對象在工作區中。

組添加到工作區

工作區管理員可以添加賬戶組identity-federated工作區使用工作區管理設置頁麵和工作區任務API。工作空間管理員可以添加和管理non-identity workspace-local團體聯合工作區使用工作區管理設置頁麵和工作空間層SCIM(集團)API。

將一組分配給一個工作區使用帳戶控製台

將組添加到工作區使用賬戶控製台,必須啟用工作區聯合身份驗證。隻可轉讓賬戶組工作區。

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊工作區

  3. 單擊您的工作區名稱。

  4. 權限選項卡上,單擊添加權限

  5. 搜索並選擇小組,分配權限級別(工作區用戶管理),然後單擊保存

使用REST api將一組分配給一個工作區

您將使用不同的REST api來分配組工作區根據工作空間是否支持聯合身份驗證,如下:

  • 工作區為聯合身份驗證啟用:賬戶和工作區管理員可以使用工作區任務API來分配小組工作空間。看到工作區任務API

  • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM(集團)API來創建workspace-local組在工作區和添加成員。看到組API

管理workspace-local組

本節僅適用於工作空間不支持聯合身份驗證

工作空間管理員可以添加和管理workspace-local組使用工作區管理設置頁麵,配置連接器為你的身份提供者,組API

workspace-local組添加到工作區使用管理設置

工作空間管理員可以添加和管理workspace-local組使用工作區管理設置頁non-identity聯合工作區。

向工作區添加workspace-local組使用管理設置,做到以下幾點:

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 選項卡上,單擊創建組

  4. 輸入組名並單擊創建

    組名稱必須是唯一的。你不能改變一個組名。如果你想改變一個組名稱,您必須刪除並重新創建它的新名字。

添加用戶、服務主體和組織workspace-local組使用管理設置

請注意

你不能添加子組管理員組。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 選項卡上,選擇您希望更新。

  4. 成員選項卡上,單擊添加用戶、組或服務主體

  5. 在對話框中,瀏覽或搜索用戶,您想要添加服務主體,組織並選擇它們。

  6. 點擊確認

    您可能需要選擇器中單擊向下箭頭隱藏下拉列表並顯示確認按鈕。

刪除一個用戶、組或從workspace-local服務主體

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 選擇您希望更新的集團。

  4. 成員選項卡,找到用戶、組或服務主要你想刪除並單擊X行動列。

  5. 點擊刪除成員來確認。

用戶、組或服務主體失去了所有子組成員和權利授予通過加入這個群體。然而,身份可能保留這些權利通過加入其他組或用戶級贈款。

請注意

你也可以刪除一個孩子workspace-local組從其母workspace-local組去父母為你想要刪除的組。找到你想要刪除的母公司的兒童workspace-local組織並單擊X行動列。

所有權利分配給母公司從集團的成員。然而,他們可能會保留這些權利通過加入其他組或用戶級贈款。

查看父workspace-local組

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 單擊選項卡並選擇你想看。

  4. 父母選項卡,查看你的家長團體組織。

同步workspace-local組磚賬戶從一個身份提供者

你從身份提供商可以同步組(IdP)使用SCIM磚工作區配置連接器。說明,請參閱提供身份磚工作區

workspace-local組添加到您的帳戶使用SCIM api

工作空間管理員可以添加和管理workspace-local組使用工作空間層SCIM API。說明,請參閱組API

管理一個組織的工作空間的權利

一種權利是一個屬性,允許一個用戶,服務主體或組與磚以指定的方式進行交互。在工作區級別權限分配給用戶。下表列出了權利和工作區UI和API管理每一個使用屬性名。您可以使用工作區管理設置頁麵和工作空間層SCIM REST api來管理權利。

權利的名字(UI)

權利的名字(API)

默認的

描述

工作空間的訪問

workspace-access

默認情況下。

授予用戶或服務主體時,他們可以訪問數據科學與工程和磚機器學習persona-based環境。

不能從工作區中刪除管理員。

磚SQL訪問

databricks-sql-access

默認情況下。

當授予用戶或服務主體,他們可以訪問數據磚SQL。

集群允許無限製的創建

allow-cluster-create

默認不授予用戶或服務主體。

當授予用戶或服務主體,他們可以創建集群。你可以限製訪問現有的集群使用集群級別的權限

不能從工作區中刪除管理員。

允許創建池(不可以通過UI)

allow-instance-pool-create

不能被授予個人用戶或服務主體。

當授給一個組,其成員可以創建實例池。

不能從工作區中刪除管理員。

你管理集團權利在工作空間層麵,無論該組織成立於帳戶或workspace-local。

為一組添加一種權利使用管理設置

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置。。

  3. 選項卡上,選擇您希望更新。

  4. 權利選項卡上,選擇您想要的權利授予所有用戶組。

刪除組的權利使用管理設置

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置。。

  3. 選項卡上,選擇您希望更新。

  4. 權利選項卡,明確權利要撤銷的複選框中的所有用戶組。

  5. 在確認對話框中,點擊刪除

小組成員失去權利,除非他們有權限授予作為個人用戶或通過另一組成員。