身份的最佳实践

配置用户、服务主体和组

有三种类型的砖标识:

• 用户:用户身份被砖和由电子邮件地址。

• 服务主体:使用的身份工作,自动化工具,和脚本等系统,应用程序和CI / CD平台。bob体育客户端下载

• 组:组织简化身份管理,使其更容易分配进入工作区,数据,和其他可获得的对象。

砖建议创建服务主体运行生产工作或修改数据。如果作用于生产数据的所有进程的运行与服务主体、交互式用户不需要任何写作,在生产中删除或修改权限。这就消除了用户覆盖生产数据的风险事故。

最佳实践是分配访问工作区和访问控制政策统一编目组,而不是单独的用户。所有砖身份可以分配组的成员,和成员继承权限分配给他们。

以下是可以管理砖身份的管理角色:

• 账户管理员可以添加用户、服务主体和组帐户和分配管理角色。他们可以给用户访问工作区,只要这些工作区使用联合身份验证。

• 工作空间管理员可以添加用户,服务主体砖帐户。他们还可以添加组砖账户是否支持联合身份验证他们的工作区。空间管理员可以授权用户、服务主体和组访问他们的工作区。

• 组经理可以管理组成员。他们还可以指定其他用户组管理器的角色。

• 服务主体的经理可以管理服务主体的角色。

砖建议有有限数量的账户管理员/账户每个工作空间和工作空间管理员。

使联合身份验证

联合身份验证允许您配置用户、服务主体,在账户控制台和组,然后分配这些身份访问特定的工作区。这简化了砖数据治理和管理。

联合身份验证,您可以配置砖用户,服务主体,在帐户和组一次控制台,而不是重复配置分别在每个工作区。这既减少了摩擦在新员工培训新团队砖,使你保持一个SCIM配置应用程序身份提供商砖帐户,而不是一个单独的SCIM每个工作区配置应用程序。一旦用户、服务主体和组添加到账户,你可以分配权限工作区。你只能指定帐户级别身份访问支持联合身份验证的工作区。

使联合身份验证的工作区,明白了管理员工作区上启用联合身份验证吗?。当任务完成后,联合身份验证标记为启用在工作空间的配置选项卡账户控制台。

联合身份验证启用工作空间层,你可以有一个身份联合和non-identity联合工作区。对于那些不支持联合身份验证的工作空间,工作空间管理员管理他们的工作空间用户,服务主体,和组完全在工作区范围内(遗留模型)。他们无法使用账户控制台或帐户级别api用户帐户分配给这些工作区,但他们可以使用任何的工作空间层接口。当一个新用户或服务主体添加到工作区使用工作空间层接口,用户或服务帐户层面主要是同步的。这使您能够有一个一致的用户和服务主体在您的帐户。

然而,当一组添加到non-identity联邦工作区使用工作空间层接口,集团是一家workspace-local集团并没有添加到帐户。你应该使用账户组而不是workspace-local组。Workspace-local组不能被授予访问控制政策统一目录或者其他工作区权限。

升级到联合身份验证

如果你启用联合身份验证现有的工作空间,做到以下几点:

1. 工作空间层SCIM配置迁移到帐户的水平

   如果你有一个工作空间层SCIM配置设置您的工作区,你应该设置帐户级别SCIM供应和关闭工作空间层SCIM粮食供应者。工作空间层SCIM将继续创建和更新workspace-local组。砖推荐使用的账户组而不是workspace-local组利用集中的空间分配和使用统一数据访问管理目录。工作空间层SCIM也不承认账户组分配给你的身份联邦工作空间和工作空间层SCIM API调用将失败,如果他们涉及帐户组。为更多的信息关于如何禁用工作空间层SCIM,明白了工作空间层SCIM配置迁移到帐户的水平。

2. 转换workspace-local集团账户组

   砖建议将现有workspace-local集团账户组。看到workspace-local组迁移到帐户组的指令。组迁移到账户后,您需要为新账户组授予访问工作区,在工作区中对象和功能维持他们的小组成员的访问。

分配小组工作空间的权限

现在上启用了联合身份验证您的工作空间,您可以指定用户,服务主体,在您的帐户权限和组工作区。砖建议您分配组权限的工作空间,而不是单独工作空间的权限分配给用户。所有砖身份可以分配组的成员,和成员继承权限分配给他们。

BOB低频彩

• 管理用户、服务主体和组织了解BOB低频彩更多关于砖身份模型。

• 同步用户和组身份提供商,开始使用SCIM供应。

• 统一目录的最佳实践最好,学习如何配置统一目录。