从您的标识提供程序同步用户和组
预览
此功能已在公共预览.
本文描述如何配置您的身份提供程序(IdP)和Databricks,以便使用Databricks将用户和组提供给DatabricksSCIM,或跨域身份管理系统,这是一个开放标准,允许您自动化用户配置。
关于Databricks中的SCIM配置
SCIM允许您使用身份提供程序(IdP)在Databricks中创建用户,为他们提供适当的访问权限,并在他们离开组织或不再需要访问Databricks时删除访问权限(取消对他们的配置)。
可以在IdP中使用SCIM供应连接器或调用SCIM api管理供应。您还可以使用这些api直接在Databricks中管理身份,而不需要IdP。
需求
使用SCIM向Databricks提供用户和组:
您的Databricks帐户必须具有Databricks高级计划.
要使用SCIM(包括SCIM REST api)向Databricks帐户提供用户,必须是Databricks帐户admin。
要使用SCIM(包括SCIM REST api)向Databricks工作空间提供用户,您必须是Databricks工作空间管理员。
有关管理权限的详细信息,请参见管理用户、服务主体和组.
一个帐户最多可包含10,000个用户和服务主体,以及5,000个组。每个工作区最多可以有10,000个用户和服务主体以及5000个组。
请注意
使用SCIM配置时,存储在标识提供程序中的用户和组属性可以覆盖使用Databricks管理控制台、帐户控制台或SCIM (Groups) API.
例如,如果在您的身份提供程序中为用户分配了“允许创建集群”权限,您可以使用Databricks删除该权限管理控制台,当IdP与Databricks同步时,如果IdP已配置为提供该授权,则用户将在下一次IdP与Databricks同步时重新获得该授权。同样的行为也适用于组。
为Databricks帐户提供身份
您可以使用SCIM,使用SCIM配置连接器或直接使用SCIM api,将身份提供程序中的用户和组配置到Databricks帐户。
使用IdP供应连接器向Databricks帐户添加用户和组
您可以使用SCIM供应连接器将用户和组从IdP同步到Databricks帐户。
如果将谷歌云身份配置为与外部IdP联合,则该IdP可能具有内置的SCIM集成。注意,如果使用谷歌Cloud Identity作为惟一的IdP(没有将其配置为与外部IdP联合),则没有内置的SCIM集成。
要配置SCIM连接器,以便向您的帐户提供用户和组:
以“admin”帐号登录数据库账户控制台.
点击设置.
点击用户配置.
点击启用用户预置.
复制SCIM令牌和Account SCIM URL。您将使用这些配置您的IdP。
作为可以配置SCIM连接器以提供用户的用户登录IdP。
在IdP的SCIM连接器中输入以下值:
对于SAML供应URL,输入从Databricks复制的SCIM URL。
对于供应API令牌,输入从Databricks复制的SCIM令牌。
你也可以按照这些IdP特定的指示来制作IdP:
使用SCIM API向您的帐户添加用户、服务主体和组
帐户管理员可以使用SCIM帐户API向Databricks帐户添加用户、服务主体和组。帐户管理员调用帐户上的API ({account_domain} / api / 2.0 /账户/ {account_id} / scim / v2 /
)并使用SCIM令牌。
要获得SCIM令牌,请执行以下操作:
以“admin”帐号登录数据库账户控制台.
点击设置.
点击用户配置.
如果未启用资源配置,请单击启用用户预置并复制令牌。
如果已启用资源分配,请单击重新生成令牌并复制令牌。
旋转帐户级别的SCIM令牌
如果帐户级别的SCIM令牌受到损害,或者您有定期轮换身份验证令牌的业务需求,则可以轮换SCIM令牌。
以“Databricks”帐号admin登录账户控制台.
点击设置.
点击用户配置.
点击重新生成令牌.记录新令牌。之前的令牌将继续工作24小时。
在24小时内,更新您的SCIM应用程序以使用新的SCIM令牌。
向Databricks工作区提供标识
您可以使用SCIM,使用SCIM供应连接器或直接使用SCIM api,将用户和组从您的身份提供程序供应到Databricks工作区。
使用IdP供应连接器将用户和组添加到您的工作区
如果将谷歌云身份配置为与外部IdP联合,则该IdP可能具有内置的SCIM集成。注意,如果使用谷歌Cloud Identity作为惟一的IdP(没有将其配置为与外部IdP联合),则没有内置的SCIM集成。
请遵循适当的国内流离失所者特定文章中的说明:
使用SCIM API将用户、组和服务主体添加到工作区
工作空间管理员可以使用工作空间的SCIM api将用户、组和服务主体添加到Databricks帐户。看到Scim API 2.0.