从您的标识提供程序同步用户和组

预览

此功能已在公共预览

本文描述如何配置您的身份提供程序(IdP)和Databricks,以便使用Databricks将用户和组提供给DatabricksSCIM,或跨域身份管理系统,这是一个开放标准,允许您自动化用户配置。

关于Databricks中的SCIM配置

SCIM允许您使用身份提供程序(IdP)在Databricks中创建用户,为他们提供适当的访问权限,并在他们离开组织或不再需要访问Databricks时删除访问权限(取消对他们的配置)。

可以在IdP中使用SCIM供应连接器或调用SCIM api管理供应。您还可以使用这些api直接在Databricks中管理身份,而不需要IdP。

帐户级和工作空间级的SCIM供应

您可以使用帐户级SCIM供应从您的身份提供者配置到Databricks帐户的SCIM供应连接器,或者使用工作空间级SCIM供应将SCIM供应连接器配置到每个工作空间。

  • 帐户级别的SCIM配置:您可以使用帐户级别的SCIM供应从帐户中创建、更新和删除用户。

  • 工作空间级别的SCIM配置:您可以使用工作空间级别的SCIM配置从各个工作空间创建、更新和删除用户。

需求

使用SCIM向Databricks提供用户和组:

  • 您的Databricks帐户必须具有Databricks高级计划

  • 要使用SCIM(包括SCIM REST api)向Databricks帐户提供用户,必须是Databricks帐户admin。

  • 要使用SCIM(包括SCIM REST api)向Databricks工作空间提供用户,您必须是Databricks工作空间管理员。

有关管理权限的详细信息,请参见管理用户、服务主体和组

一个帐户最多可包含10,000个用户和服务主体,以及5,000个组。每个工作区最多可以有10,000个用户和服务主体以及5000个组。

请注意

使用SCIM配置时,存储在标识提供程序中的用户和组属性可以覆盖使用Databricks管理控制台、帐户控制台或SCIM (Groups) API

例如,如果在您的身份提供程序中为用户分配了“允许创建集群”权限,您可以使用Databricks删除该权限管理控制台,当IdP与Databricks同步时,如果IdP已配置为提供该授权,则用户将在下一次IdP与Databricks同步时重新获得该授权。同样的行为也适用于组。

为Databricks帐户提供身份

您可以使用SCIM,使用SCIM配置连接器或直接使用SCIM api,将身份提供程序中的用户和组配置到Databricks帐户。

使用IdP供应连接器向Databricks帐户添加用户和组

您可以使用SCIM供应连接器将用户和组从IdP同步到Databricks帐户。

如果将谷歌云身份配置为与外部IdP联合,则该IdP可能具有内置的SCIM集成。注意,如果使用谷歌Cloud Identity作为惟一的IdP(没有将其配置为与外部IdP联合),则没有内置的SCIM集成。

要配置SCIM连接器,以便向您的帐户提供用户和组:

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

  4. 点击启用用户预置

    复制SCIM令牌和Account SCIM URL。您将使用这些配置您的IdP。

  5. 作为可以配置SCIM连接器以提供用户的用户登录IdP。

  6. 在IdP的SCIM连接器中输入以下值:

    • 对于SAML供应URL,输入从Databricks复制的SCIM URL。

    • 对于供应API令牌,输入从Databricks复制的SCIM令牌。

你也可以按照这些IdP特定的指示来制作IdP:

使用SCIM API向您的帐户添加用户、服务主体和组

帐户管理员可以使用SCIM帐户API向Databricks帐户添加用户、服务主体和组。帐户管理员调用帐户上的API ({account_domain} / api / 2.0 /账户/ {account_id} / scim / v2 /)并使用SCIM令牌。

要获得SCIM令牌,请执行以下操作:

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

    如果未启用资源配置,请单击启用用户预置并复制令牌。

    如果已启用资源分配,请单击重新生成令牌并复制令牌。

看到SCIM API 2.0(帐户)

旋转帐户级别的SCIM令牌

如果帐户级别的SCIM令牌受到损害,或者您有定期轮换身份验证令牌的业务需求,则可以轮换SCIM令牌。

  1. 以“Databricks”帐号admin登录账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

  4. 点击重新生成令牌.记录新令牌。之前的令牌将继续工作24小时。

  5. 在24小时内,更新您的SCIM应用程序以使用新的SCIM令牌。

向Databricks工作区提供标识

您可以使用SCIM,使用SCIM供应连接器或直接使用SCIM api,将用户和组从您的身份提供程序供应到Databricks工作区。

使用IdP供应连接器将用户和组添加到您的工作区

如果将谷歌云身份配置为与外部IdP联合,则该IdP可能具有内置的SCIM集成。注意,如果使用谷歌Cloud Identity作为惟一的IdP(没有将其配置为与外部IdP联合),则没有内置的SCIM集成。

请遵循适当的国内流离失所者特定文章中的说明:

使用SCIM API将用户、组和服务主体添加到工作区

工作空间管理员可以使用工作空间的SCIM api将用户、组和服务主体添加到Databricks帐户。看到Scim API 2.0