为Okta配置SCIM供应

预览

这个特性是在公共预览

本文描述了如何设置使用Okta砖供应。

你可以设置在砖帐户级别设置配置或砖工作空间的层面上。

砖用户进行身份验证的帐户和工作区与谷歌云身份帐户(或GSuite账户),看到的单点登录。如果你提供一个用户帐户或使用Okta工作区,该用户也必须有一个谷歌云身份账户以进行身份验证。

特性

Okta砖可以作为配置应用程序的集成网络(网络),使您能够使用Okta与砖自动提供用户和组。

砖Okta应用程序允许您:

  • 邀请用户数据砖帐户或工作区

  • 邀请或活跃用户添加到组

  • 在砖帐户或停用现有用户工作区

  • 管理组和组成员关系

  • 更新和管理资料

需求

  • 你的砖账户必须有砖溢价的计划

  • 你必须Okta developer用户。

  • 设置配置为您的砖帐户,你必须砖账户管理。

  • 砖工作区设置配置,您必须砖工作区管理。

设置帐户级别使用Okta SCIM供应

本节描述如何配置一个Okta SCIM连接器提供用户和组帐户。

得到SCIM令牌在砖和帐户SCIM URL

  1. 作为一个账户管理,登录到砖账户控制台

    1. 点击用户设置图标设置

    2. 点击用户配置

    3. 点击允许用户配置

      复制SCIM令牌和帐户SCIM URL。您将使用这些配置在Okta连接器。

Okta配置SCIM供应

  1. 登录到Okta管理门户。

  2. 应用程序并点击浏览应用程序目录

  3. 搜索的砖浏览应用程序集成目录

  4. 点击添加集成

  5. 添加砖配置如下:

    • 应用程序标签为您的应用程序,输入一个名称。

    • 选择不显示用户应用程序图标

    • 选择不显示应用程序图标Okta移动应用

  6. 点击完成

  7. 点击供应输入以下:

    • 配置基本URL你复制从砖,输入SCIM URL。

    • 配置API令牌从砖,输入SCIM令牌你复制。

  8. 点击测试API凭证,确认连接成功,然后单击保存

  9. 重新加载供应选项卡。附加的设置成功后出现测试API的凭证。

  10. 配置行为推动Okta改变砖时,点击配置到应用程序

    • 点击编辑。使你所需要的功能。砖建议使创建用户,更新用户属性,禁用用户

    • 砖属性映射验证你的砖属性映射。这些映射将取决于上述选项启用。您可以添加和编辑映射来满足您的需要。看到地图应用属性配置页面Okta文档中。

  11. 配置时的行为推砖Okta更改,点击对Okta。适合砖配置的缺省设置。如果你想更新默认设置和属性映射,明白了供应和资源供应Okta文档中。

测试集成

要测试配置,使用Okta邀请用户你的砖账户。

  1. Okta去应用程序并点击

  2. 点击供应

  3. 点击分配,然后指定的人

  4. 寻找一个Okta用户,然后单击分配

  5. 确认用户的详细信息,单击分配和回去,然后单击完成

  6. 登录到账户控制台,点击控制台用户管理图标用户管理,然后确认用户已被添加。

这个简单的测试之后,您可以执行批量操作中描述在砖使用Okta来管理用户和组

设置工作空间层使用Okta SCIM供应

本节描述如何设置配置直接从Okta砖工作区。

得到的API令牌在砖和SCIM URL

  1. 作为砖工作空间的管理员,生成一个个人访问令牌。看到令牌管理。个人访问令牌存储在一个安全的位置。

    重要的

    用户谁拥有这个个人访问令牌在Okta一定不能成功。否则,将用户从Okta会扰乱SCIM集成。

  2. 记下以下URL,需要配置Okta:

    https:// < databricks-instance > / api / 2.0 /预览/ scim / v2

    取代< databricks-instance >工作空间的URL你的砖部署。看到对工作空间资产的标识符

保持这个浏览器选项卡打开。

配置SCIM供应在Okta砖SAML的应用程序

  1. 应用程序并点击

  2. 点击供应。从上面的部分输入以下信息:

    • 配置基本URL:配置端点

    • 配置API令牌:个人访问令牌

  3. 点击测试API凭证

  4. 重新加载供应选项卡。附加的设置成功后出现测试API的凭证。

  5. 配置行为推动Okta改变砖时,点击到应用程序

    • 一般,点击编辑。使你所需要的功能。砖建议使创建用户在一个最小值。

    • 砖属性映射验证你的砖属性映射。这些映射将取决于上述选项启用。您可以添加和编辑映射来满足您的需要。看到地图应用属性配置页面Okta文档中。

  6. 配置时的行为推砖Okta更改,点击对Okta。适合砖配置的缺省设置。如果你想更新默认设置和属性映射,明白了供应和资源供应Okta文档中。

测试集成

要测试配置,使用Okta邀请用户数据砖工作区。

  1. Okta去应用程序并点击

  2. 点击供应

  3. 点击分配,然后指定的人

  4. 寻找一个Okta用户,然后单击分配

  5. 确认用户的详细信息,然后单击分配和回去。点击完成

  6. 在砖工作区管理控制台,单击用户并确认用户被添加。至少,授予用户工作空间的权利。

在这个简单的测试之后,您可以执行批量操作,如以下部分所述。

在砖使用Okta来管理用户和组

本节描述大部分操作可以执行使用Okta SCIM供应给你的砖或工作区。

Okta从砖工作区导入用户

Okta导入用户数据砖,去进口选项卡并单击现在进口。提示您审查和确认作业对于任何用户不会自动匹配现有Okta用户通过电子邮件地址。

添加用户和组分配到砖

来验证或添加用户和组作业,去作业选项卡。

推动组织砖

推动组织从Okta砖,去推动组织选项卡。用户已经存在在砖相匹配的电子邮件地址。

从帐户中删除一个用户或组

如果你删除一个用户的帐户级别Okta砖的应用程序,用户被删除的砖账户和失去访问所有的工作区。

如果你删除一组Okta户头级别数据砖应用程序的所有用户组删除帐户和失去任何工作区有访问权除非他们是另一组的成员或直接授予访问帐户或任何工作区。你应该避免删除帐户级别组,除非你想让他们失去所有的工作区帐户。

请注意以下的后果删除用户:

  • 应用程序或脚本,使用生成的令牌用户将不再能够访问数据砖API

  • 工作由用户将会失败

  • 集群所拥有的用户将会停止

  • 查询或仪表板用户创建和共享使用运行作为所有者凭证必须分配给新主人阻止分享失败

从工作区中删除一个无效的用户

如果你删除一个用户的工作空间层Okta砖的应用程序,用户停用在砖工作区中而不是从工作区中删除。停用的用户没有workspace-accessdatabricks-sql-access权利。重新激活一个无效的用户是可逆的,通过在Okta re-adding用户或直接使用砖SCIM API。删除一个用户从砖工作区是破坏性和不可逆。

重要的

不要禁用管理员配置Okta SCIM配置应用。否则,SCIM集成不能验证砖。

删除一个用户从一个砖工作区:

  1. 在管理控制台中,去用户选项卡。

  2. 单击x为用户末端的线。

删除用户注意以下后果:

  • 应用程序或脚本,使用生成的令牌用户将不再能够访问数据砖API

  • 工作由用户将会失败

  • 集群所拥有的用户将会停止

  • 查询或仪表板用户创建和共享使用运行作为所有者凭证必须分配给新主人阻止分享失败

限制

  • 删除一个用户的工作空间层Okta砖应用程序的用户,而不是删除用户。你必须删除用户直接从砖

  • 你可以弃用的用户通过删除然后re-adding Okta,与相同的电子邮件地址。

故障诊断和建议

  • 用户没有姓或名的砖概要文件不能进口Okta新用户。

  • 用户存在于砖之前的配置设置:

    • 会自动链接到一个Okta用户是否已经存在于Okta和匹配是基于电子邮件地址(用户名)。

    • 可以手动连接到现有的用户或创建一个新用户在Okta如果不自动匹配。

  • 单独的用户权限分配和重复通过加入一群仍为用户组成员后删除。

  • 用户从一个砖工作区失去访问工作区,但他们仍可能获得其他砖工作区。

  • 管理员组是一个保留组在砖和不能被删除。

  • 你不能重命名组在砖;不要试图在Okta重命名它们。

  • 您可以使用砖组API 2.0(遗留)或者是组织用户界面得到任何砖工作空间层的组的成员的列表。

  • 你不能更新数据砖用户名和电子邮件地址。