从您的标识提供程序同步用户和组

预览

此功能已在公共预览

本文描述如何配置您的身份提供程序(IdP)和Databricks,以便使用Databricks将用户和组提供给DatabricksSCIM,或跨域身份管理系统,这是一个开放标准,允许您自动化用户配置。

关于Databricks中的SCIM配置

SCIM允许您使用身份提供程序(IdP)在Databricks中创建用户,为他们提供适当的访问权限,并在他们离开组织或不再需要访问Databricks时删除访问权限(取消对他们的配置)。

可以在IdP中使用SCIM供应连接器或调用SCIM api管理供应。您还可以使用这些api直接在Databricks中管理身份,而不需要IdP。

帐户级和工作空间级的SCIM供应

您可以使用帐户级别的SCIM供应从您的身份提供者配置到Databricks帐户的一个SCIM供应连接器,也可以使用工作空间级别的SCIM供应为每个工作空间配置单独的SCIM供应连接器。

  • 帐户级别的SCIM配置:Databricks建议您使用帐户级别的SCIM配置从帐户中创建、更新和删除所有用户。您将管理将用户和组分配到Databricks中的工作区。您的工作空间必须如此启用身份联合,以便管理用户到工作区的分配。

帐户级别的SCIM图

  • 工作空间级别的SCIM配置:如果没有启用任何工作区联合身份验证,或者如果您混合使用了多个工作区,其中一些工作区启用了身份联合,而另一些则没有,那么您必须并行管理帐户级和工作区级的SCIM配置。在混合场景中,您不需要为任何为身份联合启用的工作区提供工作区级别的SCIM配置。

    如果您已经为正在启用身份联合的工作区设置了工作区级别的SCIM供应,那么您应该设置帐户级别的SCIM供应,并关闭工作区级别的SCIM供应器。看到将工作区级别的SCIM供应迁移到帐户级别

需求

使用SCIM向Databricks提供用户和组:

  • 您的Databricks帐户必须具有优质及以上计划

  • 要使用SCIM(包括SCIM REST api)向Databricks帐户提供用户,必须是Databricks帐户admin。

  • 要使用SCIM(包括SCIM REST api)向Databricks工作空间提供用户,您必须是Databricks工作空间管理员。

有关管理权限的详细信息,请参见管理用户、服务主体和组

一个帐户最多可包含10,000个用户和服务主体,以及5,000个组。每个工作区最多可以有10,000个用户和服务主体以及5000个组。

请注意

使用SCIM配置时,存储在标识提供程序中的用户和组属性可以覆盖使用Databricks管理控制台、帐户控制台或SCIM (Groups) API

例如,如果在您的身份提供程序中为用户分配了“允许创建集群”权限,您可以使用Databricks删除该权限管理控制台,当IdP与Databricks同步时,如果IdP已配置为提供该授权,则用户将在下一次IdP与Databricks同步时重新获得该授权。同样的行为也适用于组。

为Databricks帐户提供身份

您可以使用SCIM,使用SCIM配置连接器或直接使用SCIM api,将身份提供程序中的用户和组配置到Databricks帐户。

使用IdP供应连接器向Databricks帐户添加用户和组

您可以使用SCIM供应连接器将用户和组从IdP同步到Databricks帐户。

重要的

如果您已经拥有将用户和组直接同步到您的工作空间的SCIM连接器并且这些工作区为身份联合启用,当启用帐户级SCIM连接器时,应该禁用那些SCIM连接器。如果您的工作空间没有进行身份联合,那么您应该继续使用为这些工作空间配置的任何SCIM连接器,并与帐户级SCIM连接器并行运行。

要配置SCIM连接器,以便向您的帐户提供用户和组:

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

  4. 点击启用用户预置

    复制SCIM令牌和Account SCIM URL。您将使用这些配置您的IdP。

  5. 作为可以配置SCIM连接器以提供用户的用户登录IdP。

  6. 在IdP的SCIM连接器中输入以下值:

    • 对于SAML供应URL,输入从Databricks复制的SCIM URL。

    • 对于供应API令牌,输入从Databricks复制的SCIM令牌。

你也可以按照这些IdP特定的指示来制作IdP:

使用SCIM API向您的帐户添加用户、服务主体和组

帐户管理员可以使用SCIM帐户API向Databricks帐户添加用户、服务主体和组。帐户管理员在accounts.cloud.www.neidfyre.com上调用API ({account_domain} / api / 2.0 /账户/ {account_id} / scim / v2 /)并使用SCIM令牌。

要获得SCIM令牌,请执行以下操作:

  1. 以“admin”帐号登录数据库账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

    如果未启用资源配置,请单击启用用户预置并复制令牌。

    如果已启用资源分配,请单击重新生成令牌并复制令牌。

工作区管理员可以使用相同的API添加用户和服务主体。工作区管理员不能向帐户添加组,但可以读取(获取/列出)组。工作区管理员在工作区域中调用API{workspace-domain} / api / 2.0 /账户/ scim / v2 /并使用个人访问令牌

看到SCIM API 2.0(帐户)

旋转帐户级别的SCIM令牌

如果帐户级别的SCIM令牌受到损害,或者您有定期轮换身份验证令牌的业务需求,则可以轮换SCIM令牌。

  1. 以“Databricks”帐号admin登录账户控制台

  2. 点击用户设置图标设置

  3. 点击用户配置

  4. 点击重新生成令牌.记录新令牌。之前的令牌将继续工作24小时。

  5. 在24小时内,更新您的SCIM应用程序以使用新的SCIM令牌。

向Databricks工作区提供标识

如果您希望使用IdP连接器来提供用户和组,并且您有一个没有进行身份联邦的工作空间,那么您必须在工作空间级别配置SCIM供应。

使用IdP供应连接器将用户和组添加到您的工作区

请遵循适当的国内流离失所者特定文章中的说明:

使用SCIM API将用户、组和服务主体添加到工作区

工作空间管理员可以使用工作空间的SCIM api将用户、组和服务主体添加到Databricks帐户。看到Scim API 2.0

将工作区级别的SCIM供应迁移到帐户级别

如果您已经为正在启用的工作区设置了工作区级别的SCIM配置联合身份验证,您应该设置帐户级别的SCIM供应器,并关闭工作区级别的SCIM供应器。

  1. 在标识提供程序中创建一个组,其中包括当前使用工作区级SCIM连接器提供给Databricks的所有用户和组。

    这个组应该包括您帐户中所有工作区中的所有用户。

  2. 中的说明配置一个新的SCIM供应连接器,将用户和组提供给您的帐户为Databricks帐户提供身份

    使用在步骤1中创建的组。

  3. 确认新的SCIM供应连接器成功地将用户和组供应到您的帐户。

  4. 关闭为您的工作空间提供用户和组的旧的工作空间级SCIM连接器。

    仅关闭将用户和组提供给已启用身份联合的工作区的SCIM连接器。对于没有启用身份联合的任何工作区,保持供应连接器处于服务状态,但确保使用工作区级连接器添加的任何身份也使用帐户级连接器添加。IdP组可以帮助您管理这种并行供应场景。

  5. 将工作空间-本地组迁移到帐户组。

    如果您的身份联邦工作空间中有现有的组,它们被称为工作空间-本地组,您不能使用帐户级接口管理它们。Databricks建议您将它们转换为帐户组。看到将工作空间-本地组迁移到帐户组

重要的

当您从帐户级SCIM连接器中删除用户时,该用户也将从帐户及其所有工作区中删除,而不管是否启用了身份联合。当您从帐户级SCIM连接器中删除一个组时,该组中的所有用户都将从帐户中删除,并且失去对他们曾经访问过的任何工作区的访问权,除非他们是另一个组的成员,或者直接被授予访问帐户或任何工作区的权限.您应该避免删除用户和组,除非您希望他们失去对帐户中所有工作区的访问权。删除用户的后果如下:

  • 使用用户生成的令牌的应用程序或脚本将不再能够访问Databricks API

  • 用户拥有的作业将失败

  • 用户所属的集群将停止运行

  • 由用户创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败