为onlogin配置SCIM发放
预览
此功能已在公共预览.
本文介绍如何使用onlogin设置Databricks供应。
您可以在Databricks帐户级别或Databricks工作空间级别设置配置。
Databricks建议您将用户、服务主体和组分配到帐户级别,并将用户和组分配到使用的工作区联合身份验证.如果您有任何未启用身份联合的工作空间,则应该继续将用户、服务主体和组直接提供给这些工作空间。
要在DBOB低频彩atabricks中了解有关SCIM配置的更多信息,包括身份联合对配置的影响的解释,以及关于何时使用帐户级和工作空间级配置的建议,请参见从您的标识提供程序同步用户和组.
要配置OneLogin单点登录,请参见设置单点登录.
需求
您的Databricks帐户必须具有优质及以上计划.
要为您的Databricks帐户设置供应,您必须是Databricks帐户admin。
要为Databricks工作空间设置供应,您必须是Databricks工作空间管理员。
您的OneLogin帐户必须支持配置。
您必须是您的OneLogin帐户的超级用户或帐户所有者。
Databricks建议你阅读OneLogin的文章,什么是用户发放和取消发放?.
使用OneLogin设置帐户级别的SCIM供应
本节介绍如何配置onlogin SCIM连接器,为您的帐户提供用户和组。
在Databricks中获取SCIM令牌和帐户SCIM URL
以“admin”帐号登录数据库账户控制台.
点击
设置.点击用户配置.
点击启用用户预置.
复制SCIM令牌和Account SCIM URL。您将使用这些来配置onlogin中的连接器。
设置.配置OneLogin SCIM发放应用
以超级用户或帐户所有者登录OneLogin,并启动OneLogin管理控制台。
去应用程序并点击添加应用程序.
搜索砖.选择带有标签的行OpenID Connect2.0,供应.
点击保存.新的配置选项卡出现在左边。
点击配置.
输入Databricks子域。
在不记名令牌字段,输入Databricks个人访问令牌。
下API连接,点击启用.应用程序向Databricks验证。
去供应启用和配置供应。
下工作流中,选择使配置.
配置是否需要管理员批准来创建、删除或更新用户。
请注意
Databricks建议您启用所有操作的管理批准作为初始保障,这样您就不会在安装和测试完成之前为用户触发自动供应。在您测试并验证供应按预期工作之后,您可以配置这些设置来覆盖管理审批。
配置从OneLogin删除用户时Databricks中的行为:
什么都不做不会在“数据库”中修改用户。
暂停禁用“数据库”中的用户。用户无法登录,但用户的资源没有被修改。这是可逆的。
删除删除“数据库”中的用户,并存档用户的资源。这是不可逆的。
配置OneLogin中用户挂起时Databricks中的行为。
什么都不做不会在“数据库”中修改用户。
暂停禁用“数据库”中的用户。用户无法登录,但用户的资源没有被修改。这是可逆的。
下权利,点击刷新.在OneLogin中,组被称为权限。这会将组从Databricks导入到OneLogin中。不支持将OneLogin授权导入Databricks。
单击Save。
继续使用OneLogin管理数据库中的用户和组提供Databricks帐户中的用户和组。
使用onlogin设置工作空间级别的SCIM供应
当您执行这些步骤时,在一个浏览器选项卡中登录到Databricks管理控制台,并在另一个浏览器选项卡中登录到OneLogin管理控制台。
生成Databricks个人访问令牌
作为Databricks工作区管理员,生成一个个人访问令牌。看到令牌管理.将个人访问令牌存储在安全位置。OneLogin将使用此个人访问令牌向Databricks进行身份验证。
重要的
拥有此个人访问令牌的用户不能在OneLogin中进行管理。否则,从OneLogin中删除用户将破坏SCIM集成。
配置OneLogin SCIM发放应用
以超级用户或帐户所有者登录OneLogin,并启动OneLogin管理控制台。
去应用程序并点击添加应用程序.
搜索砖.选择带有标签的行SAML2.0,供应.
点击保存.新的配置选项卡出现在左边。
点击配置.
输入Databricks子域。
在不记名令牌字段,输入Databricks个人访问令牌。
下API连接,点击启用.应用程序向Databricks验证。
去供应启用和配置供应。
下工作流中,选择使配置.
配置是否需要管理员批准来创建、删除或更新用户。
请注意
Databricks建议您启用所有操作的管理批准作为初始保障,这样您就不会在安装和测试完成之前为用户触发自动供应。在您测试并验证供应按预期工作之后,您可以配置这些设置来覆盖管理审批。
配置从OneLogin删除用户时Databricks中的行为:
什么都不做不会在“数据库”中修改用户。
暂停禁用“数据库”中的用户。用户无法登录,但用户的资源没有被修改。这是可逆的。
删除删除“数据库”中的用户,并存档用户的资源。这是不可逆的。
配置OneLogin中用户挂起时Databricks中的行为。
什么都不做不会在“数据库”中修改用户。
暂停禁用“数据库”中的用户。用户无法登录,但用户的资源没有被修改。这是可逆的。
下权利,点击刷新.在OneLogin中,组被称为权限。这会将组从Databricks导入到OneLogin中。不支持将OneLogin授权导入Databricks。
单击Save。
继续使用OneLogin管理数据库中的用户和组在Databricks工作区中配置用户和组。
使用OneLogin管理数据库中的用户和组
介绍如何使用OneLogin管理Databricks帐户或工作区的用户和组。
为Databricks工作空间用户分配组
您必须在Databricks中创建Databricks组,并创建映射以使它们与OneLogin字段保持同步。不能使用OneLogin向Databricks添加组。
在OneLogin中,转到参数选项卡。
下可选参数,点击组.
验证所有组名已成功地从Databricks导入到值字段时,单击供应选项卡上的刷新(上面),并选择包括在用户配置中国旗。
点击保存.
配置了属性映射之后,就可以在提供Databricks用户时将组分配给它们。如果要分配Group值,您可以在OneLogin SCIM发放应用程序的用户登录记录上手动选择它们用户OneLogin SCIM发放应用的页签,选择要编辑的用户。
您还可以使用OneLogin规则(映射)根据另一个OneLogin属性(如OneLogin Role)自动将用户分配到Databricks组。例如,要将OneLogin角色“Finance”中的所有用户放在Databricks的“Finance”组中,您可以转到规则标签在你的OneLogin SCIM供应应用程序,并创建一个新规则在条件下角色-包括-财务还有动作在“数据组”中设置“组”为“- finance”,如下图所示:
现在,每当您将用户添加到OneLogin“Finance”角色和OneLogin SCIM供应应用程序时,当您重新应用授权映射时,用户将在Databricks中分配“Finance”组。
已添加到管理员OneLogin工作空间级SCIM供应应用程序中的组成为Databricks工作空间管理员。
删除或更新组分配
要删除或更新组分配,请转到用户在OneLogin SCIM发放应用程序中,选择要编辑的用户。删除或覆盖组字段、自定义IAM角色字段或自定义授权字段中的当前选择。
如果您已经设置了基于OneLogin属性(如OneLogin Role)为用户分配组的规则,请从用户中删除该属性(例如,从OneLogin Role中删除用户)。您还可以更改为该onlogin角色中的用户分配组、IAM角色或权限的规则。
对象中删除用户时管理员当修改被同步到Databricks时,该用户不再是Databricks工作空间管理员。
重要的
请勿删除配置OneLogin SCIM发放应用的管理员,请勿从管理员组。否则,SCIM集成无法向Databricks进行身份验证。
触发同步
您可以通过进入OneLogin SCIM供应应用程序并选择手动触发OneLogin用户与Databricks用户的同步更多动作->同步登录.如果用户被分配到应用程序,该用户将被添加到您的Databricks帐户或工作区。然而,反之则不然:在Databricks帐户或工作区中创建的用户将不会添加到OneLogin SCIM供应应用程序中。
若要手动将Databricks帐户或工作区中的用户同步到OneLogin,请在OneLogin中创建一个与Databricks帐户或工作区中的用户具有相同的用户名和电子邮件地址的用户,然后将该用户分配给OneLogin中的应用程序。
删除用户
您应该删除OneLogin中的用户,OneLogin将从Databricks帐户或工作空间中删除这些用户。如果您直接在Databricks工作空间中删除OneLogin管理的用户,则该用户将在OneLogin SCIM发放应用程序中保持活动状态。当您试图从OneLogin SCIM发放应用程序中删除该用户时,尝试将失败,因为该用户已在工作空间中删除。
您可以通过多种方式取消用户的配置:
删除或暂停OneLogin用户。
方法手动将用户从应用程序中删除用户OneLogin SCIM发放应用程序中的选项卡,选择用户,然后单击删除按钮。
如果您已经设置了基于OneLogin属性(如OneLogin Role)将用户分配给应用程序的规则,请从用户中删除该属性(例如,从OneLogin Role中删除用户)。你也可以从用户分配的OneLogin角色中删除Databricks应用程序(这将为角色中的所有用户取消Databricks)。
重要的
请勿删除配置OneLogin SCIM发放应用的管理员管理员组。否则,SCIM集成无法向Databricks进行身份验证。
使用onlogin管理授权和IAM角色
Databricks在OneLogin中支持从工作空间级Databricks应用程序分配IAM角色和工作空间授权。OneLogin中的帐户级Databricks应用程序不支持角色和权限的分配。如果您想从OneLogin分配IAM角色和工作空间授权,您必须在OneLogin中创建一个工作空间级别的Databricks应用程序到该工作空间。
Databricks建议您改用OneLogin中的帐户级Databricks应用程序来为帐户级提供用户和组。将用户和组分配给工作区使用联合身份验证并在Databricks中管理他们的权限和IAM角色。
将Databricks属性映射到OneLogin属性
为了管理来自OneLogin的IAM角色和权限,您必须首先创建映射,以使Databricks IAM角色和权限与已发放用户的OneLogin字段保持同步。
在OneLogin中,转到Users >自定义用户字段并创建两个自定义字段:
一个用来保存用户的allow-cluster-create许可.在我们的例子中,我们将其命名为
databricksEntitlements.一个保存用户的Databricks IAM角色。在我们的例子中,我们将其命名为
我角色.
一旦创建了这些字段,就可以指定IAM角色和
allow-cluster-createOneLogin用户记录的自定义字段部分中的任何用户的授权。返回到OneLogin SCIM供应应用程序,然后转到参数选项卡来映射授权、组和角色属性(都是可选的)。
单击字段名打开编辑对话框,在这里您可以将OneLogin字段(Value)设置为映射到Databricks字段。
权利:设置价值到步骤1中创建的自定义用户字段。
角色:设置价值到步骤1中创建的自定义用户字段。
点击保存.
重复此步骤可分配其他IAM角色或权限。
为Databricks工作空间用户分配IAM角色和权限
一旦创建了自定义用户字段并配置了属性映射,就可以在提供Databricks用户时为其分配IAM角色和授权。
当您为用户记录上的授权和IAM角色自定义字段输入值时(用户>所有用户> <用户名>),授权和IAM角色在发放给Databricks时自动包含。您还可以使用OneLogin规则(映射)根据另一个OneLogin属性(如OneLogin Role)自动分配IAM角色和授权。
可以删除或更新IAM角色或授权分配用户在OneLogin SCIM发放应用程序中,选择要编辑的用户。删除或覆盖自定义IAM角色字段或自定义授权字段中的当前选择。如果您已经设置了基于onlogin属性为用户分配IAM角色或权限的规则,请从用户中删除该属性。您还可以更改为该onlogin角色中的用户分配IAM角色或权限的规则。
故障排除和提示
在配置设置之前在Databricks中存在的用户:
自动链接到OneLogin用户,如果他们已经存在于OneLogin,并根据电子邮件地址(用户名)进行匹配。
可以手动链接到现有用户,或者在OneLogin中创建一个新用户,如果他们没有自动匹配。
在删除用户的组成员资格后,通过组成员资格单独分配和复制的用户权限仍然保留。
从Databricks工作空间删除的用户将失去对该工作空间的访问权,但仍然可以访问其他Databricks工作空间。
必须在Databricks中创建Databricks组;您无法使用OneLogin添加组。
无法更新Databricks用户名和电子邮件地址。