管理用戶、服務主體和組織

本文介紹了磚身份管理的模型,並概述了如何管理用戶、組和服務主體在磚。

固執己見的角度如何最佳配置的身份在磚,明白了身份的最佳實踐

磚的身份和角色

有三種類型的磚標識:

  • 用戶:用戶身份被磚和由電子郵件地址。

  • 服務主體:使用的身份工作,自動化工具,和腳本等係統,應用程序和CI / CD平台。Beplay体育安卓版本

  • :一組管理員管理小組使用的身份進入工作區,數據,和其他可獲得的對象。磚的身份可以被指定為所有成員的組。

有五個角色定義在磚:

  • 賬戶管理員可以管理你的磚戶頭級別的配置,包括創建工作區,統一編目metastores,計費和雲資源。賬戶管理員可以添加用戶賬戶和分配管理角色。他們也可以給用戶訪問工作區,隻要這些工作區使用聯合身份驗證

  • 工作空間管理員磚工作區可以添加用戶,分配他們的工作區管理角色,和管理訪問工作空間中的對象和功能,比如創建集群或訪問指定persona-based環境。

  • Metastore管理員可以管理權限內的所有可獲得的對象統一目錄metastore,比如誰可以創建目錄或查詢一個表。

  • 用戶帳戶可以使用賬戶控製台視圖和連接到他們的工作區。賬戶和工作區管理員可以添加用戶帳戶。

  • 工作空間的用戶執行數據科學、工程數據,數據分析任務的工作區。帳戶和工作區管理員可以給帳戶用戶訪問工作區,隻要這些工作區使用聯合身份驗證

誰能管理身份數據磚?

來管理身份在磚,你一定是一個帳戶管理或工作空間管理。下表詳細信息所需的權限用戶管理操作:

行動

誰可以執行此操作?

添加用戶和服務主體

賬戶管理員可以添加用戶和服務主體的帳戶。

工作空間管理員可以添加用戶和服務主體帳戶從他們的工作區。

更新用戶和服務主體

賬戶管理員賬戶可以更新用戶和服務主體。

刪除用戶和服務主體

賬戶管理員可以刪除用戶和服務主體的帳戶。

添加組

帳戶管理員可以將組添加到帳戶。

工作空間管理員可以添加workspace-local組工作區管理工作區。

更新組

帳戶管理員可以更新組的帳戶。

工作空間管理員可以更新workspace-local組在工作區管理工作區。

刪除組

帳戶管理員可以刪除組帳戶。

工作空間管理員可以刪除workspace-local組從工作空間管理的工作區。

請注意

在身份聯合工作區,workspace-local組隻能由工作區管理管理員使用SCIM API 2.0(集團)工作區API。

你最多可以有10000個結合用戶和服務主體和5000組在一個帳戶。每個工作區可以有最多10000用戶和服務主體和5000組。

有關詳細說明,請參見:

管理員分配用戶工作區嗎?

啟用用戶、服務主體或組在磚工作區工作,一個帳戶管理員或工作區管理需要將它們分配給一個工作區。您可以將工作空間訪問分配給用戶,服務主體,組織中存在的帳戶啟用隻要工作區聯合身份驗證

工作區管理員還可以添加一個新用戶或服務主體直接工作區,都自動添加用戶或服務主體的賬戶和分配他們的工作區。組織中直接創建工作區,稱為workspace-local組,不會自動添加到帳戶。看到特殊注意事項集團

帳戶級別標識圖

對於那些不支持聯合身份驗證的工作空間,工作空間管理員管理他們的工作空間用戶,服務主體,完全和組範圍內的工作空間。每當用戶或服務主體添加到工作區,用戶或服務主體將會同步到帳戶的水平。每當一組添加到工作區,集團將workspace-local集團,它不會被添加到賬戶。看到特殊注意事項集團

有關詳細說明,請參見:

管理員工作區上啟用聯合身份驗證嗎?

在工作區,使聯合身份驗證管理員需要使工作區metastore分配一個團結統一目錄的目錄。看到為統一啟用一個工作區目錄

如何磚同步的工作區和帳戶之間的身份?

在2022年,所有現有工作空間用戶和服務主體被自動同步到你的賬戶為帳戶級別用戶和服務主體。磚將繼續同步用戶或服務主體的帳戶當你將它們添加到工作區,無論是否啟用了工作區聯合身份驗證。如果工作區用戶共享用戶名(郵箱地址),一個帳戶已經存在的用戶或管理員,這些用戶合並。

Workspace-local組不同步賬戶級別。被確定為Workspace-local組workspace-local在工作區管理控製台和工作區(如果啟用了聯合身份驗證)在空間權限選項卡賬戶控製台。有關更多信息,請參見特殊注意事項集團

重要的

如果一個帳戶管理員刪除用戶或服務主體在賬戶層麵,該用戶也從他們的工作區,不管聯合身份驗證已啟用。我們建議您不要刪除帳戶用戶或服務主體,除非你想讓他們失去所有的工作區帳戶。刪除用戶時注意以下後果:

  • 應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API。

  • 工作由用戶將會失敗。

  • 集群所擁有的用戶將停止運行。

  • 查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗。

特殊注意事項集團

當用戶和服務主體在工作區中創建水平自動同步到賬戶、組在工作區中創建水平。相反,磚的概念賬戶組workspace-local組,以下行為:

  • 賬戶組可以授予訪問數據統一目錄metastore和權限身份聯合工作區。可以創建賬戶組隻有賬戶管理員使用帳戶控製台和SCIM REST API(帳戶)。

  • Workspace-local組被遺留的組中。這些團體被認為是workspace-local在工作區中管理控製台。Workspace-local組不能被分配給其他工作區或授權訪問數據統一目錄metastore。

請注意

在身份聯合工作區,workspace-local組隻能由工作區管理管理員使用SCIM API 2.0(集團)工作區API。

磚建議不要使用workspace-local組而不是賬戶組。你必須使你的工作空間的聯合身份驗證才能使用賬戶組。如果你啟用聯合身份驗證現有的工作空間,您可以使用賬戶組和workspace-local組並排,但是磚建議把workspace-local組考慮組利用集中的空間分配和使用統一數據訪問管理目錄。看到workspace-local組遷移到帳戶組

分配管理角色

管理員帳戶管理員可以指定其他用戶帳戶。他們也可以成為統一目錄創建metastore metastore管理員的,他們可以將metastore admin角色轉移到另一個用戶或組。

賬戶管理員和管理員工作區管理員可以指定其他用戶工作區。工作區管理角色是由會員在工作區中管理員群,這是一個默認組在磚和不能刪除。

看到的:

分配權利

一種權利是一個屬性,允許一個用戶,服務主體或組與磚以指定的方式進行交互。在工作區級別權限分配給用戶。下表列出了權利和工作區UI和API管理每一個使用屬性名。您可以使用工作空間管理控製台和工作空間層SCIM REST api管理權利。

權利的名字(UI)

權利的名字(API)

默認的

描述

工作空間的訪問

workspace-access

默認情況下。

授予用戶或服務主體時,他們可以訪問數據科學與工程和磚機器學習persona-based環境。

不能從工作區中刪除管理員。

磚SQL訪問

databricks-sql-access

默認情況下。

當授予用戶或服務主體,他們可以訪問數據磚SQL。

集群允許無限製的創建

allow-cluster-create

默認不授予用戶或服務主體。

當授予用戶或服務主體,他們可以創建集群。你可以限製訪問現有的集群使用集群級別的權限

不能從工作區中刪除管理員。

允許創建池(不可以通過UI)

allow-instance-pool-create

不能被授予個人用戶或服務主體。

當授給一個組,其成員可以創建實例池。

不能從工作區中刪除管理員。

建立單點登錄(SSO)

磚與穀歌雲身份驗證用戶的帳戶和工作區賬戶(或GSuite賬戶)使用穀歌的OAuth 2.0實現,符合OpenID連接規範和OpenID認證。磚提供了openid概要範圍值在穀歌身份驗證請求。

可選地,您可以配置您的穀歌雲身份帳戶(或GSuite賬戶)與外部SAML 2.0聯合身份提供商(IdP)來驗證用戶憑證。穀歌雲身份可以用Azure Active Directory聯合,Okta,萍和其他國內流離失所者。然而,磚隻直接與穀歌身份平台api進行交互。Beplay体育安卓版本

看到單點登錄