同步用戶和組身份提供商

預覽

這篇文章是指聯合身份驗證,私人預覽。聯係你的磚代表訪問。

本文描述了如何配置你的身份提供者(IdP)和磚磚使用提供用戶和組SCIM或跨域身份管理係統,一個開放標準,允許用戶配置自動化。

磚的SCIM供應

SCIM允許您使用一個身份提供商(IdP)創建用戶數據磚,給他們適當的訪問級別,刪除訪問(去除)當他們離開你的組織或不再需要訪問數據磚。

您可以使用一個SCIM配置連接器在國內流離失所者或調用SCIM api管理配置。你也可以使用這些api來管理身份直接磚,沒有國內流離失所者。

帳戶級別和工作空間層SCIM供應

預覽

聯合身份驗證是私人預覽。聯係你的磚代表訪問。

您可以配置一個SCIM配置連接器從你的身份提供者磚賬戶,使用帳戶級別SCIM供應,或配置獨立SCIM每個工作區,配置連接器使用工作空間層SCIM供應。

  • 帳戶級別SCIM配置:磚建議你使用帳戶級別SCIM提供創建、更新和刪除所有用戶的賬戶。你管理用戶和組的分配在磚工作區。你的工作必須支持聯合身份驗證管理用戶的工作空間作業。

帳戶級別SCIM圖

需求

提供用戶和組使用SCIM磚:

  • 你的磚賬戶必須有磚溢價的計劃

  • 提供用戶使用SCIM磚帳戶(包括SCIM REST api),你必須是一個磚賬戶管理。

  • 提供用戶一個磚工作區使用SCIM(包括SCIM REST api),你必須是一個磚工作區管理。

關於管理員權限的更多信息,請參閱管理用戶、服務主體和組織

你最多可以有10000個結合用戶和服務主體和5000組在一個帳戶。每個工作區可以有最多10000用戶和服務主體和5000組。

請注意

當你使用SCIM供應、用戶和組屬性存儲在你的身份提供者可以使用磚覆蓋您所作的改變管理控製台,控製台,或者SCIM(集團)API

例如,如果一個用戶分配允許集群創造權利在你的身份提供者使用磚和你刪除權限管理控製台,用戶將re-granted權利下次磚的國內流離失所者同步,如果配置國內流離失所者權利的條款。同樣的行為也適用於組。

提供身份磚賬戶

您可以使用SCIM提供用戶和組身份提供者使用SCIM磚帳戶配置連接器或直接使用SCIM api。

將用戶和組添加到您的磚賬戶使用國內流離失所者提供的連接器

你可以從你的國內流離失所者同步用戶和組磚賬戶使用SCIM配置連接器。

如果您配置穀歌雲身份與外部聯合國內流離失所者,國內流離失所者可能內置SCIM集成。注意,如果您使用穀歌雲身份你唯一的國內流離失所者(你不配置聯合與外部IdP),沒有內置SCIM集成。

重要的

如果你已經有SCIM連接器直接用戶和組同步到您的工作區聯合身份驗證和工作區被啟用你,磚建議禁用這些SCIM連接器啟用帳戶級別SCIM連接器時。如果你有工作空間沒有身份聯合,我們建議您繼續使用任何SCIM連接器配置為工作區,運行在並行與帳戶級別SCIM連接器。

配置一個SCIM連接器提供用戶和組帳戶:

  1. 作為一個賬戶管理,登錄到磚賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊允許用戶配置

    複製SCIM令牌和帳戶SCIM URL。你將使用這些配置您的國內流離失所者。

  5. 登錄到你的國內流離失所者的用戶可以配置一個SCIM連接器提供用戶。

  6. 輸入以下值在IdP的SCIM連接器:

    • SAML提供URL,輸入您抄襲磚SCIM URL。

    • 配置API的令牌,進入SCIM令牌你抄襲磚。

你也可以按照這些IdP-specific說明你的國內流離失所者:

添加用戶、服務主體和組織您的帳戶使用SCIM API

賬戶管理員可以添加用戶、服務主體和組磚賬戶使用SCIM API的賬戶。賬戶管理員調用API在accounts.gcp.cloud.www.eheci.com ({account_domain} / api / 2.0 /賬戶/ {account_id} / scim / v2 /),使用一個SCIM令牌。

SCIM的令牌,請執行以下操作:

  1. 作為一個賬戶管理,登錄到磚賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

    如果供應不啟用,點擊允許用戶配置並複製令牌。

    如果供應已經啟用,點擊重新生成令牌並複製令牌。

工作空間管理員可以添加用戶,並使用相同的API服務主體。工作空間管理員不能組添加到帳戶,但他們可以閱讀(Get /列表)。工作區管理員叫空間域上的API{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /

看到SCIM API 2.0(賬戶)

旋轉戶頭級別SCIM令牌

如果戶頭級別SCIM牌受損或如果你有業務需求定期輪換的身份驗證令牌,你可以旋轉SCIM令牌。

  1. 作為一個磚賬戶管理,登錄到磚賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊重新生成令牌。記下新的令牌。前麵的令牌將繼續為24小時工作。

  5. 在24小時內,更新SCIM應用程序使用新的SCIM令牌。

提供身份磚工作區

預覽

這個特性是在公共預覽

預覽

聯合身份驗證是私人預覽。聯係你的磚代表訪問。

如果你想使用一個IdP連接器提供用戶和組和你有一個工作空間,不是身份聯合,您必須配置SCIM供應在工作區水平。

將用戶和組添加到您的工作空間中使用一個國內流離失所者提供連接器

如果您配置穀歌雲身份與外部聯合國內流離失所者,國內流離失所者可能內置SCIM集成。注意,如果您使用穀歌雲身份你唯一的國內流離失所者(你不配置聯合與外部IdP),沒有內置SCIM集成。

按照說明在適當IdP-specific文章:

添加用戶、組和工作區使用SCIM API服務主體

工作空間管理員可以添加用戶、組和服務主體的磚賬戶使用SCIM api的工作區。看到SCIM API 2.0

工作空間層SCIM配置遷移到帳戶的水平

預覽

聯合身份驗證是私人預覽。聯係你的磚代表訪問。

如果你已經有工作空間層SCIM配置設置你啟用的工作區聯合身份驗證,磚建議您設置帳戶級別SCIM供應和關閉工作空間層SCIM糧食供應者。

  1. 創建一個組在身份提供者,包括所有的用戶和組目前供應磚使用您的工作空間層SCIM連接器。

    磚建議這一組的所有用戶在所有工作區包含在您的帳戶。

  2. 配置一個新的SCIM配置連接器提供用戶和組帳戶,使用中的說明提供身份磚賬戶

    使用您在步驟1中創建組或組。

  3. 確認新SCIM配置連接器成功配置用戶和組帳戶。

  4. 關閉舊的工作空間層SCIM連接器配置用戶和組到您的工作區。

    關閉隻有SCIM連接器配置用戶和組的支持聯合身份驗證的工作區。保持服務的供應連接器不支持聯合身份驗證的任何工作區,但是確保你添加任何身份使用工作空間層連接器也被添加使用帳戶級別連接器。國內流離失所者的群體可以幫助您管理這個平行配置場景。

  5. workspace-local組遷移到帳戶組。

    如果你有identity-federated工作區中現有的團體,他們被稱為workspace-local組。你不能使用帳戶級別的接口管理workspace-local組。磚建議你將它們轉換為帳戶組。看到workspace-local組遷移到帳戶組

重要的

當你刪除一個用戶的帳戶級別SCIM連接器,該用戶也從帳戶中刪除所有的工作區,不管聯合身份驗證已啟用。當你把一群從戶頭級別SCIM連接器,所有用戶組刪除帳戶和失去任何工作區訪問,除非他們是另一組的成員或直接授予訪問帳戶或任何工作區。我們建議你不要刪除用戶和組,除非你想讓他們失去所有的工作區帳戶。請注意以下的後果刪除用戶:

  • 應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API

  • 工作由用戶將會失敗

  • 集群所擁有的用戶將會停止

  • 查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗