管理個人訪問令牌

磚REST API進行身份驗證,用戶可以創建一個個人訪問令牌和使用它的REST API請求。令牌有一個可選的截止日期,可以撤銷。看到身份驗證使用磚個人的訪問令牌。

個人訪問令牌的數量每用戶僅限於600工作空間。

重要的

磚的口令強烈建議其他身份驗證,而不是用戶名和密碼(本地身份驗證)。

創建個人訪問令牌的能力是默認啟用所有磚工作區創建在2018年或更晚時間才能知曉。工作區管理員可以啟用或禁用任何工作區創建個人令牌訪問的能力,無論在工作區中創建的。

當啟用創建個人訪問令牌的能力是工作空間,工作空間管理員還可以監視令牌,控製非管理用戶可以創建令牌和使用令牌,並設置最大壽命為新令牌。

當生成個人訪問令牌的能力啟用工作區中,默認情況下所有用戶數據磚工作區可以生成個人的訪問令牌訪問數據磚REST api,它們可以生成這些令牌與任何截止日期,包括無限期一生。

磚管理員,您可以使用令牌管理API 2.0和權限API 2.0在更細粒度級別控製令牌使用。每個工作區上的api發布實例。學習如何訪問和驗證API,明白了身份驗證使用磚個人的訪問令牌。您必須訪問API作為磚admin。

對於一些任務,您還可以使用管理控製台。

下表顯示的任務可以執行使用web應用程序和使用REST api可以執行。細胞,說是,點擊查看這個詞相關的文檔。

任務	描述	管理控製台	REST API
啟用/禁用	啟用或禁用所有標記的工作區	是的	是的
控製誰可以使用令牌	限製個人訪問令牌創建和使用在這個工作區指定用戶和組。如果你撤銷用戶的權限來創建和使用令牌,該用戶現有的令牌也取消了。	是的	是的
馬克思一生為新令牌。	設置的最大生命周期新令牌在這個工作區	沒有	是的
管理現有的令牌	對於現有的令牌,令牌的創造者,過期日期,用戶提供的令牌的描述。撤銷為用戶誰應該不再有訪問令牌磚api。通過監測和控製令牌創建,您減少損失的風險令牌或持久的令牌,可能導致數據從工作區中漏出。	沒有	是的

看到下麵的圖的典型流令牌管理使用REST API來管理和令牌使用。看到這個話題的表設置的任務,或者可以使用管理控製台。

需求

這個特性要求保費計劃或以上。

啟用或禁用基於令牌的身份驗證的工作區

基於令牌的身份驗證是默認啟用所有磚工作區創建在2018年或更晚時間才能知曉。您可以更改此設置在管理控製台中。指定允許哪些用戶使用令牌,看到的控製誰可以使用或創建令牌。

禁用的能力為工作區創建個人訪問令牌:

去管理控製台。
單擊工作空間設置選項卡。
單擊個人訪問令牌切換。
點擊確認。這種變化可能需要幾秒鍾才能生效。

使用REST API請求基於令牌的身份,明白了身份驗證使用磚個人的訪問令牌。

不刪除當你禁用基於令牌的身份驗證令牌一個工作區。如果令牌重新啟用後,立即對任何非過期的令牌使用。

如果你想禁用令牌訪問用戶的一個子集,您可以保留基於令牌的身份為工作區,然後設置啟用細粒度的權限的用戶和組。看到控製誰可以使用或創建令牌。

您還可以使用REST API使這種變化。啟用或禁用令牌為工作區管理功能,調用工作區配置標記API(補丁/ workspace-conf)。指定一個JSON請求主體enableTokensConfig作為真正的(使)或假(禁用)。

例如,啟用這個特性:

             curl - x片- n\https:// < databricks-instance > / api / 2.0 / workspace-conf\- d”{“enableTokensConfig”:“真正的”,}'
            

控製誰可以使用或創建令牌

一個用戶可以有一個象征性的權限如下:

沒有權限
可以使用——用戶是否可以使用個人訪問令牌。為工作區創建磚平台3.28版本發布後(2020年9月9日至15日,)默認情況下沒有非管理用戶或組授予使用許可。Beplay体育安卓版本管理員必須明確授予用戶的可以使用許可,一群,或被授予的所有用戶用戶組。

重要的

工作區3.28發布之前創建維護權限已經到位。前麵的所有用戶的默認是可以使用許可。管理員可以撤銷集團申請和批準它其他團體或個人非管理用戶。看到刪除權限。
可以管理——一個用戶或組是否可以管理個人訪問令牌和權限。用戶管理員集團有一個默認權限,不能撤銷。沒有其他組可以授予許可。API執行這些規則。

此表列出了每個token-related任務所需的權限:

任務	沒有許可	可以使用	可以管理
創建一個令牌	- - - - - -	是的	是的
使用令牌認證	- - - - - -	是的	是的
撤銷自己的令牌	- - - - - -	是的	是的
撤銷任何用戶令牌的* *	- - - - - -	- - - - - -	是的
列出所有標記* *	- - - - - -	- - - - - -	是的
* * *牌修改權限	- - - - - -	- - - - - -	是的

標有* *需要行動令牌管理API 2.0。

行動與* * *標記可以在管理控製台中執行或權限API 2.0。看到控製誰可以使用或創建令牌。

使用管理控製台管理令牌權限

令牌管理工作區使用管理控製台的權限:

去管理控製台。
單擊工作空間設置選項卡。
單擊權限旁邊的按鈕個人訪問令牌打開牌權限編輯器。
添加、刪除或更新權限。信息的意義和工作空間的默認權限許可,明白了控製誰可以使用或創建令牌。
如果用戶組織可以使用許可,你想更細粒度的訪問申請非管理用戶,刪除可以使用的權限用戶集團通過單擊X旁邊的許可下拉用戶行。
授予許可給其他單位,選擇每一用戶或組的人你想授權訪問。選擇一個用戶或組選擇用戶或組…下拉,選擇可以使用,然後單擊+添加按鈕。在接下來的例子中,管理消除了訪問的用戶集團和被授予訪問數據科學B2組。
點擊保存保存您的更改。

警告

此前在保存您的更改,任何用戶可以使用或者可以管理權限但不再有權限無法獲取基於令牌的身份和其積極的令牌將會立即被刪除(撤銷)。刪除令牌不能被檢索。

令牌管理權限使用權限API

得到所有權限令牌工作區

牌用戶權限為所有的磚,磚組,和磚服務主體在工作區中,調用get-tokens-permissions權限令牌的API來獲得所有的工作區。(例如,得到/權限/授權/令牌中描述的權限API文檔。)

響應包含一個access_control_list數組中。每個元素是一個用戶對象,對象,或一個服務主體對象。他們每個人都有一個身份字段適當的類型:用戶有一個user_name領域,集團有一個group_name有一個領域,服務主體service_principal_name字段。所有元素都有一個all_permissions字段指定許可水平(CAN_USE或CAN_MANAGE)是理所當然。

例如:

               curl - n - x得到“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”
              

示例響應:

               {“object_id”:“授權/令牌”,“object_type”:“令牌”,“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]}]}
              

設置令牌的權限

設置令牌權限,調用令牌更新權限為一個特定的實體API(補丁/權限/授權/令牌)。

你可以在一個或多個用戶,設置權限組,或服務主體。對於每個用戶,您需要知道電子郵件地址,這是中指定user_name請求屬性。對於每一組,指定的組名group_name財產。對於一個服務主體,指定服務主體applicationId的價值service_principal_name財產。

實體(如用戶或組)沒有明確提及,並不直接影響這個請求,盡管改變組成員可以間接地影響用戶訪問。

你隻能授予不撤銷權限,這個API。

例如,下麵的例子向用戶授予訪問權限又該@例子。com和組mygroup。

               curl - n - x片“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”- d”{“access_control_list”:({“user_name”:“jsmith@example.com”,:“permission_level CAN_USE”,},{組:“group_name mygroup”,:“permission_level CAN_USE”,}]}'
              

示例響應:

               {“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]},{“group_name”:組“mygroup”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]}]}
              

如果你想設置權限令牌在工作區中所有實體在一個請求中,使用權限令牌替換所有工作區API(把/權限/授權/令牌)。看到刪除權限

刪除權限

請注意

為工作區創建磚平台3.28版本發布後(9月9日至15日,2020)默認是沒有用戶可以使用許可。Beplay体育安卓版本管理員必須明確授予這些權限,是否整個用戶組或逐個用戶或單的基礎上。工作區3.28發布之前創建維護權限已經到位。默認是所有用戶可以使用許可。管理員可以撤銷組權限分配和賦予其其他團體或個人非管理用戶。

從全部或部分撤銷權限非管理用戶,使用權限令牌替換所有工作區API(把/權限/授權/令牌),它要求您指定完整的權限為所有對象權限為整個工作區。

如果你想授權非管理用戶創建和使用令牌的一個子集,做以下三個:

格蘭特用戶、組和服務主體CAN_USE許可。
不予的CAN_USE內置的許可用戶如果你想隻授權一些非管理用戶組。您可以選擇將權限分配給這個群體,在這種情況下,所有非管理用戶可以創建和使用令牌。
格蘭特內置的管理員集團的CAN_MANAGE許可。這是一個需求的API。

警告

請求成功後,如果用戶或服務主體沒有令牌權限直接或間接通過一個群體,他們的令牌是立即刪除。刪除令牌不能被檢索。

下麵的例子贈款可以使用令牌組的權限field-automation-group,省略了權限用戶(所有用戶)組和資助CAN_MANAGE許可的管理員集團所需的API。任何非管理用戶組中沒有field-support-engineers將失去訪問令牌創建和他們現有的令牌將會立即被刪除(撤銷)。

               curl - n - x將“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”- d”{“access_control_list”:({:“group_name field-automation-group”,:“permission_level CAN_USE”,},{“group_name”:“管理員”,:“permission_level CAN_MANAGE”,},]}'
              

設置最大的一生新的令牌(REST API)

使用工作區配置標記api管理的最大生命周期新令牌在這個工作區。

設置最大生命周期為新令牌,調用為新的令牌API設置一生最大的令牌(補丁/ workspace-conf)。集maxTokenLifetimeDays新令牌的最大牌一生天,作為一個整數。如果你將它設置為零,新的令牌被允許沒有壽命限製。

例如:

             curl - n - x片“https:// < databricks-instance > / api / 2.0 / workspace-conf”- d”{“maxTokenLifetimeDays”:“90”}'
            

警告

這一限製隻適用於新的令牌。審查現有的令牌,看到獲得令牌的API。

工作空間的最大的一生為新令牌,調用工作區配置標記API(得到/ workspace-conf),通過鍵= maxTokenLifetimeDays作為查詢參數。響應包含一個maxTokenLifetimeDays屬性是一生最大的令牌的新令牌的日子裏,作為一個整數。如果是零,新的令牌被允許沒有壽命限製。

例如:

             curl - n - x得到“https:// < databricks-instance > / api / 2.0 / workspace-conf ?鍵= maxTokenLifetimeDays”
            

示例響應:

             {“maxTokenLifetimeDays”:“90”}
            

監控和撤銷令牌(僅REST API)

使用令牌管理api在工作區中管理現有的令牌。

獲得令牌的工作區

工作空間的令牌,調用得到所有標記API(得到令牌管理/令牌)。響應包含一個token_infos數組中。每個元素代表一個令牌,包括字段ID (token_id),創建時間(creation_time),到期時間(expiry_time),描述(評論和創建它的用戶IDcreated_by_id或用戶名created_by_username)。

您可以了解更多關於用戶使用SCIM API獲取用戶(得到/ scim / v2 /用戶/ {id})。

由用戶來過濾結果,設置請求主體的屬性created_by_id(ID)created_by_username(用戶名)。你可以從一個顯示名稱使用一個用戶IDSCIM讓用戶API(得到/ scim / v2 /用戶)

例如:

              curl - n - x得到“https:// < databricks-instance > / api / 2.0 /令牌管理/令牌”- d”{“created_by_id”:“1234567890”}'
             

示例響應:

              {“token_infos”:({“token_id”:“< token-id >”,“creation_time”:1580265020299,“expiry_time”:1580265020299,“評論”:“這是為美國廣播公司部門的自動化腳本”。,“created_by_id”:1234567890,“created_by_username”:“jsmith@example.com”}]}
             

另外,得到一個特定的令牌使用得到一個令牌API(得到/令牌管理/令牌/ {token_id})。

刪除(撤銷)令牌

找到標記ID。獲得令牌的工作區。
調用刪除一個象征性的API(刪除令牌管理/令牌)。令牌傳遞ID的路徑。

例如:

              curl - n - x刪除“https:// < databricks-instance > / api / 2.0 /令牌管理/令牌/ < token-id >”
             

起程拓殖集成

你可以在一個完全自動化的管理權限設置使用磚起程拓殖的提供者和databricks_permissions:

             資源“databricks_group”“自動”{display_name =“自動化”}資源“databricks_group”“eng”{display_name =“工程”}資源“databricks_permissions”“token_usage”=“令牌”access_control {group_name ={授權databricks_group.auto。display_name permission_level = " CAN_USE "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_USE "}}
            