從您的標識提供程序同步用戶和組

預覽

此功能已在公共預覽

本文描述如何配置您的身份提供程序(IdP)和Databricks,以便使用Databricks將用戶和組提供給DatabricksSCIM,或跨域身份管理係統,這是一個開放標準,允許您自動化用戶配置。

關於Databricks中的SCIM配置

SCIM允許您使用身份提供程序(IdP)在Databricks中創建用戶,為他們提供適當的訪問權限,並在他們離開組織或不再需要訪問Databricks時刪除訪問權限(取消對他們的配置)。

可以在IdP中使用SCIM供應連接器或調用SCIM api管理供應。您還可以使用這些api直接在Databricks中管理身份,而不需要IdP。

帳戶級和工作空間級的SCIM供應

您可以使用帳戶級別的SCIM供應從您的身份提供者配置到Databricks帳戶的一個SCIM供應連接器,也可以使用工作空間級別的SCIM供應為每個工作空間配置單獨的SCIM供應連接器。

  • 帳戶級別的SCIM配置:Databricks建議您使用帳戶級別的SCIM配置從帳戶中創建、更新和刪除所有用戶。您將管理將用戶和組分配到Databricks中的工作區。您的工作空間必須如此啟用身份聯合,以便管理用戶到工作區的分配。

帳戶級別的SCIM圖

  • 工作空間級別的SCIM配置:如果沒有啟用任何工作區聯合身份驗證,或者如果您混合使用了多個工作區,其中一些工作區啟用了身份聯合,而另一些則沒有,那麼您必須並行管理帳戶級和工作區級的SCIM配置。在混合場景中,您不需要為任何為身份聯合啟用的工作區提供工作區級別的SCIM配置。

    如果您已經為正在啟用身份聯合的工作區設置了工作區級別的SCIM供應,那麼您應該設置帳戶級別的SCIM供應,並關閉工作區級別的SCIM供應器。看到將工作區級別的SCIM供應遷移到帳戶級別

需求

使用SCIM向Databricks提供用戶和組:

  • 您的Databricks帳戶必須具有優質計劃或以上

  • 要使用SCIM(包括SCIM REST api)向Databricks帳戶提供用戶,必須是Databricks帳戶admin。

  • 要使用SCIM(包括SCIM REST api)向Databricks工作空間提供用戶,您必須是Databricks工作空間管理員。

有關管理權限的詳細信息,請參見管理用戶、組和服務主體

工作區中最多可以有10,000個用戶和5,000個組。

請注意

使用SCIM配置時,存儲在標識提供程序中的用戶和組屬性可以覆蓋使用Databricks管理和帳戶控製台以及SCIM (Groups) API

例如,如果在您的身份提供程序中為用戶分配了“允許創建集群”權限,您可以使用Databricks刪除該權限管理控製台,當IdP與Databricks同步時,如果IdP已配置為提供該授權,則用戶將在下一次IdP與Databricks同步時重新獲得該授權。同樣的行為也適用於組。

為Databricks帳戶提供身份

您可以使用SCIM,使用SCIM配置連接器或直接使用SCIM api,將身份提供程序中的用戶和組配置到Databricks帳戶。

使用IdP供應連接器向Databricks帳戶添加用戶和組

您可以使用SCIM供應連接器將用戶和組從IdP同步到Databricks帳戶。

重要的

如果您已經擁有將用戶和組直接同步到您的工作空間的SCIM連接器並且這些工作區為身份聯合啟用,當啟用帳戶級SCIM連接器時,應該禁用那些SCIM連接器。如果您的工作空間沒有進行身份聯合,那麼您應該繼續使用為這些工作空間配置的任何SCIM連接器,並與帳戶級SCIM連接器並行運行。

要配置SCIM連接器,以便向您的帳戶提供用戶和組:

  1. 以“admin”帳號登錄數據庫賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊啟用用戶預置

    複製SCIM令牌和Account SCIM URL。您將使用這些配置您的IdP。

  5. 作為可以配置SCIM連接器以提供用戶的用戶登錄IdP。

  6. 在IdP的SCIM連接器中輸入以下值:

    • 對於SAML供應URL,輸入從Databricks複製的SCIM URL。

    • 對於供應API令牌,輸入從Databricks複製的SCIM令牌。

你也可以按照這些IdP特定的指示來製作IdP:

使用SCIM API向您的帳戶添加用戶、組和服務主體

帳戶管理員可以使用SCIM帳戶API向Databricks帳戶添加用戶、服務主體和組。帳戶管理員在accounts.cloud.www.eheci.com上調用API ({account_domain} / api / 2.0 /賬戶/ {account_id} / scim / v2 /)並使用SCIM令牌。

要獲得SCIM令牌,請執行以下操作:

  1. 以“admin”帳號登錄數據庫賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

    如果未啟用資源配置,請單擊啟用用戶預置並複製令牌。

    如果已啟用資源分配,請單擊重新生成令牌並複製令牌。

工作區管理員可以使用相同的API添加用戶和服務主體。工作區管理員不能向帳戶添加組,但可以讀取(獲取/列出)組。工作區管理員在工作區域中調用API{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /並使用個人訪問令牌

看到SCIM API 2.0(帳戶)

旋轉帳戶級別的SCIM令牌

如果帳戶級別的SCIM令牌受到損害,或者您有定期輪換身份驗證令牌的業務需求,則可以輪換SCIM令牌。

  1. 以“Databricks”帳號admin登錄賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊重新生成令牌.記錄新令牌。之前的令牌將繼續工作24小時。

  5. 在24小時內,更新您的SCIM應用程序以使用新的SCIM令牌。

向Databricks工作區提供標識

如果您希望使用IdP連接器來提供用戶和組,並且您有一個沒有進行身份聯邦的工作空間,那麼您必須在工作空間級別配置SCIM供應。

使用IdP供應連接器將用戶和組添加到您的工作區

請遵循適當的國內流離失所者特定文章中的說明:

使用SCIM API將用戶、組和服務主體添加到工作區

工作空間管理員可以使用工作空間的SCIM api將用戶、組和服務主體添加到Databricks帳戶。看到Scim API 2.0

將工作區級別的SCIM供應遷移到帳戶級別

如果您已經為正在啟用的工作區設置了工作區級別的SCIM配置聯合身份驗證,您應該設置帳戶級別的SCIM供應器,並關閉工作區級別的SCIM供應器。

  1. 在標識提供程序中創建一個組,其中包括當前使用工作區級SCIM連接器提供給Databricks的所有用戶和組。

    這個組應該包括您帳戶中所有工作區中的所有用戶。

  2. 中的說明配置一個新的SCIM供應連接器,將用戶和組提供給您的帳戶為Databricks帳戶提供身份

    使用在步驟1中創建的組。

  3. 確認新的SCIM供應連接器成功地將用戶和組供應到您的帳戶。

  4. 關閉為您的工作空間提供用戶和組的舊的工作空間級SCIM連接器。

    僅關閉將用戶和組提供給已啟用身份聯合的工作區的SCIM連接器。對於沒有啟用身份聯合的任何工作區,保持供應連接器處於服務狀態,但確保使用工作區級連接器添加的任何身份也使用帳戶級連接器添加。IdP組可以幫助您管理這種並行供應場景。

  5. 將工作空間-本地組遷移到帳戶組。

    如果您的身份聯邦工作空間中有現有的組,它們被稱為工作空間-本地組,您不能使用帳戶級接口管理它們。Databricks建議您將它們轉換為帳戶組。看到將工作空間-本地組遷移到帳戶組