為Okta配置SCIM供應

本文描述了如何設置使用Okta磚供應。

你可以設置在磚帳戶級別設置配置或磚工作空間的層麵上。

磚建議你提供用戶、服務主體和組用戶和組帳戶水平和分配工作空間使用聯合身份驗證。如果你有任何工作空間不支持聯合身份驗證,您必須繼續提供用戶,服務主體,直接和組工作區。

在磚來了解更多關於SCIM供應,包括聯合身份驗證對供應的影響的解釋和建議關於何時使用帳戶級別和工作空間層配置,明白了同步用戶和組身份提供商。

單點登錄配置Okta看,設置工作區SSO。

特性

Okta磚可以作為配置應用程序的集成網絡(網絡),使您能夠使用Okta與磚自動提供用戶和組。

磚Okta應用程序允許您:

邀請用戶數據磚帳戶或工作區
邀請或活躍用戶添加到組
在磚帳戶或停用現有用戶工作區
管理組和組成員關係
更新和管理資料

需求

你的磚賬戶必須有保費計劃或以上。
你必須Okta developer用戶。
設置配置為您的磚帳戶,你必須磚賬戶管理。
磚工作區設置配置,您必須磚工作區管理。

設置帳戶級別使用Okta SCIM供應

本節描述如何配置一個Okta SCIM連接器提供用戶和組帳戶。

得到SCIM令牌在磚和帳戶SCIM URL

作為一個賬戶管理,登錄到磚賬戶控製台。
1. 點擊設置。
2. 點擊用戶配置。
3. 點擊允許用戶配置。
  複製SCIM令牌和帳戶SCIM URL。您將使用這些配置在Okta連接器。

Okta配置SCIM供應

登錄到Okta管理門戶。
去應用程序並點擊瀏覽應用程序目錄。
搜索的磚瀏覽應用程序集成目錄。
點擊添加集成。
在添加磚配置如下:
- 在應用程序標簽為您的應用程序,輸入一個名稱。
- 選擇不顯示用戶應用程序圖標。
- 選擇不顯示應用程序圖標Okta移動應用。
點擊完成。
點擊供應輸入以下:
- 在配置基本URL你複製從磚,輸入SCIM URL。
- 在配置API令牌從磚,輸入SCIM令牌你複製。
點擊測試API憑證,確認連接成功,然後單擊保存。
重新加載供應選項卡。附加的設置成功後出現測試API的憑證。
配置行為推動Okta改變磚時,點擊配置到應用程序。
- 點擊編輯。使你所需要的功能。磚建議使創建用戶,更新用戶屬性,禁用用戶。
- 在磚屬性映射驗證你的磚屬性映射。這些映射將取決於上述選項啟用。您可以添加和編輯映射來滿足您的需要。看到地圖應用屬性配置頁麵Okta文檔中。
配置時的行為推磚Okta更改,點擊對Okta。適合磚配置的缺省設置。如果你想更新默認設置和屬性映射,明白了供應和資源供應Okta文檔中。

測試集成

要測試配置,使用Okta邀請用戶你的磚賬戶。

Okta去應用程序並點擊磚。
點擊供應。
點擊分配,然後指定的人。
尋找一個Okta用戶,然後單擊分配。
確認用戶的詳細信息,單擊分配和回去,然後單擊完成。
登錄到賬戶控製台,點擊用戶管理,然後確認用戶已被添加。

這個簡單的測試之後,您可以執行批量操作中描述在磚使用Okta來管理用戶和組

設置工作空間層使用Okta SCIM供應

預覽

這個特性是在公共預覽。

本節描述如何設置配置直接從Okta磚工作區。

得到的API令牌在磚和SCIM URL

作為磚工作空間的管理員,生成一個個人訪問令牌。看到令牌管理。個人訪問令牌存儲在一個安全的位置。

重要的

用戶誰擁有這個個人訪問令牌在Okta一定不能成功。否則,將用戶從Okta會擾亂SCIM集成。
記下以下URL,需要配置Okta:
https:// < databricks-instance > / api / 2.0 /預覽/ scim / v2
取代< databricks-instance >與工作空間的URL你的磚部署。看到工作區對象的標識符。

保持這個瀏覽器選項卡打開。

配置SCIM供應在Okta磚SAML的應用程序

去應用程序並點擊磚。
點擊供應。從上麵的部分輸入以下信息:
- 配置基本URL:配置端點
- 配置API令牌:個人訪問令牌
點擊測試API憑證。
重新加載供應選項卡。附加的設置成功後出現測試API的憑證。
配置行為推動Okta改變磚時,點擊到應用程序。
- 在一般,點擊編輯。使你所需要的功能。磚建議使創建用戶在一個最小值。
- 在磚屬性映射驗證你的磚屬性映射。這些映射將取決於上述選項啟用。您可以添加和編輯映射來滿足您的需要。看到地圖應用屬性配置頁麵Okta文檔中。
配置時的行為推磚Okta更改,點擊對Okta。適合磚配置的缺省設置。如果你想更新默認設置和屬性映射,明白了供應和資源供應Okta文檔中。

測試集成

要測試配置,使用Okta邀請用戶數據磚工作區。

Okta去應用程序並點擊磚。
點擊供應。
點擊分配,然後指定的人。
尋找一個Okta用戶,然後單擊分配。
確認用戶的詳細信息,然後單擊分配和回去。點擊完成。
在磚工作區管理設置頁麵,點擊用戶並確認用戶被添加。至少,授予用戶工作空間的權利。

在這個簡單的測試之後,您可以執行批量操作,如以下部分所述。

在磚使用Okta來管理用戶和組

本節描述大部分操作可以執行使用Okta SCIM供應給你的磚或工作區。

Okta從磚工作區導入用戶

Okta導入用戶數據磚,去進口選項卡並單擊現在進口。提示您審查和確認作業對於任何用戶不會自動匹配現有Okta用戶通過電子郵件地址。

添加用戶和組分配到磚

來驗證或添加用戶和組作業,去作業選項卡。磚建議添加Okta組命名每一個人帳戶級別SCIM配置應用程序。這個同步所有用戶在你的組織中磚帳戶。

推動組織磚

推動組織從Okta磚,去推動組織選項卡。用戶已經存在在磚相匹配的電子郵件地址。

從帳戶中刪除一個用戶或組

如果你刪除一個用戶的帳戶級別Okta磚的應用程序,用戶被刪除的磚賬戶和失去訪問所有工作區,這些工作空間是否支持聯合身份驗證。

如果你刪除一組Okta戶頭級別數據磚應用程序的所有用戶組刪除帳戶和失去任何工作區有訪問權除非他們是另一組的成員或直接授予訪問帳戶或任何工作區。我們建議你不要刪除帳戶級別組,除非你想讓他們失去所有的工作區帳戶。

請注意以下的後果刪除用戶:

應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API
工作由用戶將會失敗
集群所擁有的用戶將會停止
查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

從工作區中刪除一個無效的用戶

如果你刪除一個用戶的工作空間層Okta磚的應用程序,用戶停用在磚工作區中而不是從工作區中刪除。停用的用戶沒有workspace-access或databricks-sql-access權利。重新激活一個無效的用戶是可逆的,通過在Okta re-adding用戶或直接使用磚SCIM API。刪除一個用戶從磚工作區是破壞性和不可逆。

重要的

不要禁用管理員配置Okta SCIM配置應用。否則,SCIM集成不能驗證磚。

刪除一個用戶從一個磚工作區:

在管理設置頁麵,去用戶選項卡。
單擊x為用戶末端的線。

刪除用戶注意以下後果:

應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API
工作由用戶將會失敗
集群所擁有的用戶將會停止
查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

使用Okta來管理工作區管理員、權利和我的角色

磚支持任務的工作區管理員,我的角色,和工作區津貼從工作空間層在Okta磚應用。角色和權限的分配從戶頭級別不支持在Okta磚應用。如果你想把我從Okta角色和工作權利,您必須創建一個工作空間層磚應用Okta工作區。

磚建議您使用一個帳戶級別磚應用Okta提供用戶、服務主體,集團賬戶級別。你工作區使用指定用戶和組聯合身份驗證在磚和管理他們的權利和我的角色。

同步工作空間管理員

磚支持工作區管理角色的分配的工作空間層磚在Okta中的應用。工作區管理員是磚的成員管理員組。自動推到Okta磚組。Okta添加一個新的管理用戶,將用戶添加到管理員組。

重要的

不刪除管理員配置Okta SCIM配置應用程序,而不刪除它們的管理員組。否則,SCIM集成無法驗證數據磚。

從Okta權利分配工作空間

從工作空間層磚支持福利的分配在Okta磚應用。然而,在大多數情況下,磚從磚內部推薦管理權利。磚內,您可以很容易地指定或撤銷一種權利。Okta複雜配置的映射,您必須配置兩個映射為每一個權利。

本節描述如何配置映射來授予databricks-sql-accessOkta用戶權利。

重要的

默認情況下,磚用戶繼承workspace-access和databricks-sql-access福利。默認情況下,磚admin用戶繼承創建集群權利。你不需要分配這些從Okta繼承的權利。

撤銷繼承權利從用戶,刪除用戶的組或刪除的權利。刪除一個權利,你必須使用磚管理控製台。

分配的databricks-sql-access權利:

Okta管理控製台,去目錄>概要文件編輯器。
單擊配置文件Okta用戶配置文件的編輯按鈕。
單擊+添加屬性按鈕以添加一個角色。
在添加屬性對話框中,設置顯示名稱來磚SQL和變量名來databricks_sql。

請注意

Okta變量不能包含連字符(- - - - - -)字符。
返回到概要文件編輯器並單擊配置文件磚的edit按鈕配置應用程序用戶配置文件。
單擊+添加屬性按鈕以添加一個角色。
添加屬性對話框中,給角色屬性以下值:
- 顯示名稱:磚SQL
- 變量名:databricks_sql
- 外部的名字的格式福利。^ [type = = '美元類型']value。美元的類型是API名稱的權利沒有破折號(- - - - - -)。例如,外部的名字databricks-sql-access是福利。^ [type = = ' databrickssqlaccess '] value。
重要的

在外部名稱格式,您必須使用撇號字符(”)。如果你使用卷曲的引用字符(”),一個請求是unparseable發生錯誤。
- 外部名稱空間:urn: ietf:參數:scim:模式:核心:2.0:用戶。
返回到概要文件編輯器並單擊映射磚的edit按鈕配置應用程序用戶配置文件。
為磚,Okta、地圖appuser.databricks_sql磚列databricks_sqlOkta列。
為Okta,磚、地圖user.databricks_sql磚列databricks_sqlOkta列。
點擊保存映射。
添加一個用戶權利價值,去目錄>的人,選擇一個用戶,然後去配置文件標簽在用戶頁麵。
單擊編輯按鈕。在權利的領域,輸入的API名稱權利沒有破折號,等databrickssqlaccess。分配用戶應用程序時,角色是你輸入的值填充。

重複這個過程分配額外的津貼。

從Okta分配我的角色

為了從Okta我角色分配給用戶,您必須創建一個多值屬性在Okta磚Okta用戶配置文件和配置應用程序概要文件,然後將這些屬性映射到屬性的磚SCIM API。舉個例子,如果你想把兩個我角色分配給用戶,您必須創建兩個屬性磚配置的應用程序和一個Okta用戶屬性映射到每一個。

從磚內部磚建議管理我的角色分配。磚內,您可以很容易地指定或撤銷了我的角色。Okta複雜配置的映射,您必須配置為每個單獨的映射我的角色。

下麵的指令分配primary_role屬性。

Okta管理控製台,去目錄>概要文件編輯器。
單擊配置文件Okta用戶配置文件的編輯按鈕。
單擊+添加屬性按鈕以添加一個角色。
在添加屬性對話框中,設置顯示名稱來主角色和變量名來primary_role。
返回到概要文件編輯器並單擊配置文件磚的edit按鈕配置應用程序用戶配置文件。
單擊+添加屬性按鈕以添加一個角色。
添加屬性對話框中,給角色屬性以下值:
顯示名稱:主角色
變量名:primary_role
外部的名字的格式角色。^ [type = = '美元類型']value,在那裏美元的類型是一個字符串描述角色;在這種情況下,如果美元類型主,外部的名字將角色。^ [type = = '主']value。

重要的

在外部名稱格式,您必須使用撇號字符(”)。如果你使用卷曲的引用字符(”),一個請求是unparseable發生錯誤。

外部名稱空間:urn: ietf:參數:scim:模式:核心:2.0:用戶。
返回到概要文件編輯器並單擊映射磚的edit按鈕配置應用程序用戶配置文件。
為磚,Okta、地圖appuser.primary_role磚列primary_roleOkta列。
為Okta,磚、地圖user.primary_role磚列primary_roleOkta列。
點擊保存映射。
將一個角色屬性值添加到用戶,去目錄>的人,選擇一個用戶,然後去配置文件標簽在用戶頁麵。
單擊編輯按鈕進入主要作用為用戶價值。分配用戶應用程序時,角色是你輸入的值填充。

重複這個過程分配額外角色。

限製

刪除一個用戶的工作空間層Okta磚應用程序的用戶,而不是刪除用戶。你必須刪除用戶直接從磚。
你可以棄用的用戶通過刪除然後re-adding Okta,與相同的電子郵件地址。

故障診斷和建議

用戶沒有姓或名的磚概要文件不能進口Okta新用戶。
用戶存在於磚之前的配置設置:
- 會自動鏈接到一個Okta用戶是否已經存在於Okta和匹配是基於電子郵件地址(用戶名)。
- 可以手動連接到現有的用戶或創建一個新用戶在Okta如果不自動匹配。
單獨的用戶權限分配和重複通過加入一群仍為用戶組成員後刪除。
用戶從一個磚工作區失去訪問工作區,但他們仍可能獲得其他磚工作區。
的管理員組是一個保留組在磚和不能被刪除。
你不能重命名組在磚;不要試圖在Okta重命名它們。
您可以使用磚組API或者是組織用戶界麵得到任何磚工作空間層的組的成員的列表。
你不能更新數據磚用戶名和電子郵件地址。