管理用戶、組和服務主體

本文介紹了磚身份管理的模型,並概述了如何管理用戶、組和服務主體在磚。

磚的身份和角色

有三種類型的磚標識:

  • 用戶:用戶身份被磚和由電子郵件地址。

  • 服務主體:使用的身份工作,自動化工具,和腳本等係統,應用程序和CI / CD平台。Beplay体育安卓版本

  • :一組管理員管理小組使用的身份進入工作區,數據,和其他可獲得的對象。磚的身份可以被指定為所有成員的組。

有五個角色定義在磚:

  • 賬戶管理員可以管理你的磚戶頭級別的配置,包括創建工作區,統一編目metastores,計費和雲資源。賬戶管理員可以添加用戶賬戶和分配管理角色。他們也可以給用戶訪問工作區,隻要這些工作區使用聯合身份驗證

  • 工作空間管理員磚工作區可以添加用戶,分配他們的工作區管理角色,和管理訪問工作空間中的對象和功能,比如創建集群或訪問指定persona-based環境。

  • Metastore管理員可以管理權限內的所有可獲得的對象統一目錄metastore,比如誰可以創建目錄或查詢一個表。

  • 用戶帳戶可以使用賬戶控製台視圖和連接到他們的工作區。賬戶和工作區管理員可以添加用戶帳戶。

  • 工作空間的用戶執行數據科學、工程數據,數據分析任務的工作區。帳戶和工作區管理員可以給帳戶用戶訪問工作區,隻要這些工作區使用聯合身份驗證

誰能管理身份數據磚?

來管理身份在磚,你一定是一個帳戶管理或工作空間管理。下表所需的特定權限用戶管理操作細節:

行動

誰可以執行此操作?

添加用戶和服務主體

賬戶管理員可以添加用戶和服務主體的帳戶。

工作空間管理員可以添加用戶和服務主體帳戶從他們的工作區。

更新用戶和服務主體

賬戶管理員賬戶可以更新用戶和服務主體。

刪除用戶和服務主體

賬戶管理員可以刪除用戶和服務主體的帳戶。

添加組

帳戶管理員可以將組添加到帳戶。

工作空間管理員可以添加workspace-local組工作區管理工作區。

更新組

帳戶管理員可以更新組的帳戶。

工作空間管理員可以更新workspace-local組在工作區管理工作區。

刪除組

帳戶管理員可以刪除組帳戶。

工作空間管理員可以刪除workspace-local組從工作空間管理的工作區。

你最多可以有10000個結合用戶和服務主體和5000組在一個帳戶。每個工作區可以有最多10000用戶和服務主體和5000組。

有關詳細說明,請參見:

管理員分配用戶工作區嗎?

啟用用戶、服務主體或組在磚工作區工作,一個帳戶管理員或工作區管理需要將它們分配給一個工作區。

賬戶管理員可以分配工作空間訪問用戶,服務主體,組織中存在的賬戶啟用了隻要一個工作區聯合身份驗證。工作空間管理員也可以指定用戶、服務主體和組identity-federated工作區。

相反,如果你添加一個新用戶或服務主體直接工作區,該用戶或服務主體將自動添加到賬戶和分配給該工作區。磚不推薦這種上遊流。更簡單的將用戶添加到賬戶,然後將它們分配給工作區。看到如何磚同步的工作區和帳戶之間的身份?

組織中直接創建工作區,稱為workspace-local組,不會自動添加到帳戶。您可以手動創建帳戶workspace-local集團作為一個整體。看到特殊注意事項集團

帳戶級別標識圖

對於那些不支持聯合身份驗證的工作空間,工作空間管理員管理他們的工作空間用戶,服務主體,和組完全在工作區範圍內(遺留模型)。他們無法使用賬戶控製台或帳戶級別api來將用戶帳戶分配給這些工作區,但他們可以使用任何工作空間層的接口。

每當用戶或服務主體添加到工作區,用戶或服務主體將會同步到帳戶的水平。每當用戶或服務主體從帳戶中刪除級別,該用戶將失去他們所有的工作區,不管身份聯盟被啟用。每當一組添加到工作區,集團將workspace-local集團,它不會被添加到賬戶。看到特殊注意事項集團

有關詳細說明,請參見:

管理員工作區上啟用聯合身份驗證嗎?

在工作區,使聯合身份驗證管理員需要使工作區metastore分配一個團結統一目錄的目錄。看到為統一啟用一個工作區目錄

如何磚同步的工作區和帳戶之間的身份?

2022年8月,現有的工作空間用戶和服務主體都是自動同步到您的帳戶帳戶級別用戶和服務主體。磚將繼續同步用戶或服務主體的帳戶當你將它們添加到工作區。如果工作區用戶共享用戶名(郵箱地址)的帳戶級別用戶或管理員已經存在,這些用戶合並。

重要的

如果一個帳戶管理員刪除用戶或服務主體在賬戶層麵,該用戶也從他們的工作區,不管身份聯合被啟用。你應該避免刪除帳戶級別用戶或服務主體,除非你想讓他們失去所有的工作區。請注意以下的後果刪除用戶:

  • 應用程序或腳本,使用生成的令牌用戶將不再能夠訪問數據磚API

  • 工作由用戶將會失敗

  • 集群所擁有的用戶將會停止

  • 查詢或儀表板用戶創建和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

Workspace-local組不同步賬戶級別。被確定為Workspace-local組workspace-local在工作區管理控製台和工作區(如果啟用了聯合身份驗證)在空間權限選項卡賬戶控製台。有關更多信息,請參見特殊注意事項集團

特殊注意事項集團

當用戶和服務主體在工作區中創建水平自動同步到賬戶、組在工作區中創建水平。相反,磚的概念賬戶組workspace-local組具有特殊的行為:

  • 賬戶組隻有賬戶管理員可以創建。賬戶組可供分配identity-federated工作區,並可以分配給管理員工作區賬戶管理員和工作空間

  • Workspace-local組管理員可以創建隻有工作區。這些團體被認為是workspace-local在工作區管理控製台和工作區賬戶權限選項卡中控製台。

磚建議不要使用workspace-local組而不是賬戶組。你必須使你的工作空間的聯合身份驗證才能使用賬戶組。如果你啟用聯合身份驗證現有的工作空間,您可以使用賬戶組和workspace-local組並排,但是磚建議把workspace-local組考慮組利用集中的空間分配和使用統一數據訪問管理目錄。

分配管理角色

管理員帳戶管理員可以指定其他用戶帳戶。他們也可以成為統一目錄創建metastore metastore管理員的,他們可以將metastore admin角色轉移到另一個用戶或組。

賬戶管理員和管理員工作區管理員可以指定其他用戶工作區。工作區管理角色是由會員在工作區中管理員群,這是一個默認組在磚和不能刪除。

看到的:

分配權利

一種權利是一個屬性,允許一個用戶,服務主體或組與磚以指定的方式進行交互。在工作區級別權限分配給用戶。下表列出了權利和工作區UI和API管理每一個使用屬性名。您可以使用工作空間管理控製台和工作空間層SCIM REST api管理權利。

權利的名字(UI)

權利的名字(API)

默認的

描述

工作空間的訪問

workspace-access

默認情況下。

授予用戶或服務主體時,他們可以訪問數據科學與工程和磚機器學習persona-based環境。

不能從工作區中刪除管理員。

磚SQL訪問

databricks-sql-access

默認情況下。

當授予用戶或服務主體,他們可以訪問數據磚SQL。

集群允許無限製的創建

allow-cluster-create

默認不授予用戶或服務主體。

當授予用戶或服務主體,他們可以創建集群。你可以限製訪問現有的集群使用集群級別的權限

不能從工作區中刪除管理員。

允許創建池(不可以通過UI)

allow-instance-pool-create

不能被授予個人用戶或服務主體。

當授給一個組,其成員可以創建實例池。

不能從工作區中刪除管理員。

建立單點登錄(SSO)

單點登錄(SSO)使您可以驗證您的用戶使用第三方身份提供商喜歡Okta。如果你的身份提供者支持SAML 2.0協議(或者,戶頭級別的SSO, OIDC協議),你可以用你的身份使用磚SSO的集成供應商。

SSO戶頭級別和工作空間層身份必須單獨管理。

看到建立單點登錄