從您的標識提供程序同步用戶和組

本文描述如何配置您的身份提供程序(IdP)和Databricks,以便使用Databricks將用戶和組提供給DatabricksSCIM,或跨域身份管理係統,這是一個開放標準,允許您自動化用戶配置。

關於Databricks中的SCIM配置

SCIM允許您使用身份提供程序(IdP)在Databricks中創建用戶,為他們提供適當的訪問權限,並在他們離開組織或不再需要訪問Databricks時刪除訪問權限(取消對他們的配置)。

可以在IdP中使用SCIM供應連接器或調用SCIM api管理供應。您還可以使用這些api直接在Databricks中管理身份,而不需要IdP。

帳戶級和工作空間級的SCIM供應

您可以使用帳戶級SCIM供應從您的身份提供者配置到Databricks帳戶的SCIM供應連接器,或者使用工作空間級SCIM供應將SCIM供應連接器配置到每個工作空間。

  • 帳戶級別的SCIM配置:您可以使用帳戶級別的SCIM供應從帳戶中創建、更新和刪除用戶。

  • 工作空間級別的SCIM供應(公開預覽):您可以使用工作空間級別的SCIM配置從各個工作空間創建、更新和刪除用戶。

需求

使用SCIM向Databricks提供用戶和組:

  • 您的Databricks帳戶必須具有Databricks高級計劃

  • 要使用SCIM(包括SCIM REST api)向Databricks帳戶提供用戶,必須是Databricks帳戶admin。

  • 要使用SCIM(包括SCIM REST api)向Databricks工作空間提供用戶,您必須是Databricks工作空間管理員。

有關管理權限的詳細信息,請參見管理用戶、服務主體和組

一個帳戶最多可包含10,000個用戶和服務主體,以及5,000個組。每個工作區最多可以有10,000個用戶和服務主體以及5000個組。

請注意

使用SCIM配置時,存儲在標識提供程序中的用戶和組屬性可以覆蓋使用Databricks管理控製台、帳戶控製台或SCIM (Groups) API

例如,如果在您的身份提供程序中為用戶分配了“允許創建集群”權限,您可以使用Databricks刪除該權限管理控製台,當IdP與Databricks同步時,如果IdP已配置為提供該授權,則用戶將在下一次IdP與Databricks同步時重新獲得該授權。同樣的行為也適用於組。

為Databricks帳戶提供身份

您可以使用SCIM,使用SCIM配置連接器或直接使用SCIM api,將身份提供程序中的用戶和組配置到Databricks帳戶。

使用IdP供應連接器向Databricks帳戶添加用戶和組

您可以使用SCIM供應連接器將用戶和組從IdP同步到Databricks帳戶。

如果將穀歌雲身份配置為與外部IdP聯合,則該IdP可能具有內置的SCIM集成。注意,如果使用穀歌Cloud Identity作為惟一的IdP(沒有將其配置為與外部IdP聯合),則沒有內置的SCIM集成。

要配置SCIM連接器,以便向您的帳戶提供用戶和組:

  1. 以“admin”帳號登錄數據庫賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊啟用用戶預置

    複製SCIM令牌和Account SCIM URL。您將使用這些配置您的IdP。

  5. 作為可以配置SCIM連接器以提供用戶的用戶登錄IdP。

  6. 在IdP的SCIM連接器中輸入以下值:

    • 對於SAML供應URL,輸入從Databricks複製的SCIM URL。

    • 對於供應API令牌,輸入從Databricks複製的SCIM令牌。

你也可以按照這些IdP特定的指示來製作IdP:

使用SCIM API向您的帳戶添加用戶、服務主體和組

帳戶管理員可以使用SCIM帳戶API向Databricks帳戶添加用戶、服務主體和組。帳戶管理員調用帳戶上的API ({account_domain} / api / 2.0 /賬戶/ {account_id} / scim / v2 /)並使用SCIM令牌。

要獲得SCIM令牌,請執行以下操作:

  1. 以“admin”帳號登錄數據庫賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

    如果未啟用資源配置,請單擊啟用用戶預置並複製令牌。

    如果已啟用資源分配,請單擊重新生成令牌並複製令牌。

看到SCIM API 2.0(帳戶)

旋轉帳戶級別的SCIM令牌

如果帳戶級別的SCIM令牌受到損害,或者您有定期輪換身份驗證令牌的業務需求,則可以輪換SCIM令牌。

  1. 以“Databricks”帳號admin登錄賬戶控製台

  2. 點擊用戶設置圖標設置

  3. 點擊用戶配置

  4. 點擊重新生成令牌.記錄新令牌。之前的令牌將繼續工作24小時。

  5. 在24小時內,更新您的SCIM應用程序以使用新的SCIM令牌。

向Databricks工作區提供標識

預覽

此功能已在公共預覽

您可以使用SCIM,使用SCIM供應連接器或直接使用SCIM api,將用戶和組從您的身份提供程序供應到Databricks工作區。

使用IdP供應連接器將用戶和組添加到您的工作區

如果將穀歌雲身份配置為與外部IdP聯合,則該IdP可能具有內置的SCIM集成。注意,如果使用穀歌Cloud Identity作為惟一的IdP(沒有將其配置為與外部IdP聯合),則沒有內置的SCIM集成。

請遵循適當的國內流離失所者特定文章中的說明:

使用SCIM API將用戶、組和服務主體添加到工作區

工作空間管理員可以使用工作空間的SCIM api將用戶、組和服務主體添加到Databricks帳戶。看到Scim API 2.0