為Okta配置SCIM發放
本文介紹如何使用Okta設置Databricks供應。
您可以在Databricks帳戶級別或Databricks工作空間級別設置配置。
Databricks用戶使用其穀歌雲身份帳戶(或GSuite帳戶)向帳戶和工作區進行身份驗證,請參見單點登錄.如果使用Okta將用戶提供給帳戶或工作區,則該用戶還必須具有穀歌雲身份帳戶才能進行身份驗證。
Databricks建議您將用戶、服務主體和組分配到帳戶級別,並將用戶和組分配到使用的工作區聯合身份驗證.如果有任何工作區未啟用身份聯合,則必須繼續將用戶、服務主體和組直接提供給這些工作區。
要在Databricks中了解有關SCIM配置的更多信息,包括身份聯合對配置的影響的解釋,以及關於何時使用帳戶級和工作空間級配置的建議,請參見從您的標識提供程序同步用戶和組.
要配置Okta單點登錄,請參見單點登錄.
特性
Databricks是Okta集成網絡(OIN)中的一個供應應用程序,允許您使用Okta自動為用戶和組提供Databricks。
Databricks Okta應用程序允許您:
邀請用戶到Databricks帳戶或工作區
將邀請用戶或活動用戶添加到組中
停用Databricks帳戶或工作區中的現有用戶
管理組和組成員
更新和管理配置文件
需求
您的Databricks帳戶必須具有Databricks高級計劃.
您必須是Okta開發人員用戶。
要為您的Databricks帳戶設置供應,您必須是Databricks帳戶admin。
要為Databricks工作空間設置供應,您必須是Databricks工作空間管理員。
使用Okta設置帳戶級別的SCIM供應
本節描述如何配置Okta SCIM連接器,以便為您的帳戶提供用戶和組。
在Databricks中獲取SCIM令牌和帳戶SCIM URL
以“admin”帳號登錄數據庫賬戶控製台.
點擊
設置.點擊用戶配置.
點擊啟用用戶預置.
複製SCIM令牌和Account SCIM URL。您將使用這些來配置Okta中的連接器。
設置.在Okta中配置SCIM供應
登錄Okta管理門戶。
去應用程序並點擊瀏覽應用目錄.
中的“數據庫”搜索瀏覽應用集成目錄.
點擊添加集成.
在添加磚配置如下:
在應用程序標簽,為您的應用程序輸入名稱。
選擇不向用戶顯示應用程序圖標.
選擇在Okta手機App中不顯示應用程序圖標.
點擊完成.
點擊供應並輸入以下內容:
在配置基礎URL,輸入從Databricks複製的SCIM URL。
在配置API令牌,輸入從Databricks複製的SCIM令牌。
點擊測試API憑證,驗證連接成功後,單擊保存.
重新加載供應選項卡。在成功測試API憑證之後會出現其他設置。
若要配置將Okta更改推送到Databricks時的行為,請單擊發放到應用程序.
點擊編輯.啟用所需的特性。Databricks建議啟用創建用戶,更新用戶屬性,禁用用戶.
在數據屬性映射,驗證你的數據庫屬性映射。這些映射將依賴於您在上麵啟用的選項。您可以添加和編輯映射以滿足您的需要。看到在Provisioning頁麵上映射應用程序屬性在Okta文檔中。
若要配置將Databricks更改推送到Okta時的行為,請單擊對Okta.默認設置適用於Databricks供應。如果要更新默認設置和屬性映射,請參見發放和取消發放在Okta文檔中。
測試集成
要測試配置,請使用Okta邀請一個用戶到您的Databricks帳戶。
在Okta,轉到應用程序並點擊磚.
點擊供應.
點擊分配,然後分配給人們.
搜索“Okta”用戶,單擊分配.
確認用戶的詳細信息,單擊分配並返回,然後按完成.
登錄賬戶控製台,點擊
用戶管理,確認用戶添加成功。
用戶管理,確認用戶添加成功。完成這個簡單的測試後,您可以執行中所述的批量操作使用Okta管理Databricks中的用戶和組
使用Okta設置工作空間級別的SCIM供應
預覽
此功能已在公共預覽.
本節描述如何設置從Okta直接供應到Databricks工作區。
在Databricks中獲取API令牌和SCIM URL
作為Databricks工作區管理員,生成一個個人訪問令牌。看到令牌管理.將個人訪問令牌存儲在安全位置。
重要的
擁有此個人訪問令牌的用戶不能在Okta中進行管理。否則,從Okta中刪除用戶將破壞SCIM集成。
請記錄以下URL,這是配置Okta所需的URL:
https:// < databricks-instance > / api / 2.0 /預覽/ scim / v2取代
< databricks-instance >與工作空間的URL您的Databricks部署。看到獲取工作區資產的標識符.
保持這個瀏覽器選項卡打開。
在Okta中的Databricks SAML應用程序中配置SCIM供應
去應用程序並點擊磚.
點擊供應.輸入從上述部分獲得的以下信息:
Provisioning Base URL:供應端點
供應API令牌:個人訪問令牌
點擊測試API憑證.
重新加載供應選項卡。在成功測試API憑證之後會出現其他設置。
若要配置將Okta更改推送到Databricks時的行為,請單擊到應用程序.
在一般,點擊編輯.啟用所需的特性。Databricks建議啟用創建用戶至少。
在數據屬性映射,驗證你的數據庫屬性映射。這些映射將依賴於您在上麵啟用的選項。您可以添加和編輯映射以滿足您的需要。看到在Provisioning頁麵上映射應用程序屬性在Okta文檔中。
若要配置將Databricks更改推送到Okta時的行為,請單擊對Okta.默認設置適用於Databricks供應。如果要更新默認設置和屬性映射,請參見發放和取消發放在Okta文檔中。
使用Okta管理Databricks中的用戶和組
本節描述了您可以使用Okta SCIM配置對Databricks帳戶或工作區執行的批量操作。
從Databricks工作區導入用戶到Okta
從“Databricks”導入用戶到“Okta”,請執行進口選擇並單擊現在進口.係統會提示您檢查和確認沒有通過電子郵件地址自動匹配到現有Okta用戶的任何用戶的分配。
從帳戶中刪除用戶或組
如果從Okta中的帳戶級Databricks應用程序中刪除用戶,則該用戶將在Databricks帳戶中刪除,並失去對所有工作區的訪問權,無論這些工作區是否啟用了身份聯合。
如果從Okta中的帳戶級Databricks應用程序中刪除一個組,該組中的所有用戶都將從該帳戶中刪除,並失去對他們曾經訪問過的任何工作空間的訪問權除非他們是另一個組的成員,或者直接被授予訪問帳戶或任何工作區的權限.我們建議您不要刪除帳戶級別的組,除非您希望它們失去對帳戶中所有工作區的訪問權。
刪除用戶的後果如下:
使用用戶生成的令牌的應用程序或腳本將不再能夠訪問Databricks API
用戶擁有的作業將失敗
用戶所屬的集群將停止運行
由用戶創建並使用Run as Owner憑據共享的查詢或儀表板必須分配給新的所有者,以防止共享失敗
從工作區中刪除一個未激活的用戶
如果從Okta中的工作空間級Databricks應用程序中刪除一個用戶,則該用戶為停用在Databricks工作空間中,但沒有從工作空間中刪除。未激活的用戶沒有workspace-access或databricks-sql-access權利。重新激活一個被停用的用戶是可逆的,可以在Okta中重新添加用戶,也可以直接使用Databricks SCIM API。從Databricks工作空間中刪除用戶是破壞性的且不可逆的。
重要的
請勿去激活配置Okta SCIM發放應用的管理員,否則將導致SCIM集成無法向Databricks進行認證。
從Databricks工作區中刪除一個用戶:
在管理控製台中,轉到用戶選項卡。
單擊x在用戶行的末尾。
請注意刪除用戶的後果:
使用用戶生成的令牌的應用程序或腳本將不再能夠訪問Databricks API
用戶擁有的作業將失敗
用戶所屬的集群將停止運行
由用戶創建並使用Run as Owner憑據共享的查詢或儀表板必須分配給新的所有者,以防止共享失敗
限製
從工作空間級別的Okta應用程序中刪除用戶會使Databricks中的用戶失效,而不是刪除該用戶。你必須直接從Databricks中刪除用戶.
您可以重新激活一個停用的用戶刪除,然後重新添加他們到Okta,與完全相同的電子郵件地址。
故障排除和提示
Databricks配置文件中沒有姓或名的用戶不能作為新用戶導入到Okta。
在配置設置之前在Databricks中存在的用戶:
自動鏈接到Okta用戶,如果他們已經存在於Okta,並根據電子郵件地址(用戶名)匹配。
可以手動鏈接到現有用戶,或者在Okta中創建一個新用戶,如果他們沒有自動匹配。
在刪除用戶的組成員資格後,通過組成員資格單獨分配和複製的用戶權限仍然保留。
從Databricks工作空間刪除的用戶將失去對該工作空間的訪問權,但他們仍然可以訪問其他Databricks工作空間。
的
管理員group為“數據庫”中的保留組,不可刪除。不能在“數據庫”中重命名組;不要試圖在Okta重新命名它們。
你可以使用數據庫Groups API 2.0(遺留)或者是組織用戶界麵獲取Databricks工作空間級組的成員列表。
無法更新Databricks用戶名和電子郵件地址。