身份的最佳實踐

本文提供了一個固執己見的視角如何最好地配置在磚的身份。它包括一個指導如何遷移到聯合身份驗證,從而使您能夠管理你所有的用戶,組和服務主體的磚。

磚的身份模式的概述,請參閱磚的身份和角色

配置用戶、服務主體和組

有三種類型的磚標識:

  • 用戶:用戶身份被磚和由電子郵件地址。

  • 服務主體:使用的身份工作,自動化工具,和腳本等係統,應用程序和CI / CD平台。Beplay体育安卓版本

  • :組織簡化身份管理,使其更容易分配進入工作區,數據,和其他可獲得的對象。

磚建議創建服務主體運行生產工作或修改數據。如果作用於生產數據的所有進程的運行與服務主體、交互式用戶不需要任何寫作,在生產中刪除或修改權限。這就消除了用戶覆蓋生產數據的風險事故。

最佳實踐是分配訪問工作區和訪問控製政策統一編目組,而不是單獨的用戶。所有磚身份可以分配組的成員,和成員繼承權限分配給他們。

以下是管理數據磚的管理角色:

  • 賬戶管理員可以管理你的磚戶頭級別的配置包括身份、賬單、雲資源,創建目錄metastores工作區和團結。

  • 工作空間管理員磚工作區可以添加用戶,分配他們的工作區管理角色,和管理訪問對象和功能在工作區中,如創建集群的能力和改變工作的所有權。

  • Metastore管理員可以管理權限metastore內所有可獲得的對象,比如誰可以創建目錄或查詢一個表。帳戶管理誰創建統一目錄metastore成為初始metastore admin。

磚建議應該有一個有限的帳戶管理員/帳戶和工作區管理員在每個工作區。這是一個最佳實踐metastore admin角色轉移到一組。看到(推薦)所有權轉移的metastore一組

同步用戶和組身份提供商磚賬戶

磚建議使用SCIM配置同步用戶和組自動從你的身份提供者磚賬戶。SCIM流線新員工培訓新員工或團隊通過使用你的身份提供者創建用戶和組的磚,給他們適當的訪問級別。當用戶離開你的組織或不再需要訪問數據磚,管理員可以終止用戶在你的身份提供者和用戶帳戶也將從磚。這樣可以確保一致的offboarding過程和防止未經授權的用戶訪問敏感數據。

你的目標應該是同步的所有用戶和組打算使用磚賬戶控製台而不是個人工作區。這樣你隻需要配置一個SCIM配置應用程序把所有身份一致的所有帳戶的工作區。如果你已經有工作空間層SCIM工作區配置設置,你應該設置帳戶級別SCIM供應和關閉工作空間層SCIM糧食供應者。看到升級到聯合身份驗證

帳戶級別SCIM圖

特定用戶、組和服務主體可以從帳戶分配給特定的工作區中磚使用聯合身份驗證。

單點登錄配置

單點登錄(SSO)使您可以驗證您的用戶使用您的組織的身份提供者。磚建議SSO配置更大的安全性和提高可用性。您必須配置SSO賬戶和個人工作區。你應該為您的帳戶配置SSO同一身份提供商和所有工作空間在您的帳戶。最好是使用OIDC SSO配置賬戶層麵確保支持身份驗證功能。

一旦SSO配置在你的工作區,你應該配置密碼訪問控製。密碼訪問控製可以限製用戶對REST api的用戶名和密碼進行身份驗證。相反,用戶必須進行身份驗證使用REST api個人訪問令牌。磚建議你不授予可以使用密碼的任何用戶工作區。個人訪問令牌的更多信息,請參閱管理個人訪問令牌

使聯合身份驗證

聯合身份驗證允許您配置用戶、服務主體,在賬戶控製台和組,然後分配這些身份訪問特定的工作區。這簡化了磚數據治理和管理。

聯合身份驗證,您可以配置磚用戶,服務主體,在帳戶和組一次控製台,而不是重複配置分別在每個工作區。這既減少了摩擦在新員工培訓新團隊磚,使你保持一個SCIM配置應用程序身份提供商磚帳戶,而不是一個單獨的SCIM每個工作區配置應用程序。一旦用戶、服務主體和組添加到賬戶,你可以分配權限工作區。你隻能指定帳戶級別身份訪問支持聯合身份驗證的工作區。

帳戶級別標識圖

使聯合身份驗證的工作區,明白了管理員工作區上啟用聯合身份驗證嗎?

聯合身份驗證啟用工作空間層,你可以有一個身份聯合和non-identity聯合工作區。對於那些不支持聯合身份驗證的工作空間,工作空間管理員管理他們的工作空間用戶,服務主體,和組完全在工作區範圍內(遺留模型)。他們無法使用賬戶控製台或帳戶級別api用戶帳戶分配給這些工作區,但他們可以使用任何的工作空間層接口。當一個新用戶或服務主體添加到工作區使用工作空間層接口,用戶或服務帳戶層麵主要是同步的。這使您能夠有一個一致的用戶和服務主體在您的帳戶。

然而,當一組添加到non-identity-federated工作區使用工作空間層接口,集團是一家workspace-local集團並沒有添加到帳戶。可以創建賬戶組隻有賬戶管理員使用帳戶級別接口。你應該使用賬戶組而不是workspace-local組。Workspace-local組不能被授予訪問控製政策統一目錄或者其他工作區權限。

升級到聯合身份驗證

如果你啟用聯合身份驗證現有的工作空間,做到以下幾點:

  1. 工作空間層SCIM配置遷移到帳戶的水平

    如果你有一個工作空間層SCIM配置設置您的工作區,你應該設置帳戶級別SCIM供應和關閉工作空間層SCIM糧食供應者。工作空間層SCIM將繼續創建和更新workspace-local組。磚推薦使用的賬戶組而不是workspace-local組利用集中的空間分配和使用統一數據訪問管理目錄。為更多的信息關於如何禁用工作空間層SCIM,明白了工作空間層SCIM配置遷移到帳戶的水平

  2. 轉換workspace-local集團賬戶組

    磚建議將現有workspace-local集團賬戶組。看到workspace-local組遷移到帳戶組的指令。組遷移到賬戶後,您需要為新賬戶組授予訪問工作區,在工作區中對象和功能維持他們的小組成員的訪問。

分配小組工作空間的權限

現在上啟用了聯合身份驗證您的工作空間,您可以指定用戶,服務主體,在您的帳戶權限和組工作區。工作區磚建議您分配組的權限,而不是單獨工作空間的權限分配給用戶。所有磚身份可以分配組的成員,和成員繼承權限分配給他們。

添加工作空間權限

了解更多