管理服務主體

預覽

這個特性是在公共預覽

這篇文章解釋了如何創建和管理服務主體為磚和工作區。

磚的身份模式的概述,請參閱磚的身份和角色

服務主體是什麼?

創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。服務主體提供自動化工具和腳本簡化純api訪問數據磚資源,提供更大的安全比使用用戶或組。它還可以防止就業和自動化失敗如果用戶離開你的組織或一組修改。

格蘭特和可以限製服務主體的資源訪問同樣的磚的用戶。例如,您可以執行以下操作:

  • 給一個服務主體賬戶管理和工作空間管理角色。

  • 給一個服務主體訪問數據,在帳戶級別使用統一目錄,或在工作空間的水平。

與磚用戶,服務主體是一個簡化純api的身份;它不能用於訪問數據磚UI。

磚建議你使你的工作區聯合身份驗證所以你可以管理你的帳戶服務主體。如果你的工作不支持聯合身份驗證,您可以創建和管理使用工作空間層SCIM api服務主體。

賬戶管理員可以管理服務主體使用以下界麵:

工作區管理員可以管理服務主體在工作區使用以下界麵:

為更多的信息關於帳戶級別身份與工作區,明白了管理用戶、服務主體和組織

關於服務主體的更多信息以及如何使用它們,看到的服務主體為磚自動化

添加一個服務主體磚賬戶

賬戶管理員可以添加服務主體磚賬戶使用帳戶控製台或SCIM(賬戶)API。

使用帳戶控製台服務主體添加到你的賬戶

添加一個服務主體的賬戶使用帳戶控製台:

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 點擊控製台用戶管理圖標用戶管理

  3. 服務主體選項卡上,單擊添加服務主體

  4. 輸入一個名稱服務主體。

  5. 點擊添加

要使用服務主體,您必須將它們添加到工作區在工作區中,生成訪問令牌。看到服務主體添加到工作區

使用SCIM服務主體添加到您的帳戶(帳戶)API

賬戶管理員可以添加和管理服務主體在磚賬戶使用SCIM API的賬戶。

工作區管理員也可以創建和管理服務主體使用該API,但是他們必須使用不同的端點URL調用API:

  • 賬戶管理員使用accounts.cloud.m.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /

  • 工作空間管理員使用{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /

添加一個服務主體使用SCIM API:

  1. 使用SCIM API 2.0(賬戶)確定服務主體已經存在。

  2. 如果服務主體不存在,創建的主要使用相同的API。

  1. 分配服務主體使用的工作區工作區任務API

有關詳細信息,請參見SCIM API 2.0(賬戶)

指定賬戶管理服務主體的權利

使用帳戶控製台分配賬戶管理權利,執行以下操作:

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 點擊控製台用戶管理圖標用戶管理

  3. 服務主體選項卡,找到並單擊用戶名。

  4. 角色選項卡,打開賬戶管理

從你的磚賬戶刪除服務主體

賬戶管理員可以刪除從磚帳戶服務主體。工作空間管理員不能。當你刪除一個服務主體的賬戶,主要也是從他們的工作區。

重要的

當你刪除一個服務主體的賬戶,服務主體也從他們的工作區,不管身份聯合被啟用。你應該避免刪除帳戶級別服務主體,除非你想讓他們失去所有的工作區帳戶。注意以下刪除服務主體的後果:

  • 應用程序或腳本,使用生成的令牌服務主體將不再能夠訪問數據磚API

  • 工作屬於服務主體將會失敗

  • 集群所擁有的服務主體將會停止

  • 查詢或儀表板創建的服務主體和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

使用帳戶控製台刪除服務主體,做到以下幾點:

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 點擊控製台用戶管理圖標用戶管理

  3. 服務主體選項卡,找到並單擊用戶名。

  4. 主要信息選項卡上,單擊烤肉串菜單烤肉串菜單右上角並選擇刪除

  5. 在確認對話框中,單擊確認刪除

服務主體添加到工作區

賬戶管理員可以添加服務主體identity-federated工作區使用以下:

  • 賬戶控製台

  • 工作區任務API

工作區管理員可以管理服務主體在工作區使用以下:

  • 工作區管理控製台(如果啟用了工作區聯合身份驗證)

  • 工作空間層SCIM (ServicePrincipals) API

  • 工作區任務API(如果啟用了工作區聯合身份驗證)

分配一個工作區使用帳戶控製台服務主體

將服務主體添加到工作區使用帳戶控製台,工作區必須啟用聯合身份驗證。

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 點擊工作空間的圖標工作區

  3. 權限選項卡上,單擊添加權限

  4. 搜索和選擇服務主體,分配權限級別(工作區用戶管理),然後點擊保存

服務主體添加到工作區使用管理控製台

服務主體添加到工作區使用工作區管理控製台,工作區必須啟用聯合身份驗證。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理控製台

  3. 點擊用戶設置圖標設置並選擇管理控製台

  4. 服務主體選項卡上,單擊添加服務主體

  5. 選擇一個已存在的服務主體分配到工作區或創建一個新的。

    創建一個新的服務主體,點擊搜索框,然後單擊下拉箭頭+添加新服務主體

請注意

如果沒有啟用您的工作區聯合身份驗證,你不能分配現有賬戶服務主體工作區或者使用管理控製台向工作區添加一個新的服務主體。

分配一個服務主體使用REST api工作區

REST api,您可以使用它們來分配服務主體啟用工作區取決於工作區聯合身份驗證:

  • 工作區為聯合身份驗證啟用:一個帳戶管理員可以使用帳戶級別工作區任務API服務主體分配給工作區。帳戶管理或工作區管理可以使用工作空間層空間分配API來執行這個任務。看到工作區作業(賬戶)API和工作區(工作區)API參考

  • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM (ServicePrincipal) API服務主體分配給他們的工作空間。看到SCIM API 2.0 (ServicePrincipals)工作區

刪除一個服務主體從一個工作空間

賬戶管理員可以刪除服務主體identity-federated工作區使用以下:

  • 賬戶控製台

    • 工作區任務API

    工作區管理員可以刪除服務主體從工作區使用以下:

    • 工作區管理控製台(如果啟用了工作區聯合身份驗證)

    • 工作空間層SCIM (ServicePrincipals) API

    • 工作區任務API(如果啟用了工作區聯合身份驗證)

    刪除一個服務主體從工作區使用帳戶控製台

    刪除從工作區使用帳戶控製台服務主體,必須啟用工作區聯合身份驗證

    1. 點擊工作空間的圖標工作區

    2. 權限選項卡,找到服務主體。

    3. 單擊烤肉串菜單烤肉最右邊的菜單服務主體行並選擇刪除

    4. 在確認對話框中,單擊刪除

    刪除一個服務主體從工作區使用管理控製台

    刪除服務主體從一個工作空間的使用管理控製台,工作區必須啟用聯合身份驗證

    1. 工作區管理,登錄到磚工作區。

    2. 點擊你的用戶名在酒吧的磚工作區並選擇管理控製台

    3. 管理控製台

    4. 服務主體選項卡,找到服務主體並單擊刪除用戶圖標在用戶一行的最右邊。

    1. 點擊刪除來確認。

    刪除一個服務主體從工作區使用REST api

    REST api,您可以使用刪除服務主體從工作區取決於工作區是支持聯合身份驗證如下:

    • 工作區為聯合身份驗證啟用:一個帳戶管理員可以使用帳戶級別工作區任務API從工作區中刪除服務主體。帳戶管理或工作區管理可以使用工作空間層空間分配API來執行這個任務。看到工作區作業(賬戶)API和工作區(工作區)API參考

    • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM (ServicePrincipal) API來從他們的工作區中刪除服務主體。看到SCIM API 2.0 (ServicePrincipals)工作區

管理服務主體的訪問令牌

進行身份驗證服務主要api在磚上,管理員可以創建一個磚個人訪問令牌代表服務主體。

  1. 授予可以使用令牌的許可服務主體。

  2. 創建一個磚個人訪問令牌代表服務主體使用帖子/令牌管理/代表/令牌操作的令牌管理REST API。管理員還可以列出個人訪問令牌和刪除它們使用相同的API。

詳細的,一步一步的指示為服務主體創建訪問令牌,看到的服務主體為磚自動化

請注意

不可能創建、列表或管理一個令牌服務主體在磚UI。

管理服務主體的權利

一種權利是一個屬性,允許一個用戶,服務主體或組與磚以指定的方式進行交互。在工作區級別權限分配給用戶。下表列出了權利和工作區UI和API管理每一個使用屬性名。您可以使用工作空間管理控製台和工作空間層SCIM REST api管理權利。

權利的名字(UI)

權利的名字(API)

默認的

描述

工作空間的訪問

workspace-access

默認情況下。

授予用戶或服務主體時,他們可以訪問數據科學與工程和磚機器學習persona-based環境。

不能從工作區中刪除管理員。

磚SQL訪問

databricks-sql-access

默認情況下。

當授予用戶或服務主體,他們可以訪問數據磚SQL。

集群允許無限製的創建

allow-cluster-create

默認不授予用戶或服務主體。

當授予用戶或服務主體,他們可以創建集群。你可以限製訪問現有的集群使用集群級別的權限

不能從工作區中刪除管理員。

允許創建池(不可以通過UI)

allow-instance-pool-create

不能被授予個人用戶或服務主體。

當授給一個組,其成員可以創建實例池。

不能從工作區中刪除管理員。

添加或刪除一個服務主體的權利,使用SCIM API 2.0 (ServicePrincipals)工作區API。