管理訪問磚自動化

本文描述了如何配置權限磚憑證。學習如何使用憑據進行身份驗證數據磚,明白了身份驗證數據磚自動化

請注意

隻有在磚自動化驗證權限保費計劃或以上

個人訪問令牌的權限

工作空間管理員可以設置權限的個人訪問令牌控製哪些用戶,服務主體,組織可以創建和使用令牌。之前,您可以使用令牌訪問控製、數據磚工作區管理必須使個人工作空間的訪問令牌。看到啟用或禁用個人工作空間的訪問令牌驗證

一個工作區權限用戶可以有以下標記:

  • 沒有權限:用戶不能創建或使用個人訪問令牌驗證磚工作區。

  • 可以使用:用戶可以創建一個個人訪問令牌和使用它來驗證工作區。

  • 可以管理(僅限工作區管理員):用戶可以管理所有工作區允許用戶個人訪問令牌和使用它們。用戶在工作區中管理員集團有一個默認權限,不能撤銷。服務主體,沒有其他用戶或組可以授予許可。

此表列出了每個token-related任務所需的權限:

任務

沒有權限

可以使用

可以管理

創建一個令牌

x

x

使用令牌認證

x

x

撤銷自己的令牌

x

x

撤銷任何用戶或服務主體的令牌

x

列出所有標記

x

修改標記的權限

x

管理令牌使用管理權限設置頁麵

令牌管理工作區使用管理的權限設置頁麵:

  1. 管理員設置頁麵

  2. 單擊工作空間設置選項卡。

  3. 單擊權限旁邊的按鈕個人訪問令牌打開牌權限編輯器。

  4. 搜索並選擇用戶、服務主體或組,選擇權限分配。

    如果用戶集團有可以使用允許你想更細粒度的訪問申請非管理用戶,刪除可以使用的許可用戶集團通過單擊X旁邊的許可下拉用戶行。

  5. 點擊+添加

  6. 點擊保存

    警告

    保存更改後,此前的任何用戶可以使用可以管理權限,不再有權限拒絕進入個人訪問令牌認證和其積極的令牌將會立即被刪除(撤銷)。刪除令牌不能被檢索。

令牌管理權限使用權限API

工作空間管理員可以管理令牌使用權限權限API

如何驗證權限API的信息,明白了身份驗證數據磚自動化

得到所有權限令牌工作區

獲得令牌的權限為所有用戶、組和服務主體在工作區中,調用獲得令牌的權限API。(例如,得到/權限/授權/令牌中描述的那樣權限API參考。)

響應包含一個access_control_list數組中。每個元素是一個用戶對象,對象,或一個服務主體對象。他們每個人都有一個身份字段適當的類型:用戶有一個user_name領域,集團有一個group_name有一個領域,服務主體service_principal_name字段。所有元素都有一個all_permissions字段指定許可水平(CAN_USECAN_MANAGE)是理所當然。

例如:

curl - n - x得到“https:// < databricks-instance > . . / api / 2.0 /預覽/權限/授權/令牌”

示例響應:

{“object_id”:“授權/令牌”,“object_type”:“令牌”,“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:}]}]}

設置令牌的權限

設置令牌權限,調用令牌更新權限API(補丁/權限/授權/令牌)。

你可以在一個或多個用戶,設置權限組,或服務主體。對於每個用戶,您需要知道電子郵件地址,這是中指定user_name請求屬性。對於每一組,指定的組名group_name財產。對於一個服務主體,指定服務主體applicationId的價值service_principal_name財產。

你隻能授予不撤銷權限,這個API。

例如,下麵的例子向用戶授予訪問權限又該@例子com和組mygroup

curl - n - x片“https:// < databricks-instance > . . / api / 2.0 /預覽/權限/授權/令牌”\- d”{“access_control_list”:({“user_name”:“jsmith@example.com”,:“permission_level CAN_USE”,},{組:“group_name mygroup”,:“permission_level CAN_USE”,}]}'

示例響應:

{“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:}]},{“group_name”:組“mygroup”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:}]}]}

如果你想設置權限令牌在工作區中所有成員在一個請求中,使用權限令牌替換所有工作區API(/權限/授權/令牌)。

刪除權限

從全部或部分撤銷權限非管理用戶,使用權限令牌替換所有工作區API(/權限/授權/令牌),它要求您指定完整的權限為所有對象權限為整個工作區。

下麵的例子贈款可以使用權限組field-automation-group,省略了權限用戶(所有用戶)組和資助可以管理許可的管理員集團所需的API。任何非管理用戶組中沒有field-support-engineers將失去訪問令牌創建和他們現有的令牌將會立即被刪除(撤銷)。

curl - n - x將“https:// < databricks-instance > . . / api / 2.0 /預覽/權限/授權/令牌”\- d”{“access_control_list”:({:“group_name field-automation-group”,:“permission_level CAN_USE”,},{“group_name”:“管理員”,:“permission_level CAN_MANAGE”,},]}'

起程拓殖集成

你可以在一個完全自動化的管理令牌權限設置使用磚起程拓殖的提供者databricks_permissions如下。

警告

以下配置包含聲明授權=“令牌”。隻能有一個授權=“令牌”權限資源/磚工作區,否則將會有一個永久配置漂移。應用以下更改後,用戶之前CAN_USECAN_MANAGE權限但不再有權限訪問個人訪問令牌認證撤銷。其積極的令牌將會立即被刪除(撤銷)。

資源“databricks_group”“自動”{display_name =“自動化”}資源“databricks_group”“eng”{display_name =“工程”}資源“databricks_permissions”“token_usage”=“令牌”access_control {group_name ={授權databricks_group.auto。display_name permission_level = " CAN_USE "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_USE "}}

密碼權限

禁用統一登錄時默認情況下,所有工作空間管理用戶可以登錄到磚使用工作空間層SSO或他們的用戶名和密碼,以及所有API用戶可以驗證磚REST API的使用他們的用戶名和密碼。工作區管理,當工作區級別啟用SSO您可以限製工作區管理用戶和API的用戶的能力與他們的用戶名和密碼進行身份驗證通過配置使用密碼訪問控製權限。

請注意

密碼訪問控製配置隻能當統一登錄是禁用的。統一登錄啟用創建的所有賬戶在6月21日,2023年。如果啟用了統一登錄您的帳戶,您需要密碼訪問控製,聯係你的磚的代表。

更多信息在登錄過程啟用統一登錄時,看到的工作區登錄過程

有兩個權限級別的密碼:沒有權限可以使用可以使用資助工作空間管理員的能力比非管理用戶。此表列出了每個許可的能力。

任務

沒有權限

可以使用

可以驗證API使用密碼

x

可以驗證磚UI使用密碼

x(工作區管理員)

如果一個非管理用戶沒有權限試圖使一個REST API調用使用的密碼,身份驗證就會失敗。磚建議個人訪問令牌的其他身份驗證,而不是用戶名和密碼。

工作區管理用戶可以使用允許查看管理員登錄在登錄頁麵選項卡。他們可以選擇使用標簽與用戶名和密碼登錄到磚。

SSO admin登錄選項卡

工作空間管理員沒有權限沒有看到這個頁麵,必須使用SSO登錄。當工作空間層啟用了SSO,所有非管理用戶看不到這個頁麵,必須使用SSO登錄。

配置密碼權限

本節描述如何使用工作區管理權限管理設置頁麵。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 單擊工作空間設置選項卡。

  4. 旁邊密碼使用,點擊權限設置

  5. 在權限設置對話框中,使用密碼權限分配給用戶和組旁邊的下拉菜單的用戶或組。您還可以配置的權限管理員組。

  6. 點擊保存

您還可以配置密碼權限使用權限API