管理访问砖自动化
本文描述了如何配置权限砖凭证。学习如何使用凭据进行身份验证数据砖,明白了身份验证数据砖自动化。
请注意
只有在砖自动化验证权限保费计划或以上。
个人访问令牌的权限
工作空间管理员可以设置权限的个人访问令牌控制哪些用户,服务主体,组织可以创建和使用令牌。之前,您可以使用令牌访问控制、数据砖工作区管理必须使个人工作空间的访问令牌。看到启用或禁用个人工作空间的访问令牌验证。
一个工作区权限用户可以有以下标记:
没有权限:用户不能创建或使用个人访问令牌验证砖工作区。
可以使用:用户可以创建一个个人访问令牌和使用它来验证工作区。
可以管理(仅限工作区管理员):用户可以管理所有工作区允许用户个人访问令牌和使用它们。用户在工作区中
管理员集团有一个默认权限,不能撤销。服务主体,没有其他用户或组可以授予许可。
此表列出了每个token-related任务所需的权限:
任务 |
没有权限 |
可以使用 |
可以管理 |
|---|---|---|---|
创建一个令牌 |
x |
x |
|
使用令牌认证 |
x |
x |
|
撤销自己的令牌 |
x |
x |
|
撤销任何用户或服务主体的令牌 |
x |
||
列出所有标记 |
x |
||
修改标记的权限 |
x |
管理令牌使用管理权限设置页面
令牌管理工作区使用管理的权限设置页面:
去管理员设置页面。
单击工作空间设置选项卡。
单击权限旁边的按钮个人访问令牌打开牌权限编辑器。
搜索并选择用户、服务主体或组,选择权限分配。
如果
用户集团有可以使用允许你想更细粒度的访问申请非管理用户,删除可以使用的许可用户集团通过单击X旁边的许可下拉用户行。点击+添加。
点击保存。
警告
保存更改后,此前的任何用户
可以使用或可以管理权限,不再有权限拒绝进入个人访问令牌认证和其积极的令牌将会立即被删除(撤销)。删除令牌不能被检索。
令牌管理权限使用权限API
工作空间管理员可以管理令牌使用权限权限API。
如何验证权限API的信息,明白了身份验证数据砖自动化。
得到所有权限令牌工作区
获得令牌的权限为所有用户、组和服务主体在工作区中,调用获得令牌的权限API。(例如,得到/权限/授权/令牌中描述的那样权限API参考。)
响应包含一个access_control_list数组中。每个元素是一个用户对象,对象,或一个服务主体对象。他们每个人都有一个身份字段适当的类型:用户有一个user_name领域,集团有一个group_name有一个领域,服务主体service_principal_name字段。所有元素都有一个all_permissions字段指定许可水平(CAN_USE或CAN_MANAGE)是理所当然。
例如:
curl - n - x得到“https:// < databricks-instance > . . / api / 2.0 /预览/权限/授权/令牌”
示例响应:
{“object_id”:“授权/令牌”,“object_type”:“令牌”,“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]}]}
设置令牌的权限
设置令牌权限,调用令牌更新权限API(补丁/权限/授权/令牌)。
你可以在一个或多个用户,设置权限组,或服务主体。对于每个用户,您需要知道电子邮件地址,这是中指定user_name请求属性。对于每一组,指定的组名group_name财产。对于一个服务主体,指定服务主体applicationId的价值service_principal_name财产。
你只能授予不撤销权限,这个API。
例如,下面的例子向用户授予访问权限又该@例子。com和组mygroup。
curl - n - x片“https:// < databricks-instance > . . / api / 2.0 /预览/权限/授权/令牌”\- d”{“access_control_list”:({“user_name”:“jsmith@example.com”,:“permission_level CAN_USE”,},{组:“group_name mygroup”,:“permission_level CAN_USE”,}]}'
示例响应:
{“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]},{“group_name”:组“mygroup”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]}]}
如果你想设置权限令牌在工作区中所有成员在一个请求中,使用权限令牌替换所有工作区API(把/权限/授权/令牌)。
删除权限
从全部或部分撤销权限非管理用户,使用权限令牌替换所有工作区API(把/权限/授权/令牌),它要求您指定完整的权限为所有对象权限为整个工作区。
下面的例子赠款可以使用权限组field-automation-group,省略了权限用户(所有用户)组和资助可以管理许可的管理员集团所需的API。任何非管理用户组中没有field-support-engineers将失去访问令牌创建和他们现有的令牌将会立即被删除(撤销)。
curl - n - x将“https:// < databricks-instance > . . / api / 2.0 /预览/权限/授权/令牌”\- d”{“access_control_list”:({:“group_name field-automation-group”,:“permission_level CAN_USE”,},{“group_name”:“管理员”,:“permission_level CAN_MANAGE”,},]}'
起程拓殖集成
你可以在一个完全自动化的管理令牌权限设置使用砖起程拓殖的提供者和databricks_permissions如下。
警告
以下配置包含声明授权=“令牌”。只能有一个授权=“令牌”权限资源/砖工作区,否则将会有一个永久配置漂移。应用以下更改后,用户之前CAN_USE或CAN_MANAGE权限但不再有权限访问个人访问令牌认证撤销。其积极的令牌将会立即被删除(撤销)。
资源“databricks_group”“自动”{display_name =“自动化”}资源“databricks_group”“eng”{display_name =“工程”}资源“databricks_permissions”“token_usage”=“令牌”access_control {group_name ={授权databricks_group.auto。display_name permission_level = " CAN_USE "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_USE "}}
密码权限
禁用统一登录时默认情况下,所有工作空间管理用户可以登录到砖使用工作空间层SSO或他们的用户名和密码,以及所有API用户可以验证砖REST API的使用他们的用户名和密码。工作区管理,当工作区级别启用SSO您可以限制工作区管理用户和API的用户的能力与他们的用户名和密码进行身份验证通过配置使用密码访问控制权限。
请注意
密码访问控制配置只能当统一登录是禁用的。统一登录启用创建的所有账户在6月21日,2023年。如果启用了统一登录您的帐户,您需要密码访问控制,联系你的砖的代表。
更多信息在登录过程启用统一登录时,看到的工作区登录过程。
有两个权限级别的密码:没有权限和可以使用。可以使用资助工作空间管理员的能力比非管理用户。此表列出了每个许可的能力。
任务 |
没有权限 |
可以使用 |
|---|---|---|
可以验证API使用密码 |
x |
|
可以验证砖UI使用密码 |
x(工作区管理员) |
如果一个非管理用户没有权限试图使一个REST API调用使用的密码,身份验证就会失败。砖建议个人访问令牌的其他身份验证,而不是用户名和密码。
工作区管理用户可以使用允许查看管理员登录在登录页面选项卡。他们可以选择使用标签与用户名和密码登录到砖。
工作空间管理员没有权限没有看到这个页面,必须使用SSO登录。当工作空间层启用了SSO,所有非管理用户看不到这个页面,必须使用SSO登录。
配置密码权限
本节描述如何使用工作区管理权限管理设置页面。
工作区管理,登录到砖工作区。
点击你的用户名在酒吧的砖工作区并选择管理设置。
单击工作空间设置选项卡。
旁边密码使用,点击权限设置。
在权限设置对话框中,使用密码权限分配给用户和组旁边的下拉菜单的用户或组。您还可以配置的权限
管理员组。点击保存。
您还可以配置密码权限使用权限API。