SCIM API 2.0

Viktigt

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Den här artikeln beskriver hur du använder AZURE Databricks SCIM-API:er för att etablera användare, tjänstens huvudnamn och grupper till Azure Databricks.

SCIM, eller System for Cross-domain Identity Management, är en öppen standard som gör att du kan automatisera användaretablering. Azure Databricks stöder både UI-baserad SCIM-etablering och etablering med hjälp av REST API:er och JSON. Azure Databricks SCIM-API följer version 2.0 av SCIM-protokollet.

Information om konfiguration av gränssnittsbaserad SCIM-etablering finns i Synkronisera användare och grupper från Azure Active Directory.

SCIM-etablering på kontonivå och arbetsytenivå

Du kan antingen konfigurera en SCIM-etableringsanslutning från Azure Active Directory till ditt Azure Databricks-konto med hjälp av SCIM-etablering på kontonivå eller konfigurera separata SCIM-etableringsanslutningar till varje arbetsyta med scim-etablering på arbetsytenivå.

  • SCIM-etablering på kontonivå: Azure Databricks rekommenderar att du använder SCIM-etablering på kontonivå för att skapa, uppdatera och ta bort alla användare från kontot. Du kommer att hantera tilldelningen av användare och grupper till arbetsytor i Databricks. Dina arbetsytor måste vara aktiverade för identitetsfederation för att kunna hantera tilldelningen av användare till arbetsytor. Azure Databricks rekommenderar att du tilldelar användare till arbetsytor med hjälp av API:et för arbetsytetilldelning.

SCIM-diagram på kontonivå

  • SCIM-etablering på arbetsytenivå: Om ingen av dina arbetsytor är aktiverade för identitetsfederation, eller om du har en blandning av arbetsytor, vissa aktiverade för identitetsfederation och andra inte, måste du hantera SCIM-etablering på kontonivå och arbetsytenivå parallellt. I ett blandat scenario behöver du inte SCIM-etablering på arbetsytenivå för arbetsytor som är aktiverade för identitetsfederation.

    Om du redan har scim-etablering på arbetsytenivå konfigurerat för arbetsytor som du aktiverar för identitetsfederation bör du konfigurera SCIM-etablering på kontonivå och inaktivera SCIM-etablering på arbetsytenivå. Se Migrera SCIM-etablering på arbetsytenivå till kontonivå.

Information om hur du hanterar SCIM-etablering på kontonivå för användare, tjänstens huvudnamn och grupper med hjälp av REST-API:et finns i:

Information om hur du hanterar SCIM-etablering på arbetsytenivå med hjälp av REST-API:et finns i:

Mer information om SCIM-etablering på arbetsytenivå jämfört med SCIM-etablering på kontonivå finns i Synkronisera användare och grupper från Azure Active Directory.

Ditt Azure Databricks-konto måste ha Premium-planen.

API:er för SCIM 2.0

En azure Databricks-arbetsyteadministratör kan anropa alla SCIM API-slutpunkter på arbetsytenivå:

Användare som inte är administratörer och tjänstens huvudnamn kan anropa me get-slutpunkten på arbetsytenivå, användare på arbetsytenivå Hämta slutpunkt för att visa namn och ID:t och get-slutpunkten på arbetsytenivå för att visa gruppvisningsnamn och ID:t.

Kontoadministratörer kan anropa SCIM API-slutpunkter på kontonivå:

Felkoder finns i SCIM API 2.0-felkoder.

Anropa SCIM-API:er på arbetsytenivå

Om du vill anropa SCIM-API:er på arbetsytenivå ersätter <databricks-instance> du med arbetsytans URL för din Azure Databricks-distribution.

https://<databricks-instance>/api/2.0/preview/scim/v2/<api-endpoint>

Anropa SCIM-API:er på kontonivå

Du måste vara kontoadministratör för att anropa SCIM API 2.0 (konton).

Du anropar SCIM-API:et på kontonivå på domänen accounts.azuredatabricks.net , inte din arbetsytedomän. Till exempel:

https://accounts.azuredatabricks.net/api/2.0/accounts/{account_id}/scim/v2/Users/{user_id}

Rubrikparametrar

Parameter Typ Description
Auktorisering (krävs)

Eller:

Filen .netrc (om du använder curl)
STRING Ange till Bearer <access-token>.

Se Autentisering med personliga åtkomsttoken i Azure Databricks, Autentisera med Azure Active Directory-token och Token API 2.0 för att lära dig hur du genererar token.

Viktigt! Den Azure Databricks-administratör som genererar denna token bör inte hanteras av din identitetsprovider (IdP). En Azure Databricks-administratör som hanteras av IdP:n kan avetableras med hjälp av IdP:n, vilket leder till att din SCIM-etableringsintegration inaktiveras.

I stället för en Authorization rubrik kan du använda .netrc-filen tillsammans med --netrc alternativet (eller -n). Den här filen lagrar datornamn och token separat från koden och minskar behovet av att skriva autentiseringssträngar flera gånger. .netrc innehåller en post för varje kombination av <databricks-instance> och token. Till exempel:

machine <databricks-instance> login token password <access-token>
Innehållstyp (krävs för skrivåtgärder) STRING Ange till application/scim+json.
Acceptera (krävs för läsåtgärder) STRING Ange till application/scim+json.

Filtrera resultat

Använd filter för att returnera en delmängd av användare eller grupper. Alla användare kan använda fälten userName för användare och displayName för grupp. Administratörsanvändare kan filtrera användare på attributet active.

Operator Beskrivning Beteende
eq lika med Attribut- och operatorvärdena måste vara identiska.
ne inte lika med Attribut- och operatoravärdena är inte identiska.
co innehåller Operatorvärdet måste vara en delsträng till attributvärdet.
sw börjar med Attributet måste börja med och innehålla ett operatorvärde.
och logiskt OCH Matcha när alla uttryck utvärderas som sanna.
eller logiskt ELLER Matcha när något uttryck utvärderas som sant.

Sortera resultat

Sortera resultat med frågeparametrarnasortBy och sortOrder . Standardvärdet är att sortera efter ID.