- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试创建和配置 Azure Databricks SCIM Provisioning Connector ,这样我就可以从 AAD 在我的 Databricks 工作区中配置用户。
已关注 these instructions ,我可以让它手动工作。也就是说,可以在 Azure 门户中创建和设置应用程序,并且我选择的用户可以在 Databricks 中同步。 (这个过程并不完全简单。在做任何事情之前需要进行大量的摆弄,我不记得了,需要进行配置设置。)
当我尝试将其转换为 Terraform 时,我并没有走得太远:
我可以使用 Terraform 创建应用程序,使用创建 Databricks 工作区资源的同一服务主体:
data "azuread_application_template" "scim" {
display_name = "Azure Databricks SCIM Provisioning Connector"
}
resource "azuread_application" "scim" {
display_name = "${var.name}-scim"
template_id = data.azuread_application_template.scim.template_id
feature_tags {
enterprise = true
gallery = true
}
}
同样,我可以非常轻松地为我的服务主体创建 Databricks 访问 token :
resource "databricks_token" "scim" {
comment = "SCIM Integration"
}
现在我陷入困境:
azureread
资源。(旁白:我注意到,在我的 Terraform 创建的应用程序中,如果我继续在 Azure 门户中手动设置用户和配置,它似乎不会执行任何操作。我可能不耐烦:“配置按需”按钮确实有效,但轮询同步要么不执行任何操作,要么速度非常慢。)
(编辑:旁边的更新:轮询配置——在 Terraform 管理的 SCIM 应用程序上手动设置——自从我写这个问题以来,现在已经运行了两次。在这段时间里,它没有同步我的用户手动选择,但决定删除我之前创建的 Databricks 中的“Provision on Demand”用户...)
最佳答案
我正在尝试自己解决这个难题。
关于 1:根据我的理解,您可以通过 MS Graph 通过角色分配来分配用户和组。请参阅此处的第一个 tf 示例 App role assignment for accessing Microsoft Graph ,
并应用 Automate SCIM provisioning using Microsoft Graph 中描述的配置,例如授予这些权限:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
关于 2:似乎无法以编程方式将工作区 SCIM 端点和 token 提供到创建的 Azure 应用程序“Azure Databricks SCIM 预配连接器”中,因为这些似乎是库应用程序特定的配置参数。因此恐怕该选项需要手动干预。
根据 Databricks 的说法,AAD SCIM 的完全配置自动化是不可能的。但 Terraform SCIM 方法将是完全自动化的。示例参见:
// define which groups have access to a particular workspace
variable "groups" {
default = {
"AAD Group A" = {
workspace_access = true
databricks_sql_access = false
},
"AAD Group B" = {
workspace_access = false
databricks_sql_access = true
}
}
}
// read group members of given groups from AzureAD every time Terraform is started
data "azuread_group" "this" {
for_each = toset(keys(var.groups))
display_name = each.value
}
// create or remove groups within databricks - all governed by "groups" variable
resource "databricks_group" "this" {
for_each = data.azuread_group.this
display_name = each.key
external_id = each.value.id
workspace_access = var.groups[each.key].workspace_access
databricks_sql_access = var.groups[each.key].databricks_sql_access
}
// read users from AzureAD every time Terraform is started
data "azuread_user" "this" {
for_each = toset(flatten([for g in data.azuread_group.this : g.members]))
object_id = each.value
}
// all governed by AzureAD, create or remove users from databricks workspace
resource "databricks_user" "this" {
for_each = data.azuread_user.this
external_id = each.value.id
user_name = each.value.user_principal_name
display_name = each.value.display_name
active = each.value.account_enabled
}
// put users to respective groups
resource "databricks_group_member" "this" {
for_each = toset(flatten(
[
for group_name in keys(var.groups) :
[
for member_id in data.azuread_group.this[group_name].members :
jsonencode({
user : member_id,
group : group_name
})
]
]))
group_id = databricks_group.this[jsondecode(each.value).group].id
member_id = databricks_user.this[jsondecode(each.value).user].id
}
关于azure - 使用 Terraform 配置 Azure AD Databricks SCIM 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70926276/
有没有人在 Keycloak 中使用过 SCIM?如果是这样,你能指出我的文档吗?我用谷歌搜索过,它似乎不是受支持的配置。 最佳答案 不幸的是,Keycloak 尚不支持 SCIM。他们的 Jira
我计划为我的 Azure Databricks 资源启用 SCIM 配置。 MS Doc 中提到,始终建议在帐户级别启用 SCIM,而不是在个人工作区级别启用 SCIM因此,现在如果我在帐户级别为 D
如何在 Azure 中将 scim 配置选项从自动更改为手动? 最佳答案 只有在没有自动Azure AD provision connector时才启用可用 Manual provisioning m
我需要将 SCIM 核心架构映射到 LDAP,以便 UnboundId 用于 LDAP 中的操作。 是否有更好的方法来转换这些架构? 例如在给出的模式 here我需要映射: 用户名到uid name.
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 2 年前。
我们的后端服务器不支持 HTTP PATCH 方法(仅 PUT)。因此,我们无法从 SCIM 应用程序中正确取消分配用户。 当我尝试取消分配用户时,Okta SCIM 似乎发出 PATCH 请求(而不
我实现了 SCIM API 并与 Azure 集成。 当我在 AzureAD 中删除用户时,它不会发送 DELETE 请求。我尝试从应用程序和目录中删除。 获取用户/[userID]、获取查询和 PO
我将 Azure Databricks 工作区隐藏在 VNET 中,并配置了专用链接,遵循 Microsoft 的说明. 现在我正在尝试做SCIM provisioning使用此工作区,我收到以下错误
我正在尝试在 AAD 中实现 SCIM,但在映射字段时遇到了困难。当用户被添加到组中时。在此示例中,我希望发生以下情况: (与 scim 的作用差不多) 用户已配置,用户已创建。 用户已取消配置,用户
我正在尝试在 AAD 中实现 SCIM,但在映射字段时遇到了困难。当用户被添加到组中时。在此示例中,我希望发生以下情况: (与 scim 的作用差不多) 用户已配置,用户已创建。 用户已取消配置,用户
作为 SCIM(跨域身份管理系统)标准的新手,请原谅我的无知,因为我正处于学习曲线上,试图弄清楚如何发出干净/简单的请求来配置用户、删除用户和修改用户。 我正在尝试使用 C#/.NET 通过 SCIM
我已下载 WS02 Identity Server(版本 3.2.3)并将其安装在 Windows 上。我想探索 WS02 IS 提供的 SCIM 支持。但是,我找不到任何相关信息。是否有开发人员指南
我在使用 GITHUB API 时遇到了一个奇怪的错误。当我使用 cURL 与他们联系时: curl.exe -H "Accept: application/vnd.github.cloud-9-pr
SCIM 是 Google、Salesforce、Ping Identity 等提出的用户配置的新标准。是否有现有的 ruby 实现来支持它? Similar but for Java 最佳答案
我编写了一个符合 SCIM 标准 ( https://www.rfc-editor.org/rfc/rfc7644 ) 的应用程序,但与 Azure 集成后,我可以看到,如果禁用该功能(Azure 发
当前的 Microsoft ADFS 2.0 服务器(或新的 ADFS 3.0 RTM)是否支持 SCIM 供应协议(protocol)?如果没有计划使用哪一种供应协议(protocol) SPML
我正在构建一个自定义SCIM client将连接到 Azure AD(使用企业应用程序)。我只对用户同步感兴趣,不需要组信息。 My question is if I only implement t
有人可以告诉我如何通过 SCIM 将 Microsoft Azure AD 用户配置到我自己的应用程序吗? 场景如下: 我在 Azure Active Directory 中有一些用户,希望将它们与在
我正在研究 WSO2IS,发现我可以使用 SCIM 从 WSO2 IS 创建/更新/删除/获取用户我尝试使用以下 cURL 命令 curl -v -k --user admin:admin https
SCIM 标准的创建是为了通过定义表示用户和组的架构以及用于所有必要的 CRUD 操作的 REST API 来简化云中的用户管理。 它旨在取代旧的 SPML 协议(protocol)。 有没有“成熟”
我是一名优秀的程序员,十分优秀!