- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试创建和配置 Azure Databricks SCIM Provisioning Connector ,这样我就可以从 AAD 在我的 Databricks 工作区中配置用户。
已关注 these instructions ,我可以让它手动工作。也就是说,可以在 Azure 门户中创建和设置应用程序,并且我选择的用户可以在 Databricks 中同步。 (这个过程并不完全简单。在做任何事情之前需要进行大量的摆弄,我不记得了,需要进行配置设置。)
当我尝试将其转换为 Terraform 时,我并没有走得太远:
我可以使用 Terraform 创建应用程序,使用创建 Databricks 工作区资源的同一服务主体:
data "azuread_application_template" "scim" {
display_name = "Azure Databricks SCIM Provisioning Connector"
}
resource "azuread_application" "scim" {
display_name = "${var.name}-scim"
template_id = data.azuread_application_template.scim.template_id
feature_tags {
enterprise = true
gallery = true
}
}
同样,我可以非常轻松地为我的服务主体创建 Databricks 访问 token :
resource "databricks_token" "scim" {
comment = "SCIM Integration"
}
现在我陷入困境:
azureread
资源。(旁白:我注意到,在我的 Terraform 创建的应用程序中,如果我继续在 Azure 门户中手动设置用户和配置,它似乎不会执行任何操作。我可能不耐烦:“配置按需”按钮确实有效,但轮询同步要么不执行任何操作,要么速度非常慢。)
(编辑:旁边的更新:轮询配置——在 Terraform 管理的 SCIM 应用程序上手动设置——自从我写这个问题以来,现在已经运行了两次。在这段时间里,它没有同步我的用户手动选择,但决定删除我之前创建的 Databricks 中的“Provision on Demand”用户...)
最佳答案
我正在尝试自己解决这个难题。
关于 1:根据我的理解,您可以通过 MS Graph 通过角色分配来分配用户和组。请参阅此处的第一个 tf 示例 App role assignment for accessing Microsoft Graph ,
并应用 Automate SCIM provisioning using Microsoft Graph 中描述的配置,例如授予这些权限:
Application.ReadWrite.All
Application.ReadWrite.OwnedBy
关于 2:似乎无法以编程方式将工作区 SCIM 端点和 token 提供到创建的 Azure 应用程序“Azure Databricks SCIM 预配连接器”中,因为这些似乎是库应用程序特定的配置参数。因此恐怕该选项需要手动干预。
根据 Databricks 的说法,AAD SCIM 的完全配置自动化是不可能的。但 Terraform SCIM 方法将是完全自动化的。示例参见:
// define which groups have access to a particular workspace
variable "groups" {
default = {
"AAD Group A" = {
workspace_access = true
databricks_sql_access = false
},
"AAD Group B" = {
workspace_access = false
databricks_sql_access = true
}
}
}
// read group members of given groups from AzureAD every time Terraform is started
data "azuread_group" "this" {
for_each = toset(keys(var.groups))
display_name = each.value
}
// create or remove groups within databricks - all governed by "groups" variable
resource "databricks_group" "this" {
for_each = data.azuread_group.this
display_name = each.key
external_id = each.value.id
workspace_access = var.groups[each.key].workspace_access
databricks_sql_access = var.groups[each.key].databricks_sql_access
}
// read users from AzureAD every time Terraform is started
data "azuread_user" "this" {
for_each = toset(flatten([for g in data.azuread_group.this : g.members]))
object_id = each.value
}
// all governed by AzureAD, create or remove users from databricks workspace
resource "databricks_user" "this" {
for_each = data.azuread_user.this
external_id = each.value.id
user_name = each.value.user_principal_name
display_name = each.value.display_name
active = each.value.account_enabled
}
// put users to respective groups
resource "databricks_group_member" "this" {
for_each = toset(flatten(
[
for group_name in keys(var.groups) :
[
for member_id in data.azuread_group.this[group_name].members :
jsonencode({
user : member_id,
group : group_name
})
]
]))
group_id = databricks_group.this[jsondecode(each.value).group].id
member_id = databricks_user.this[jsondecode(each.value).user].id
}
关于azure - 使用 Terraform 配置 Azure AD Databricks SCIM 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70926276/
有什么方法可以将 Terraform 模板输出用于另一个 Terraform 模板的输入? 例如:我有一个创建 ELB 的 Terraform 模板,我有另一个 Terraform 模板,它将创建一个
我正在使用 Terraform 在 Azure 中设置虚拟网络。 我有几个 VNet,每个 VNet 都有自己的网络安全组 100% 在 Terraform 中管理,在运行 Terraform 之前不
resources and data sources在 terraform 文档中 link ,谁能解释一下它们的区别以及可以使用它们的示例场景 最佳答案 Data Sources :允许 Terra
terraform plan 等命令如何知道/决定使用哪些文件? -help 显示了一个 DIR-OR-PLAN 参数,但没有显示如何使用它: $ terraform -help plan Usage
我在尝试运行使用 terraform lock 的 terraform 脚本时收到以下错误消息。 *Acquiring state lock. This may take a few moments.
我想简化这样的构造 variable "google" { type = object({ project = string region = string
这是一个场景 - 您开发用于研发组织的 terraform 模块。它们已经被一两个微服务使用,转化为十几个 pod。您确定了重构机会,例如将某些功能提取到其自己的 terraform 模块中。很好,但
Terraform 是否支持条件属性?我只想根据变量的值使用属性。 例子: resource "aws_ebs_volume" "my_volume" { availability_zone =
我想将此作为功能请求发布,但我想在发布之前看看是否有其他人找到了一些聪明的方法。或者也许 Hashicorp 的某个人可以告诉我这将是 future 的一个功能 在运行 terraform apply
我在 terraform 的变量插值中遇到了麻烦。这是我的 terraform 配置的样子。即内置函数内的变量 variable "key" {} ssh_keys { pat
运行 terraform 并等待需要很长时间。 所以我想运行它来排除需要最长执行时间的 rds 或者我只想运行 ec2 资源。 有没有办法在 terraform 中做这样的事情? 最佳答案 您可以使用
terraform 是否提供这样的功能来覆盖变量值?假设我已经声明了下面给出的两个变量。 variable "foo" {} variable "bar" { default = "false"} f
我正在为 Terraform Associate Certification 做准备考试。我在 Udemy 上进行了一次练习考试,并收到了一个关于自动安装社区提供程序的问题。但是,根据实际 terra
我有很多使用 Terraform 的 gcp-provider 用 Terraform 0.11 编写的 Terraform 模块,并希望将其升级到 Terraform 0.12。 为此,我需要保留系
我的项目有 2 个存储库。静态网站和服务器。我希望网站由 cloudfront 和 s3 托管,服务器在 elasticbeanstalk 上。我知道这些资源至少需要了解 Route53 资源才能在同
我能有这样的资源吗 resource "foo" "bar.baz"{ ... } 或者以后 . 会把我搞砸吗?特别是,是否允许这样做: resource "foo" "other"{ ...
我能有这样的资源吗 resource "foo" "bar.baz"{ ... } 或者以后 . 会把我搞砸吗?特别是,是否允许这样做: resource "foo" "other"{ ...
运行时terraform init使用 Terraform 时 0.11.3我们收到以下错误: Initializing provider plugins... - Checking for avai
我正在尝试将项目的 CLI 工作区迁移到 Terraform Cloud。我正在使用 Terraform 版本 0.14.8 并遵循官方指南 here . $ terraform0.14.8 work
尝试在Azure Pipeline中将terraform init作为任务运行时,错误指出 spawn C:\hostedtoolcache\windows\terraform\0.12.7\x64\
我是一名优秀的程序员,十分优秀!