مصادقة الوصول إلى موارد Azure Databricks

للوصول إلى مورد Azure Databricks باستخدام Databricks CLI أو واجهات برمجة تطبيقات REST، يجب على العملاء المصادقة باستخدام حساب Azure Databricks مع التخويل المطلوب للوصول إلى المورد. لتشغيل أمر Databricks CLI بأمان أو استدعاء طلب واجهة برمجة تطبيقات Databricks الذي يتطلب الوصول المصرح به إلى حساب أو مساحة عمل، يجب توفير رمز مميز للوصول استنادا إلى بيانات اعتماد حساب Azure Databricks الصالحة. تتناول هذه المقالة خيارات المصادقة لتوفير بيانات الاعتماد هذه وتخويل الوصول إلى مساحة عمل أو حساب Azure Databricks.

يعرض الجدول التالي أساليب المصادقة المتوفرة لحساب Azure Databricks الخاص بك.

أساليب مصادقة Azure Databricks

نظرا لأن أدوات Azure Databricks وSDKs تعمل مع أسلوب واحد أو أكثر من أساليب مصادقة Azure Databricks المدعومة، يمكنك تحديد أفضل طريقة مصادقة لحالة الاستخدام الخاصة بك. للحصول على التفاصيل، راجع الأداة أو وثائق SDK في أدوات المطور.

الطريقة ‏‏الوصف حالة الاستخدام
OAuth لكيانات الخدمة (OAuth M2M) رموز OAuth المميزة قصيرة الأجل لكيانات الخدمة. سيناريوهات المصادقة غير المراقب، مثل سير عمل CI/CD المؤتمت بالكامل.
OAuth للمستخدمين (OAuth U2M) رموز OAuth المميزة قصيرة الأجل للمستخدمين. حضر سيناريوهات المصادقة، حيث يمكنك استخدام مستعرض الويب الخاص بك للمصادقة مع Azure Databricks في الوقت الفعلي، عند مطالبتك.
الرموز المميزة للوصول الشخصي (PAT) الرموز المميزة قصيرة الأجل أو طويلة الأمد للمستخدمين أو كيانات الخدمة. السيناريوهات التي لا تدعم فيها الأداة الهدف OAuth.
مصادقة الهويات المدارة من Azure الرموز المميزة لمعرف Microsoft Entra للهويات المدارة من Azure. استخدم فقط مع موارد Azure التي تدعم الهويات المدارة، مثل أجهزة Azure الظاهرية.
المصادقة الأساسية لخدمة معرف Microsoft Entra الرموز المميزة لمعرف Microsoft Entra لكيانات خدمة معرف Microsoft Entra. استخدم فقط مع موارد Azure التي تدعم الرموز المميزة لمعرف Microsoft Entra ولا تدعم الهويات المدارة، مثل Azure DevOps.
مصادقة Azure CLI الرموز المميزة لمعرف Microsoft Entra للمستخدمين أو أساسيات خدمة معرف Microsoft Entra. يستخدم لمصادقة الوصول إلى موارد Azure وAzure Databricks باستخدام Azure CLI.
مصادقة مستخدم Microsoft Entra ID الرموز المميزة لمعرف Microsoft Entra للمستخدمين. استخدم فقط مع موارد Azure التي تدعم فقط الرموز المميزة لمعرف Microsoft Entra. لا توصي Databricks بإنشاء الرموز المميزة لمعرف Microsoft Entra لمستخدمي Azure Databricks يدويا.

ما نهج المصادقة الذي يجب أن أختاره؟

لديك خياران لمصادقة أمر Databricks CLI أو استدعاء واجهة برمجة التطبيقات للوصول إلى موارد Azure Databricks:

  • استخدم حساب مستخدم Azure Databricks (يسمى مصادقة "المستخدم إلى الجهاز"، أو U2M). اختر هذا فقط عند تشغيل أمر Azure Databricks CLI من بيئة العميل المحلي أو استدعاء طلب واجهة برمجة تطبيقات Azure Databricks من التعليمات البرمجية التي تمتلكها وتشغلها حصريا.
  • استخدم كيان خدمة Azure Databricks (يسمى المصادقة "من جهاز إلى جهاز"، أو M2M). اختر هذا إذا كان الآخرون سيشغلون التعليمات البرمجية الخاصة بك (خاصة في حالة التطبيق)، أو إذا كنت تقوم بإنشاء أتمتة ستستدعي أوامر Azure Databricks CLI أو طلبات واجهة برمجة التطبيقات.
  1. إذا كنت تستخدم Azure Databricks، يمكنك أيضا استخدام أساس خدمة MS Entra لمصادقة الوصول إلى حساب Azure Databricks أو مساحة العمل الخاصة بك. ومع ذلك، توصي Databricks باستخدام كيان خدمة Databricks مع مصادقة OAuth المتوفرة لدينا عبر مصادقة مدير خدمة MS Entra. وذلك لأن مصادقة Databricks تستخدم رموز وصول OAuth المميزة الأكثر قوة عند المصادقة فقط مع Azure Databricks.

لمزيد من التفاصيل حول استخدام مدير خدمة MS Entra للوصول إلى موارد Databricks، راجع مصادقة مدير خدمة MS Entra.

يجب أن يكون لديك أيضا رمز مميز للوصول مرتبط بالحساب الذي ستستخدمه لاستدعاء واجهة برمجة تطبيقات Databricks. يمكن أن يكون هذا الرمز المميز إما رمز وصول OAuth 2.0 أو رمز وصول شخصي (PAT). ومع ذلك، يوصي Azure Databricks بشدة باستخدام OAuth عبر PATs للتخويل حيث يتم تحديث رموز OAuth المميزة تلقائيا بشكل افتراضي ولا تتطلب الإدارة المباشرة للرمز المميز للوصول، وتحسين الأمان الخاص بك ضد اختطاف الرمز المميز والوصول غير المرغوب فيه. نظرا لأن OAuth ينشئ الرمز المميز للوصول ويديره نيابة عنك، فإنك توفر عنوان URL لنقطة نهاية رمز OAuth المميز ومعرف العميل والبيانات السرية التي تقوم بإنشائها من مساحة عمل Azure Databricks بدلا من توفير سلسلة رمز مميز بنفسك مباشرة. تكشف PATs عن خطر الرموز المميزة طويلة الأمد التي توفر فرصا للخروج إذا لم يتم تدقيقها وتدويرها أو إبطالها بانتظام، أو إذا لم تتم إدارة سلاسل الرمز المميز وكلمات المرور بشكل آمن لبيئة التطوير الخاصة بك.

كيف أعمل استخدام OAuth للمصادقة مع Azure Databricks؟

يوفر Azure Databricks مصادقة موحدة للعميل لمساعدتك في المصادقة باستخدام مجموعة افتراضية من متغيرات البيئة التي يمكنك تعيينها إلى قيم بيانات اعتماد معينة. يساعدك هذا على العمل بسهولة وأمان أكثر لأن متغيرات البيئة هذه خاصة بالبيئة التي ستقوم بتشغيل أوامر Azure Databricks CLI أو استدعاء واجهات برمجة تطبيقات Azure Databricks.

  • بالنسبة إلى مصادقة حساب المستخدم (من مستخدم إلى جهاز)، تتم معالجة Azure Databricks OAuth نيابة عنك باستخدام مصادقة عميل Databricks الموحدة، طالما أن الأدوات وSDKs تنفذ معيارها. إذا لم يكن الأمر كذلك، يمكنك إنشاء مدقق تعليمات OAuth البرمجية يدويا وزوج التحدي لاستخدامه مباشرة في أوامر Azure Databricks CLI وطلبات واجهة برمجة التطبيقات. راجع الخطوة 1: إنشاء مدقق التعليمات البرمجية OAuth وزوج تحدي التعليمات البرمجية.
  • بالنسبة إلى مصادقة كيان الخدمة (من جهاز إلى جهاز)، يتطلب Azure Databricks OAuth أن يوفر المتصل بيانات اعتماد العميل جنبا إلى جنب مع عنوان URL لنقطة نهاية الرمز المميز حيث يمكن التصريح بالطلب. (تتم معالجة هذا نيابة عنك إذا كنت تستخدم أدوات Azure Databricks وSDKs التي تدعم مصادقة عميل Databricks الموحدة.) تتضمن بيانات الاعتماد معرف عميل فريد وسر العميل. يجب تعيين العميل، وهو كيان خدمة Databricks الذي سيقوم بتشغيل التعليمات البرمجية الخاصة بك، إلى مساحات عمل Databricks. بعد تعيين كيان الخدمة إلى مساحات العمل التي سيتم الوصول إليها، يتم تزويدك بمعرف عميل وسر عميل ستقوم بتعيينه مع متغيرات بيئة معينة.

متغيرات البيئة هذه هي:

  • DATABRICKS_HOST: يتم تعيين متغير البيئة هذا إلى عنوان URL لوحدة تحكم حساب Azure Databricks (http://accounts.cloud.databricks.com) أو عنوان URL لمساحة عمل Azure Databricks (https://{workspace-id}.cloud.databricks.com). اختر نوع عنوان URL للمضيف استنادا إلى نوع العمليات التي ستقوم بتنفيذها في التعليمات البرمجية الخاصة بك. على وجه التحديد، إذا كنت تستخدم أوامر CLI على مستوى حساب Azure Databricks أو طلبات واجهة برمجة تطبيقات REST، فقم بتعيين هذا المتغير إلى عنوان URL لحساب Azure Databricks. إذا كنت تستخدم أوامر CLI على مستوى مساحة عمل Azure Databricks أو طلبات واجهة برمجة تطبيقات REST، فاستخدم عنوان URL لمساحة عمل Azure Databricks.
  • DATABRICKS_ACCOUNT_ID: يستخدم لعمليات حساب Azure Databricks. هذا هو معرف حساب Azure Databricks الخاص بك. للحصول عليه، راجع تحديد موقع معرف حسابك.
  • DATABRICKS_CLIENT_ID: (M2M OAuth فقط) معرف العميل الذي تم تعيينه لك عند إنشاء كيان الخدمة.
  • DATABRICKS_CLIENT_SECRET: (M2M OAuth فقط) سر العميل الذي أنشأته عند إنشاء كيان الخدمة.

يمكنك تعيين هذه مباشرة، أو من خلال استخدام ملف تعريف تكوين Databricks (.databrickscfg) على جهاز العميل الخاص بك.

لاستخدام رمز وصول OAuth، يجب أن تكون مساحة عمل Azure Databricks أو مسؤول الحساب قد منحت حساب المستخدم أو كيان CAN USE الخدمة امتياز ميزات الحساب ومساحة العمل التي ستوصول إليها التعليمات البرمجية الخاصة بك.

لمزيد من التفاصيل حول تكوين تخويل OAuth لعميلك ومراجعة خيارات التخويل الخاصة بموفر السحابة، راجع مصادقة العميل الموحدة.

المصادقة لخدمات وأدوات الجهات الخارجية

إذا كنت تكتب التعليمات البرمجية التي تصل إلى خدمات الجهات الخارجية أو أدواتها أو SDKs، فيجب عليك استخدام آليات المصادقة والتخويل التي توفرها الجهة الخارجية. ومع ذلك، إذا كان يجب عليك منح أداة خارجية أو SDK أو وصول خدمة إلى حساب Azure Databricks أو موارد مساحة العمل، فإن Databricks يوفر الدعم التالي:

  • موفر Databricks Terraform: يمكن لهذه الأداة الوصول إلى واجهات برمجة تطبيقات Azure Databricks من Terraform نيابة عنك، باستخدام حساب مستخدم Azure Databricks الخاص بك. لمزيد من التفاصيل، راجع توفير كيان خدمة باستخدام Terraform.

  • يمكن لموفري Git مثل GitHub وGitLab وBitbucket الوصول إلى واجهات برمجة تطبيقات Azure Databricks باستخدام كيان خدمة Databricks. لمزيد من التفاصيل، راجع أساسيات الخدمة ل CI/CD.

  • يمكن ل Jenkins الوصول إلى واجهات برمجة تطبيقات Azure Databricks باستخدام كيان خدمة Databricks. لمزيد من التفاصيل، راجع CI/CD مع Jenkins على Azure Databricks.

  • يمكن ل Azure DevOps الوصول إلى واجهات برمجة تطبيقات Azure Databricks باستخدام أساس خدمة ومعرف خدمة MS Entra. لمزيد من التفاصيل، راجع المصادقة باستخدام Azure DevOps على Databricks.

ملفات تعريف تكوين Azure Databricks

يحتوي ملف تعريف تكوين Azure Databricks على إعدادات ومعلومات أخرى يحتاج Azure Databricks إلى مصادقتها. يتم تخزين ملفات تعريف تكوين Azure Databricks في ملفات العميل المحلية لأدواتك وSDKs والبرامج النصية والتطبيقات لاستخدامها. يسمى .databrickscfgملف ملف تعريف التكوين القياسي . لمزيد من المعلومات، راجع ملفات تعريف تكوين Azure Databricks.