Sdílet prostřednictvím


Ověřování tokenu PAT služby Azure Databricks

Tokeny PAT (Azure Databricks) slouží k ověřování přístupu k prostředkům a rozhraním API na úrovni pracovního prostoru Azure Databricks. Mnoho mechanismů úložiště pro přihlašovací údaje a související informace, jako jsou proměnné prostředí a konfigurační profily Azure Databricks, poskytuje podporu tokenů pat azure Databricks. Ačkoli uživatelé mohou mít v pracovním prostoru Azure Databricks více osobních přístupových tokenů, každý osobní přístupový token funguje pouze pro jeden pracovní prostor Azure Databricks. Počet osobních přístupových tokenů na uživatele je omezený na 600 na pracovní prostor.

Databricks automaticky odvolá osobní přístupové tokeny, které se nepoužívaly za 90 nebo více dnů.

Důležité

Databricks doporučuje místo ověřování klientů uživatelských účtů používat OAuth místo ověřování a autorizace uživatelských účtů kvůli vylepšenému zabezpečení OAuth. Informace o použití OAuth k ověřování klientů pomocí uživatelského účtu Databricks najdete v tématu Ověřování přístupu k Azure Databricks pomocí uživatelského účtu pomocí OAuth (OAuth U2M) (pro ověřování uživatelských účtů).

10. července 2024 bylo dosaženo základního ověřování (bez tokenů) s použitím uživatelského jména a hesla Azure Databricks.

Pokud chcete automatizovat funkce na úrovni účtu Azure Databricks, nemůžete používat osobní přístupové tokeny Azure Databricks. Místo toho musíte použít tokeny MICROSOFT Entra ID správců účtu Azure Databricks. Správci účtu Azure Databricks můžou být uživatelé nebo instanční objekty. Další informace naleznete v tématu:

Osobní přístupové tokeny Azure Databricks pro uživatele pracovního prostoru

Pokud chcete vytvořit osobní přístupový token Azure Databricks pro uživatele pracovního prostoru Azure Databricks, postupujte takto:

  1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno Azure Databricks v horním panelu a pak v rozevíracím seznamu vyberte Nastavení .
  2. Klikněte na Vývojář.
  3. Vedle přístupových tokenů klikněte na Spravovat.
  4. Klikněte na Vygenerovat nový token.
  5. (Volitelné) Zadejte komentář, který vám pomůže identifikovat tento token v budoucnu a změnit výchozí životnost tokenu na 90 dnů. Pokud chcete vytvořit token bez životnosti (nedoporučuje se), nechte pole Životnost (dny) prázdné (prázdné).
  6. Klikněte na Vygenerovat.
  7. Zkopírujte zobrazený token do zabezpečeného umístění a klikněte na tlačítko Hotovo.

Poznámka:

Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token. Pokud ztratíte zkopírovaný token nebo se domníváte, že došlo k ohrožení zabezpečení tokenu, databricks důrazně doporučuje tento token okamžitě odstranit z pracovního prostoru kliknutím na ikonu koše (Odvolat) vedle tokenu na stránce Přístupové tokeny .

Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Projděte si správce pracovního prostoru nebo následující témata:

Osobní přístupové tokeny Azure Databricks pro instanční objekty

Instanční objekt může vytvořit osobní přístupové tokeny Databricks pro sebe následujícím způsobem:

Tento postup předpokládá, že používáte ověřování M2M (machine-to-machine) OAuth nebo ověřování instančního objektu Microsoft Entra ID k nastavení rozhraní příkazového řádku Databricks pro ověřování instančního objektu k vygenerování tokenů pat azure Databricks pro sebe. Viz ověřování M2M (machine-to-machine) OAuth nebo ověřování instančního objektu Microsoft Entra ID.

  1. Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz, který vygeneruje další přístupový token pro instanční objekt.

    Spusťte následující příkaz:

    databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
    
    • --comment: Nahraďte <comment> smysluplným komentářem k účelu přístupového tokenu. Pokud není zadána --comment možnost, nevygeneruje se žádný komentář.
    • --lifetime-seconds: Nahraďte <lifetime-seconds> počtem sekund, pro který je přístupový token platný. Například 1 den je 86400 sekund. Pokud není tato --lifetime-seconds možnost zadaná, přístupový token se nastaví tak, aby nikdy nevypršil (nedoporučuje se).
    • --profile-name: Nahraďte <profile-name> názvem konfiguračního profilu Azure Databricks, který obsahuje ověřovací informace pro instanční objekt a cílový pracovní prostor. Pokud není tato -p možnost zadaná, pokusí se rozhraní příkazového řádku Databricks najít a použít konfigurační profil s názvem DEFAULT.
  2. V odpovědi zkopírujte hodnotu token_value, což je přístupový token pro instanční objekt.

    Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token.

    Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Obraťte se na správce pracovního prostoru nebo následující:

Provedení ověřování tokenů pat pro Azure Databricks

Pokud chcete nakonfigurovat ověřování osobního přístupového tokenu Azure Databricks, musíte nastavit následující přidružené proměnné prostředí, .databrickscfg pole, pole Terraformu nebo Config pole:

  • Hostitel Azure Databricks určený jako cílová adresa URL Služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.
  • Osobní přístupový token Azure Databricks pro uživatelský účet Azure Databricks.

Pokud chcete provést ověřování osobního přístupového tokenu Azure Databricks, integrujte následující kód na základě zúčastněného nástroje nebo sady SDK:

Prostředí

Pokud chcete použít proměnné prostředí pro konkrétní typ ověřování Azure Databricks pomocí nástroje nebo sady SDK, přečtěte si téma Ověřování přístupu k prostředkům Azure Databricks nebo dokumentaci k nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování klienta a výchozí metody pro jednotné ověřování klienta.

Nastavte následující proměnné prostředí:

Profil

Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami. Pokud chcete profil použít s nástrojem nebo sadou SDK, přečtěte si téma Ověřování přístupu k prostředkům Azure Databricks nebo dokumentaci k nástroji nebo sadě SDK. Viz také proměnné prostředí a pole pro jednotné ověřování klienta a výchozí metody pro jednotné ověřování klienta.

Nastavte v .databrickscfg souboru následující hodnoty. V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Místo ručního nastavení předchozích hodnot v .databrickscfg souboru můžete pomocí rozhraní příkazového řádku Databricks nastavit tyto hodnoty následujícím způsobem:

Poznámka:

Následující postup používá rozhraní příkazového řádku Databricks k vytvoření konfiguračního profilu Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, tento postup přepíše stávající DEFAULT konfigurační profil.

Pokud chcete zkontrolovat, jestli už máte DEFAULT konfigurační profil, a pokud chcete zobrazit nastavení tohoto profilu, použijte k spuštění příkazu rozhraní databricks auth env --profile DEFAULTpříkazového řádku Databricks .

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, nahraďte DEFAULT část --profile DEFAULT v následujícím databricks configure příkazu jiným názvem konfiguračního profilu.

  1. Pomocí rozhraní příkazového řádku Databricks vytvořte konfigurační profil Azure Databricks s názvemDEFAULT, který používá ověřování tokenů pat Azure Databricks. Provedete to spuštěním následujícího příkazu:

    databricks configure --profile DEFAULT
    
  2. Pro výzvu Databricks Host zadejte adresu URL azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

  3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

Rozhraní příkazového řádku

Pro Rozhraní příkazového řádku Databricks spusťte databricks configure příkaz. Na příkazovém řádku zadejte následující nastavení:

  • Hostitel Azure Databricks určený jako cílová adresa URL Služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.
  • Osobní přístupový token Azure Databricks pro uživatelský účet Azure Databricks.

Další podrobnosti najdete v tématu Ověřování tokenů pat pro Azure Databricks.

Propojit

Poznámka:

Ověřování osobního přístupového tokenu Azure Databricks je podporováno v následujících verzích Databricks Connect:

  • Pro Python databricks Connect pro Databricks Runtime 13.3 LTS a novější.
  • Pro Scala, Databricks Connect pro Databricks Runtime 13.3 LTS a vyšší.

Pro Databricks Connect můžete pomocí rozhraní příkazového řádku Databricks nastavit hodnoty v .databrickscfg souboru pro operace na úrovni pracovního prostoru Azure Databricks, jak je uvedeno v části Profil:

Poznámka:

Následující postup používá rozhraní příkazového řádku Databricks k vytvoření konfiguračního profilu Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, tento postup přepíše stávající DEFAULT konfigurační profil.

Pokud chcete zkontrolovat, jestli už máte DEFAULT konfigurační profil, a pokud chcete zobrazit nastavení tohoto profilu, použijte k spuštění příkazu rozhraní databricks auth env --profile DEFAULTpříkazového řádku Databricks .

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, nahraďte DEFAULT část --profile DEFAULT databricks configure příkazu, jak je znázorněno v následujícím kroku jiným názvem konfiguračního profilu.

  1. Pomocí rozhraní příkazového řádku Databricks vytvořte konfigurační profil Azure Databricks s názvemDEFAULT, který používá ověřování tokenů pat Azure Databricks. Provedete to spuštěním následujícího příkazu:

    databricks configure --configure-cluster --profile DEFAULT
    
  2. Pro výzvu Databricks Host zadejte adresu URL azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

  3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

  4. V seznamu dostupných clusterů, které se zobrazí, vyberte cílový cluster Azure Databricks v pracovním prostoru pomocí šipky nahoru a dolů a pak stiskněte Enter. Pokud chcete filtrovat seznam dostupných clusterů, můžete také zadat libovolnou část zobrazovaného názvu clusteru.

Mezi další podporované přístupy pro Databricks Connect patří:

  • Ručně nastavte hodnoty v .databrickscfg souboru pro operace na úrovni pracovního prostoru Azure Databricks, jak je uvedeno v části Profil tohoto článku. Nastavte také proměnnou cluster_id prostředí ve vašem profilu na adresu URL pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.
  • Nastavte proměnné prostředí pro operace na úrovni pracovního prostoru Azure Databricks, jak je uvedeno v části Prostředí tohoto článku. Nastavte také proměnnou DATABRICKS_CLUSTER_ID prostředí na adresu URL pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

Hodnoty v .databrickscfg souboru mají vždy přednost před proměnnými prostředí.

Pokud chcete inicializovat klienta Databricks Connect pomocí těchto proměnných prostředí nebo hodnot v souboru, podívejte .databrickscfg se na jednu z těchto věcí:

VS Code

Pro rozšíření Databricks pro Visual Studio Code postupujte takto:

  1. Nastavte hodnoty v .databrickscfg souboru pro operace na úrovni pracovního prostoru Azure Databricks, jak je uvedeno v části Profil tohoto článku.
  2. V podokně Konfigurace rozšíření Databricks pro Visual Studio Code klikněte na Konfigurovat Databricks.
  3. V paletě příkazů zadejte pro hostitele Databricks adresu URL pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.neta stiskněte Enter.
  4. V paletě příkazů vyberte v seznamu pro svoji adresu URL název cílového profilu.

Další podrobnosti najdete v tématu Nastavení ověřování pro rozšíření Databricks pro Visual Studio Code.

Terraform

Pro výchozí ověřování:

provider "databricks" {
  alias = "workspace"
}

Pro přímou retrieve konfiguraci (nahraďte zástupné symboly vlastní implementací pro načtení hodnot z konzoly nebo jiného úložiště konfigurace, například HashiCorp Vault. Viz také poskytovatel trezoru). V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
  token = <retrieve-token>
}

Další informace o ověřování pomocí zprostředkovatele Databricks Terraform najdete v tématu Ověřování.

Python

Pro výchozí ověřování:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Pro přímou retrieve konfiguraci (nahraďte zástupné symboly vlastní implementací pro načtení hodnot z konzoly nebo jiného úložiště konfigurace, například Azure KeyVault). V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host  = retrieve_workspace_url(),
  token = retrieve_token()
)
# ...

Další informace o ověřování pomocí nástrojů Databricks a sad SDK, které používají Python a které implementují jednotné ověřování klienta Databricks, najdete v tématu:

Java

Pro výchozí ověřování:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Pro přímou retrieve konfiguraci (nahraďte zástupné symboly vlastní implementací pro načtení hodnot z konzoly nebo jiného úložiště konfigurace, například Azure KeyVault). V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setToken(retrieveToken());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Další informace o ověřování pomocí nástrojů Databricks a sad SDK, které používají Javu a které implementují jednotné ověřování klienta Databricks, najdete v tématu:

Go

Pro výchozí ověřování:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Pro přímou retrieve konfiguraci (nahraďte zástupné symboly vlastní implementací pro načtení hodnot z konzoly nebo jiného úložiště konfigurace, například Azure KeyVault). V tomto případě je hostitelem adresa URL azure Databricks pro jednotlivé pracovní prostory, napříkladhttps://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:  retrieveWorkspaceUrl(),
  Token: retrieveToken(),
}))
// ...

Další informace o ověřování pomocí nástrojů Databricks a sad SDK, které používají Go a které implementují jednotné ověřování klienta Databricks, najdete v tématu Ověření sady Databricks SDK for Go pomocí účtu nebo pracovního prostoru Azure Databricks.