Ověřování přístupu k Azure Databricks pomocí federace tokenů OAuth

Tato stránka obsahuje přehled informací o federaci tokenů OAuth pro přístup k účtu Azure Databricks a prostředkům pracovního prostoru pomocí tokenů od zprostředkovatele identity.

Co je federace tokenů OAuth v Databricks?

Federace tokenů OAuth Databricks umožňuje zabezpečený přístup k rozhraním Databricks API pomocí tokenů od důvěryhodných zprostředkovatelů identity (IDP). Federace tokenů OAuth eliminuje potřebu správy a obměny tajných kódů Databricks, jako jsou osobní přístupové tokeny a tajné kódy klienta Databricks OAuth.

Pomocí federace tokenů OAuth Databricks si uživatelé a instanční objekty vyměňují tokeny JWT (JSON Web Tokens) od vašeho zprostředkovatele identity pro tokeny OAuth Databricks, které je pak možné použít pro přístup k rozhraním DATAbricks API.

Federace tokenů OAuth je jednodušší a bezpečnější metoda ověřování v Databricks, zejména pro automatizované úlohy. Vaše úloha se ověřuje v Databricks jako instanční objekt ve vašem účtu Databricks pomocí tokenů identit úloh vydaných automatizačním prostředím. SDK Databricks a Databricks CLI automaticky načítají identity úloh a vyměňují je za tokeny OAuth Databricks, což eliminuje potřebu správy a obměny tajemství Databricks.

Jaké typy federace tokenů se podporují?

Databricks podporuje dva typy federace tokenů:

  • Federace tokenů na úrovni účtu umožňuje všem uživatelům a služebním principům ve vašem účtu Databricks přístup k rozhraním API Databricks pomocí tokenů od vašeho poskytovatele identity. Federace tokenů na úrovni celého účtu umožňuje centralizovat správu zásad vystavování tokenů ve vašem zprostředkovateli identity a obvykle se používá v kombinaci s SCIM, takže uživatelé ve vašem zprostředkovateli identity se synchronizují s vaším účtem Azure Databricks. Viz Federace tokenů na úrovni účtu.
  • federace identit úloh umožňuje automatizovaným úlohám spuštěným mimo Azure Databricks přistupovat k rozhraním DATAbricks API bez nutnosti tajných kódů Databricks. Při federaci identit úloh se vaše aplikace (úloha) ověřuje ve službě Databricks jako služební principál Databricks pomocí tokenů vydaných běhovým prostředím úlohy. Viz Federace identit pro pracovní zatížení.

Poznámka

Uživatelé Microsoft Azure můžou také používat tokeny MS Entra k bezpečnému používání rozhraní příkazového řádku Databricks a rozhraní API.

Jak nakonfigurovat federaci tokenů OAuth?

Konfigurace federace tokenů OAuth pro váš účet nebo úlohu Databricks:

  1. Určete, jestli budete používat federaci tokenů na úrovni účtu nebo federaci identit úloh.

  2. Vytvořte zásadu federace. Budete potřebovat:

    • ID vašeho účtu (pro federaci tokenů pro celý účet).
    • ID služebního principálu, který použijete (pro federaci identit úloh).
    • Informace z nástroje nebo poskytovatele, které budou vydávat federované tokeny.
  3. Nakonfigurujte nástroj nebo zprostředkovatele identity pro ověření ve službě Databricks pomocí federovaných tokenů. Jako příklad konfigurace pro běžné zprostředkovatele identity CI/CD viz Povolení federace identit úloh v CI/CD.

Dodatečné zdroje