Ověřování pro balíčky deklarativní automatizace

Tento článek popisuje, jak nakonfigurovat ověřování pro balíčky deklarativní automatizace. Viz Co jsou balíčky deklarativní automatizace?

Nasadíte a spustíte Balíčky deklarativní automatizace v kontextu dvou typů scénářů ověřování: s obsluhou a bez obsluhy:

  • Podporované scénáře ověřování (user-to-machine) jsou ruční pracovní postupy, například použití webového prohlížeče na místním počítači k přihlášení k cílovému pracovnímu prostoru Azure Databricks po zobrazení výzvy rozhraní příkazového řádku Databricks. Tato metoda je ideální pro experimentování nebo rychlý vývoj.
  • Scénáře bezobslužného ověřování (machine-to-machine) jsou plně automatizované pracovní postupy CI/CD, například při použití systémů CI/CD, jako je GitHub.

Následující části doporučují typy a nastavení ověřování Azure Databricks, které se mají použít pro balíčky deklarativní automatizace založené na těchto dvou typech scénářů ověřování.

Ověřování s účastí uživatele

V případě scénářů interaktivního ověřování s deklarativními automatizačními sadami Databricks doporučuje použít ověřování uživatele k počítači (U2M) pomocí OAuth pro váš uživatelský účet Azure Databricks v cílovém pracovním prostoru.

Můžete také použít osobní přístupový token přidružený k vašemu uživatelskému účtu Azure Databricks pro cílový pracovní prostor.

Další informace o těchto typech ověřování Azure Databricks najdete v tématu Metody autorizace.

Pro ukládání nastavení ověřování pro podporované scénáře ověřování doporučuje Databricks používat konfigurační profily Azure Databricks na místním vývojovém počítači. Konfigurační profily umožňují rychle přepínat mezi různými kontexty ověřování Azure Databricks a provádět rychlý místní vývoj mezi několika pracovními prostory Azure Databricks. Pomocí profilů můžete použít možnosti --profile nebo -p k určení konkrétního profilu při spuštění sady příkazů validate, deploy, run a destroy pomocí Rozhraní příkazového řádku Databricks. Viz konfigurační profily Azure Databricks.

Poznámka:

Pokud existuje profil konfiguračního DEFAULT, použije se, pokud není zadána možnost příkazového řádku -p <profile-name> nebo mapování profile (nebo host).

Databricks také podporuje použití profile mapování v rámci mapování pracovního prostoru k určení profilu, který se má použít pro každý cílový pracovní prostor v konfiguračních souborech sady. Pevně zakódované mapování ale zmenšují opakované použití konfiguračních souborů sady napříč projekty.

Bezobslužné ověřování

V případě scénářů bezobslužného ověřování se sadami deklarativní automatizace doporučuje Databricks použít následující typy ověřování Azure Databricks v následujícím pořadí:

Další informace o těchto typech ověřování Azure Databricks najdete v tématu Metody autorizace.

V případě scénářů bezobslužného ověřování doporučuje Databricks používat proměnné prostředí k ukládání nastavení ověřování Azure Databricks do cílového systému CI/CD, protože systémy CI/CD jsou obvykle optimalizované pro tento postup.

Pro projekty deklarativních automatizačních balíčků používané v systémech CI/CD, které jsou navrženy pro práci s více pracovními prostory Azure Databricks (například tři samostatné, ale související pracovní prostory pro vývoj, staging a produkci), Azure Databricks doporučuje používat hlavní objekty služby pro ověřování a udělit jednomu hlavnímu objektu služby přístup ke všem zúčastněným pracovním prostorům. To umožňuje používat stejné proměnné prostředí ve všech pracovních prostorech projektu.

Databricks také podporuje použití pevně zakódovaných nastavení souvisejících s ověřováním v mapování pracovních prostorů pro cílové pracovní prostory v konfiguračních souborech sady. Pevně zakódovaná nastavení ale činí konfiguraci sad méně opakovatelnou v rámci projektů a riskují zveřejnění citlivých informací, jako jsou ID oprávněného objektu služby.

V případě scénářů bezobslužného ověřování musíte také nainstalovat rozhraní příkazového řádku Databricks na přidružené výpočetní prostředky následujícím způsobem:

Ověřování spravovaných identit Azure

Pokud chcete nastavit ověřování spravovaných identit Azure, přečtěte si téma Ověřování pomocí spravovaných identit Azure.

Seznam proměnných prostředí, které se mají nastavit pro bezobslužné ověřování, najdete v sekci "Prostředí" pokrytí operací na úrovni pracovního prostoru v dokumentu Ověřování pomocí spravovaných identit Azure. Informace o nastavení proměnných prostředí najdete v dokumentaci k vašemu operačnímu systému nebo poskytovateli systému CI/CD.

Ověřování stroj-stroj (M2M) OAuth

Pokud chcete nastavit ověřování OAuth M2M, přečtěte si téma Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth.

Seznam proměnných prostředí, které se mají nastavit pro bezobslužné ověřování, se nachází v části operací na úrovni pracovního prostoru v sekci „Prostředí“ dokumentu Autorizujte přístup hlavního služebního objektu do Azure Databricks pomocí OAuth. Informace o nastavení proměnných prostředí najdete v dokumentaci k vašemu operačnímu systému nebo poskytovateli systému CI/CD.

Ověřování služebního objektu Microsoft Entra ID

Pokud chcete nastavit ověřování pomocí služby principal Microsoft Entra ID, viz Ověřování pomocí služeb principal Microsoft Entra.

Seznam proměnných prostředí, které je třeba nastavit pro bezobslužné ověřování, je uveden v části o operacích na úrovni pracovního prostoru v sekci "Prostředí" dokumentu Ověření pomocí služebních identit Microsoft Entra. Informace o nastavení proměnných prostředí najdete v dokumentaci k vašemu operačnímu systému nebo poskytovateli systému CI/CD.

Ověřování Azure CLI

Pokud chcete nastavit ověřování Azure CLI, přečtěte si téma Ověřování pomocí Azure CLI.

Pro scénáře ověřené autentizace, pokud chcete vytvořit konfigurační profil Azure Databricks, podívejte se na část “Profil” v Ověřování pomocí Azure CLI.

Ověřování OAuth mezi uživatelem a strojem (U2M)

Pokud chcete nastavit autentizaci OAuth U2M, viz sekci „CLI“ v tématu Autorizace přístupu uživatelů k Azure Databricks pomocí OAuth.

V případě scénářů ověřování za přítomnosti, dokončení pokynů v části „Rozhraní příkazového řádku“ v Autorizace uživatelského přístupu k Azure Databricks pomocí OAuth automaticky vytvoří konfigurační profil Azure Databricks za vás.

Ověřování osobního přístupového tokenu Azure Databricks

Pokud chcete vytvořit osobní přístupový token Azure Databricks, viz Ověřování pomocí osobních přístupových tokenů Azure Databricks (starší verze).

Pro prohledávání scénářů ověřování je třeba vytvořit konfigurační profil pro Azure Databricks. Viz část „CLI“ v sekci Ověření pomocí osobních přístupových tokenů Azure Databricks (starší verze) .

Seznam proměnných prostředí, které je třeba nastavit pro neinteraktivní autentizaci, se nachází v oddílu „Prostředí“ v části pokrytí operací na úrovni pracovního prostoru v Ověření pomocí osobních přístupových tokenů Azure Databricks (starší verze). Informace o nastavení proměnných prostředí najdete v dokumentaci k vašemu operačnímu systému nebo poskytovateli systému CI/CD.